SOS Virus RPC και τα σχετικά

[9-11]

Λοιπόν, θέλοντας να δοκιμάσω και το Panda Internet Security που είχα εφεδρικό, έπαθα μεγάλη ζημιά.

Αφού απεγκατέστησα Norton AV 2004 Pro & ZoneAlarm Pro για να μην υπάρξουν conflicts (offline εννοείται), σετάρισα το Panda που περιέχει bundled AntiVirus-Firewall-Antispam κλπ.

Με το που μπήκα στο site της Panda για update (τα original αρχεία χρονολογούνταν από Οκτώβριο 2004), ΑΡΧΙΣΕ ΤΟ COUNTDOWN (to extinction?)

NT AUTHORITY/SYSTEM ... Remote Procedure Call (RPC) ... shutdown

 

Μετά το restart τα 'ξήλωσα' όλα επιτόπου, ξαναέβαλα το NortonAV 2004 Pro με το τελευταίο update (30-12-2003) & άρχισα full system scan που βγήκε καθαρό!!!!!

Σημειωτέον οτι επειδή στο παρελθόν το σύστημα είχε προσβληθεί από παρόμοιο virus/worm, έχω πάρει μία (μεγάλη) δόση & έχω ακόμη κάτι μεμονωμένα Norton removal tools, που κανονικά τώρα μου είναι περιττά αφού είμαι fully updated

 

Εγκατέστησα και το Kerio 4, που επίσης υπήρχε πρόχειρο, και μπήκα online.

Ξανά τα ίδια !!!!!

 

ΕΙΝΑΙ ΔΥΝΑΤΟΝ;;;

Όσες φορές ξαναπροσπάθησα είχα το ίδιο αποτέλεσμα, το κλασσικό W32.Blaster σύμπτωμα. Δεν μπορώ να μείνω στο net πάνω από 10λεπτο

 

HELP-HELP-HELP-HELP-HELP-HELP-HELP-HELP-HELP-HELP-HELP-HELP-HELP

Ωραία άρχισε η χρονιά...

[9-11]

Μόλις μου ξανάκανε shutdown - Αυτή τη φορά έμεινα παραπάνω. Υπάρχει περίπτωση η ενεργοποίηση του Remote Procedure Call να οφείλεται σε κάτι ΕΚΤΟΣ από ιό/σκουλήκι;;;

[cdthelw]

Ε Λ Ε Ο Σ

Κοίτα

http://www.insomnia.gr/phpBB2/viewtopic.php?t=360227&highlight= επίσης υπάρχει ενα υπόμνημα στο insomnia Μ Ο Ν Ο για τον blaster.

Και Καλή χρονιά χωρίς ιούς .

 

Οσο αφορά το firewall ενεργοποίησε τον windows.Για home users είναι αρκετό !!.

Η το sygate personal firewall είναι καλό.

 

Αν θες κάτι σοβαρό δοκίμασε το checkpoint firewall vp-1 αν και δεν είμαι πολύ σίγουρος για το όνομα.

[9-11]

Σύντροφε cdthelw, είχα ήδη υπ'όψη μου το υπόμνημα για τους Blaster αφού μάλιστα με είχαν χτυπήσει ξανά στο παρελθόν (γι αυτό άλλωστε είχα και τα ανάλογα removal tools φυλαγμένα).

Το θέμα ήταν γιατί ακόμα και με το τελευταίο Norton update δεν εντοπίζονταν ο ιός :?: δεδομένου ότι πρωτοεμφανίστηκε τον Αύγουστο (κάθε άλλο παρά καινούργιος είναι).

Λοιπόν αυτή τη φορά δεν υπήρχε executable αρχείο 'msblast.exe' στον φάκελο Windows\system32\ (εάν αυτό είναι το σύνηθες) αλλά ένα άλλο 'TFTP3004'

Το παραπάνω file εντοπίστηκε & διαγράφηκε σε ανύποπτη στιγμη απ'το Norton AV (ενώ είχαν προηγηθεί 2 ΚΑΘΑΡΑ manual system scans...)

Αν μπορείς να εξηγήσεις κάτι τέτοιο θα σου ήμουν ευγνώμων

Τώρα πάντως, μαζί με τα removal tools κράτησα και το patch της Microsoft :wink:

Σε ευχαριστώ για το χρόνο που διέθεσες, θα τσεκάρω τα links για τα firewalls

 

Καλή Χρονιά και σε σένα

[sarisn]

Καλημέρα σε όλους και Καλή Χρονιά με υγεία!

 

Ο W32.Blaster (worm) δεν μπορεί να σβηστεί από το Norton Antivirus το έχω δοκιμάσει κι'εγώ. Εφόσον το σβήσετε ΜΟΝΟ με το patch της Microsoft (μπορεί να σας πάρει αρκετές ώρες και πολλές πολλές προσπάθειες τουλάχιστον τόσο μου πήρε εμένα) με το Sygate Personal Firewall (το οποίο χρησιμοποιώ και είναι πολύ καλό για home users) το μόνο που θα καταφέρετε είναι πολύ απλά να τον εμποδίσετε να ξαναμπεί στο σύστημά σας. Εμένα μου πήρε περίπου 2-3 ώρες με το patch αλλά τελικά άξιζε η ταλαιπωρία. Από τη στιγμή που σβήστηκε μια και καλή δεν ξαναεμφανίστηκε ποτέ. Μην στηρίζεστε πάντως στο γεγονός ότι αφού τον σβήσατε μια φορά και έχοντας κάποιο firewall δεν μπορεί να εμφανιστεί πάλι. Πρέπει να σβηστεί μια και καλή για να είστε ήσυχοι.

 

Και πάλι Καλή Χρονιά σε όλους!

[wert]

Και να το σβήσεις μόλις μπείς στο ίντερνετ το κολάς πάλι αμέσως.

Πρέπει να σβηστεί και να περαστεί το patch από τη microsoft.

Κατόπιν μπορείτε για την ώρα να κυκλοφορείτε ελεύθεροι.

Με λίγα λόγια αφού έχετε το σύστημα καθαρό περνάτε το patch και μετά κάνετε σύνδεση. Όχι πρίν.

[FELIX]

den einai toso xalia ta pragmata,akoma kai an exeis to worm mporeis na mpeis sto internet me to service rpc setarismeno sto take no aktion.etsi to exw apo tis 11 ayg. pou to epa8a kai den hxera ti einai den yphrxe enhmerwsh tis prwtes wres pou kykloforhse o blaster. kai to pc doulevei kanonika.twra ta antivirus vriskoun ta worms alla den ta svhnoun kai prepei apo ta site twn etairiwn na pareis ta remuval tools gia na kaneis douleia

[Omiloparmenos]

a. pigene start/run kai grapse SERVICES.MSC /S kai pata enter

b.stin dexia pleura epelexe to Remote Procedure Call (RPC) service

c.dexi klik kai properties

d.click sto Recovery tab

e.sti lista allaxe ta First failure, Second failure kai Subsequent failures se "Restart the Service.".

f.pata efarmogi kai ok

......

xrisimopoiise to removal tool pou exeis gia to worm

.....

pigene sto http://www.microsoft.com/downloads/details.aspx?FamilyID=5fa055ae-a1ba-4d4a-b424-95d32cfc8cba&DisplayLang=en kai analoga ti glwssa ktl exeis katevase to analogo patch twn win

[cdthelw]

Νομίζω δεν έχεις καταλάβει Η δεν έχεις μελετήσει τα hyperlinks που σου έδωσα.

Το πρόβλημα με τα reboot δεν είναι ο BLASTER, κάποιοι έχουν βρει τρόπο να "κάνουν" buffer underun στην υπηρεσία RPC των Windows. Επειδή η υπηρεσία είναι σημαντική για τα windows (σχεδόν ότι δικτυακό τρέχει την έχει ώς dependecy) τα Windows ΑΠΟ ΜΟΝΑ ΤΟΥΣ ΚΑΝΟΥΝ ΕΠΑΝΕΚΚΙΝΗΣΗ επειδή crashare to RPC γιαυτό περνάς τα PATCHES όπως είπε και o Wert.

To firewall εάν υπάρχει εμποδίζει (δεν σφήνει να στέλνει κανείς πακέτα στα ανοιχτα ports των windows ΟΠΟΤΕ δεν crasharei το RPC). H τρύπα που μπαίνει ο blaster οφείλεται στα windows , το reboot των windows οφείλεται στα Windows με αιτία το buffer underrun απο το rpc .

Επίσης έδωσα Link για removal tool απο την Symantec .

 

Υστερόγραφο ο blaster εκτος απο ότι έστενλε πακέτα να crasharoyn άλλα rpc services σε άλλα pc ΔΕΝ ΕΚΑΝΕ ΤΙΠΟΤΕ ΣΤΟ PC σου. Απλώς επειδή σου στέλναν ΚΑΙ σε σένα γινόταν στο pc reboot.

[casabel]

format c:/s

[wert]

format c:/s

Αν δεν έχεις το patch απο την microsoft σε μια άκρη και μετά το φορμάτ να το περάσεις πρίν κάνεις σύνδεση τότε είναι δώρο άδωρο και σοβαρή ταλαιπωρία.

Αμέσως μετά το φορμάτ και μόλις μπείς στο internet θα έχεις κολήσει τον ιό. Αρα πάει φορμάτ :arrow: κλείνουμε πρώτα την τρύπα :arrow: και μετά παίζουμε.