[HGtafka]

ei kirjuta pikalt see tuleb kohe uuesti ette
http://www.hot.ee/hgtafka/xx.JPG
http://www.hot.ee/hgtafka/xxx.JPG

see esineb päris paljudel siinkandis kellel sama interneti pakkuja, firewall on mul peal. Millest see tingitud on? Kas peaks kõllama interneti pakkujale?

selge see et keegi kasutas/kasutab mu ip'd

[RistoX]

HGtafka, sinu probleemiks on WinNT-tüüpi Windowsite service'i "Remote Procedure Call" üks hiljuti avastatud exploit.
Abiks on windowsupdate.microsoft.com-ist teha endale critical updates ära ning selle exploidi vastu on kaitse olemas. Selleks aga, et sa seda teha saaksid, käivita Windows XP enda firewall oma internetiühenduse peal. Too ei luba sissetulevaid ühendusi svchost.exe porti 135, kustkaudu tehaksegi exploit.

Liikvel on teatud väike progekene nimega msblast.exe, mis võib ka parajasti sinu enda masinas istuda ja HKLM\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run all "microsoft windows update" nime all kohe startupis käivituda. Toosama msblast exe üritab connectida igasse võimalikku IP-sse porti 135 ja saata oma exploitti laiali. msblast.exe on sinu masinasse sattunud samamoodi - keegi connectis sinu masina porti 135, saatis exploidi, mille tulemusena svchost.exe üritab sinu masinas avada porti 4444 ja lisaks sureb ära RPC Service, mispeale winxp tahab raudselt restartti saada.

Soovitan teha järgnevad sammud:
1) Käivita Windows XP firewall oma ADSL connectioni peal (Status/Properties/Advanced/Internet Connection Firewall)
ning alles seejärel connecti uuesti netti. Nüüd enam exploit ei tohiks mõjuda, aga samas on ka kõik muud sissetulevad
TCP-ühendused su masinasse keelatud.

2) Mine http://windowsupdate.microsoft.com/ ja "Scan for updates". Installi ära kõik Critical Update-d ja Service Pack updated.

3) Reboot

4) Otsi masinast faili nimega msblast.exe (defaultina asub vist windows\system32\ kaustas) ning kustuta see.

5) Start\Run\regedit ja kustuta key HKLM\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run\"microsoft windows update" "msblast.exe"

6) Soovituslik: pane endale peale näiteks Tiny Personal Firewall, millel olemas Acivity Monitor - s.t. sa näed, milliseid porte mingi asi sinu masinas kuulab ning milliseid ühendusi sinu masinasse ja sinu masinAST tehakse. Ühtlasi abiks ka firewall ära konfigureerida - milliseid yhendusi sisse tahad, milliseid välja tahad lubada ja soovitatavalt ei midagi üleliigset - sinu masinasse võib RPC exploidi kaudu olla sattunud ka teisi troojaneid/viiruseid.

näiteks mu enda masinas oli just eile õhtu seesama msblast.exe ning sama probleem RPC service'i suremisega. Ja ühtlasi oli selline asi nagu C:\WINDOWS\SYSTEM32\explorer32.exe, mis üritas connectida igasugustesse ulmeserveritesse porti 6667 ja 80, üritades mingit inffi või asja edastada. Kahtlustan, et ka see tuli sama pordi 135 ja RPC exploidi kaudu - exploit võimaldab ründajal saada käivitada sinu masinas mingit koodi või programmi - mis vabalt võib igasugust jura masinasse installida.

Loodan, et oli abi.

EDIT: allpool ühes teemas oli suht asjakohane link ka kogu selle loo kohta:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

Cool - asi avastatud alles 11.augustil.. täitsa uus asi, tundub

[HGtafka]

installin hetkel updatet, vaatab mis siis saab - hetkel midagi juhtunud pole

PS! mul pole ADSL

[Ten]

Ehk oskate öelda, mis on Spooler SubSystem App, mul zone seletab tihti, et see tahab netti pääseda, millega võib tegemist olla???

[Tuhkur]

mul ka sama jama...
http://www.hot.ee/mmx2001/jama.jpg

võtsin need serviced lahti sealt otsisin selle asja üles võtsin propertis ja muutsin seal ära ,et ta ei teeks restarti...samas ennem võtsin reg cleaneriga startupi tekkinud imelikud asjad maha...
ja siis iga minuti tagant panin servicele uuesti start...

vend oli arvuti taga teinud sin midagi...tulin koju...vaatasin et mis jama on...arvuti ainult 1 min toimib ja siis restart...aga paistab ,et see on loomulik nähtus

[RistoX]

[Ten]

A, ok, tnx

[markoboy]

tervist

mul oli ka taoline lugu, et vsikas sellise asja lahti nagu siin pildidl: http://www.hot.ee/hgtafka/xx.JPG Seda teist asja ei n2itanud, pidin masinale rebuuti tegema kuna internet kadus ja kudagi enam k2ima ei saanud. nüüd on nii et enam pole seda n2inud aga asi funxib
huvitav kas ma peaks kah oma windowsi updatema SP1 on peal muidu...

[Tuhkur]

...paistab ,et keegi pani oma arvutile sama IP mis sinulgi...nüüd pani vana tagasi...seepärast kõik korras ongi?

[marqs]

kes pregu oma aknaid ei paranda, tekitavad ikka väga paljudele hunniku tööd ja peavalu juurde. et imho suht isekas oleks probleemist lihtsalt mööda vaadata.

[Tuhkur]

[Mafishas]

[HGtafka]

korda sain, tegin nii nagu RistoX pakkus, siiamaani pole tõrkeid olnud 8)

[:[Noodle]:]

[Computer Doctor]

A kas System Restore ikka on Disable-tud, vastasel juhul võib "elu lõpuni" tõrjumistöid teha 8)

[:[Noodle]:]

[Computer Doctor]

On tunda, et "sõber" 8) tahab edasi peituda Restore "peidetud Temp-failide" all või on Sul viirusetõrje mis neid faile kontrollida "ei viitsi" . Nii, et viirusetõrjele peale käsklus "All Files" või katsetada mõnd teist proget

[namstoop]

Mul oli ka see vidin vist masinas sees. Panin ajutiselt RPC kinni ja lasin MS patchi peale. Nüüd enam ei restardi, aga krt mingied msblast.exe'sid pole masinast küll leidnud. lasin viirusetõrje, trojan removeriga ja siis veel ekstra selle jaoks tehtud vidinatega üle, aga ükski midagi ei leia. Või vähemalt pole siiani märku andnud, et leiaks... imelik.

[kill]

[janekman]

täitsa lõpp, vaatan, et see viirus levib nagu kulutuli, kõik sõbrad-tuttavad juba selle saanud, kõigil adsl kodutöö, st et pordid lahti ja ega enamus tulemüüre ei kasuta ju, endal tulemüür peal ja lfirewall logi vaadates näha sealt et viimase poole tunni jooksul ca 10 korda on yritatud port 135 connectida ja connectijateks on enamus olnud teiste adsl-i kasutajate ip-d aga on ka mujalt maailmast, mina veel siiamaani puutumata, loodan et tulemyyr peab vastu, kas symantec voi f-secure juba miskit kiiret fix-i ka juba pakub ve, et saaks sõpradele sellega diskil kylla minna ja lahti saada sellest

[inca]

Päris kole tegelane teine jah. Mul suutis ta xp key kah disableda nii et ... 11.08 mässasin temaga miski 4 tundi : S

[namstoop]

[Computer Doctor]

Ehk on abx:

1. CT DiskCleaner
2. SpyBot

Nende kaasabil saab peidetud Tempe jms. ära kustutada.

[:[Noodle]:]

siiamaani minu säilinud probleemideks on vaid : ei saa netist downloadida ja osasid asju vaadata
Öö viimase 5 h jooksul on 169 attempti olnud miskit kahtlaste ip poolt sisse tulla ... NetBiose ja muude vahvate portide kaudu

[Tuhkur]