norton internet security continua a segnalarmi:
tentativo di connettersi al comp. locale tramite il cavallo di Troia Sokets de Trois v1. Trojan bloccato...
faccio la scansione e non mi trova nulla.
che significa? che il firewall segnala ke qualcuno sta tentando di accedere al pc tramite il troiano, ma questo nn vuol dire che sia infetto?
che mi conviene fare?
sto tranquillo cosi?
Cercando in su google ho trovato questo:
Il trojan che gira in questi giorni si chiama così:
Troia Sokets de Trois v1
ha orig francesi ed è una variante di Blazer5
sfrutta il fault di RPC di Microsoft e permette la gestione da remoto del pc attrverso
le porte 5000 e 5001 stabilendo connessioni TCP
(io ho impostato il firewall per bloccarle così rilevo i tentativi di accesso che
continuano a venire da diversi pc a rotazione)
una volta che uno se lo becca i sintomi sono:
cpu al 100%
chiusura inaspettata della applicazioni e dell'antivirus,
impossibilità di aprire il registro di config di windows.
Se cercate su internet viene detto di cancellare alcuni processi attivi (blazer.exe, ms..qualcosa)
ma nei pc che sono stati infettati non erano presenti.
Il processo che va tolto è
wmiprvse32.exe
tuttavia non compare nel task manager perchè viene caricato all'avvio insieme a service.exe
Ho scoperto due varianti:
1. all'avvio viene caricato il processo wmiprvse32.exe separatamente da services.exe
in questo caso basta rimuovere la voce relativa nel registro di Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
e impedire l'accesso alle porte 5000 e 5001 per non ribeccarlo.
2. il processo wmiprvse32.exe viene caricato automaticamente ma non compare alcuna voce in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
quindi non so come si possa togliere.
Quello che sono riuscita a fare è:
- avviare col cavo di rete staccato (wmiprvse32.exe viene avviato ma sono presenti solo 2 processi, mentre se la rete è disponibile diventano centinaia fino ad intasare tutto!);
- eseguire active ports (si scarica cercando con google) e vedere il PID del processo;
- killarlo (io ho usato versione del comando kill faidate per windows (scaricabile: http://www.nextl3vel.net/Chris123NT/...rtExplorer.zip
)(messo in WINNT così lo richiamo da linea di comando passando il PID del processo da killare))
Se non hai i sontomi descritti penso che puoi stare tranquillo, quelli che ti rileva il Norton sono dei portscanning, si dovrebbe capire dal fatto che usano il protocollo TCP in entrata.
Comunque ora lascio la parola a chi è più esperto di me.
(spero di non aver detto una castroneria).
grazie.ma nella mia situazione di non infezione come conviene che agisca?
semplice, non fai nienteOriginariamente inviato da Prazision
grazie.ma nella mia situazione di non infezione come conviene che agisca?
grazie.
ok. anche se di quegli avvisi maledetti nonne posso+.
cmq se non viene rilevato nulla dallo scan non sono infettato vero?
no, non sei infetto.Originariamente inviato da Prazision
cmq se non viene rilevato nulla dallo scan non sono infettato vero?
il fatto che qualcuno stia cercando di entrare tramite un trojan non vuol dire che tu ne sia infetto
grazie(speriamo che non riesca ad entrare)
Certo che un avviso ogni 30/40 secondi sta diventando pesante....
pure tu???
Permessi di invio
Rispondi quotando