PDA

Visualizza versione completa : Aiuto? Nuovo caso AUTHORITY SYSTEM?


Pistol-pete
01-05-2004, 15.34.00
Appena mi connetto, trascorsi circa 4-5 min
Mi compare una finestra con scritto

" SA Shell (export version)
L'applicazione verrà chiusa "

Posso solo cliccare ok.
Aprendo il task manager mi accorgo che c'è in esecuzione un file tra quelli SYSTEM chiamato "Drwtsn.exe" che non c'è MAI stato prima.
Pochi secondi dopo si apre la fatidica finestra dell'AUTHORITY SYSTEM che dice che il file "isass.exe" è stato chiuso con codice 1073741819 e che di conseguenza verrà riavviato il pc in un min. Sempre nel task manager mi accorgo che tutti i processi hanno perso identità, nel senso che che solo il ciclo idle di sistema viene identificato come SYSTEM mentre gli altri sono tutti sconosciuti.
Praticamente un remake del famoso RPC che veniva chiuso il virus Blast.
Ho letto il post in rilievo al riguardo ma non ho visto nulla al riguardo, qualcuno mi può aiutare?
Quale aggiornamento critico fa al caso mio?
(S.O. WinXP, no antivirus, no firewall)


:confused:

P8257 WebMaster
01-05-2004, 16.40.28
DRWTSN.EXE è Dt. Watson, un componente di windows che (storiacmente) si occupa di generare il dump e l'immagine e registro della memoria in caso di errori critici, quindi è regolare che in quel caso tu ce l'abbia in esecuzione.

Sembra proprio un errore dovuto alla terminazione anomala di un servizio vitale al sistema (LSA si occupa di questo), prova con una scansione antivirus, naturalmente stando disconnesso da internet.

Bye :cool:

P8257 WebMaster
01-05-2004, 16.41.14
Il fatto che i processi "perdano identità" è dovuto proprio all'NT Authority che "scavalca" il tuo livello utente per prendere il controllo del sistema e terminare tutti i processi.

Bye :cool:

Pistol-pete
01-05-2004, 21.35.20
nessuno se ci sono patch al riguardo? a me puzza molto di virus questa cosa!!!!! Come per il blaster che terminava l'RPC Locator, ce ne deve essere una anche per questo!

Pistol-pete
02-05-2004, 03.53.34
ho eseguito un controllo antivirus ma niente, non ha trovato nulla.
Chiaramente ero off-line, altrimenti non ci sarei riuscito. Ho notato che se, dopo che è comparsa al finestra di errore LSA, io chiudo la connessione ad internet non compare il messaggio dell'authority system, quindi il presunto virus si attiva solo tramite connessione (ma solo dopo che è comparso il messaggio di errore LSA).
Boh! Ormai non so più che pesci pigliare....

primoair
02-05-2004, 09.55.28
E' il nuovo Blaster bastava fare l'aggiornamento importante segnalato da Microsoft

primoair
02-05-2004, 10.26.19
Guarda qui:
http://www.microsoft.com/italy/technet/solutions/security/04/ms04_011.asp

Bico Bico
02-05-2004, 12.13.26
Non è il nuovo Blaster, è semplicemente un nuovo worm chiamato Sasser:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html

invernomuto
02-05-2004, 13.32.35
Originariamente inviato da primoair
E' il nuovo Blaster bastava fare l'aggiornamento importante segnalato da Microsoft ...oppure avere un buon fw in esecuzione...

Pistol-pete
02-05-2004, 14.57.21
tutto a posto. ho aggiornato con la patch indicata da te primoair e adesso va a meraviglia. thks!

mxxx
02-05-2004, 15.36.06
Forse che quello che mi è successo oggi è correlato con questo thread...

all'avvio mi appare una finestra di DOS (v. immagine) che mi richiede di connettermi ad internet, con PC-Cillin faccio la scansione e mi trova un virus nella cartella C:\WINDOWS\system32\drivers\etc di nome DOS_AGOBOT.HM nel file hosts, il problema che ad ogni riavvio il file si ricrea e io sono alla situazione di partenza, cosa posso fare?

Grazie!

(ho dovuto ritagliare l'immagine per motivi di spazio)

primoair
02-05-2004, 16.56.25
Originariamente inviato da mxxx
Forse che quello che mi è successo oggi è correlato con questo thread...

all'avvio mi appare una finestra di DOS (v. immagine) che mi richiede di connettermi ad internet, con PC-Cillin faccio la scansione e mi trova un virus nella cartella C:\WINDOWS\system32\drivers\etc di nome DOS_AGOBOT.HM nel file hosts, il problema che ad ogni riavvio il file si ricrea e io sono alla situazione di partenza, cosa posso fare?

Grazie!

(ho dovuto ritagliare l'immagine per motivi di spazio)
Guarda e vedrai che hai il firewall disattivato.

mxxx
02-05-2004, 17.11.00
Originariamente inviato da primoair

Guarda e vedrai che hai il firewall disattivato.

grazie primo,
però il firewall c'è l'ho sempre disattivato (e vorrei tenerlo così) e la finestra parte senza che io sia connesso ... vorrei eliminare la fonte del problema e scoprire cosa accade ad ogni avvio di win...

cmq GRAZIE! :)

tatore
18-06-2007, 11.29.26
mi manderesti la ptch cortesemente tramite e-mail
la kia email
xxxxxxxxxxxxx

[edit by Thor: non è concesso mettere sul forum il proprio indirizzo email; contatta chi vuoi tramite messaggio privato]