Šta je novo?
Od:
Filteri

Problem sa Verat-om i kolicinom poslatih byte-ova!

D

dekius

Čuven
Učlanjen(a)
15.02.2002
Poruke
633
Poena
630
Problem (ako to zaista jeste), je u odnosu poslatih i primljenih byte-ova koji je drasticno porastao u odnosu na uobicajenih 1/10 , na oko 1/4.5.To se dogadja na Verat SMIN konekciji , dok na 041 servisima koje sam probao radi uporedjenja odnos ostaje 1/10. Logicno je pretpostaviti da je u pitanju worm ili nesto slicno , ali me zbunjuje cinjenica da se to dogadja samo na Veratu (sad se setih, probao sam i na PTT-u i tamo je sve u redu).
Ako neko ima slicne probleme ili ideju neka prijavi . Inace msblast je uklonjen prvog dana po pojavljivanju (15 min. nakon uvaljivanja , cistom srecom) i patch KB823980 instaliran.
Dekius! :confused: :confused:
 
Pogeldaj da li imas Dllhost.exe u taskmanageru(processes) .
U kliko imas sledi ovaj link.
http://www.symantec.com/avcenter/venc/data/w32.welchia.worm.removal.tool.html
 
ZevS je napisao(la):
Pogeldaj da li imas Dllhost.exe u taskmanageru(processes) .
U kliko imas sledi ovaj link.
http://www.symantec.com/avcenter/venc/data/w32.welchia.worm.removal.tool.html
Kliknite za proširenje...
Ne , znam za dllhost varijantu , dllhost se regularno pojavljuje samo pri pokretanju IIS i nestaje pri gasenju istog. Inace koristim zone alarm i AVG. Jedina sumnjiva situacija mi je zahtev od services i controlers koji "bi hteli " da prihvataju konekcije sa interneta, sto uredno odbijam.
Naravno IIS je uvek iskljucen kad sam na netu, pa problem nije do toga.
Hvala za ideju svakako.
Dekius!
 
Ispravka

This variant is functionally similar to Lovsan. It uses files named DLLHOST.EXE and SVCHOST.EXE which is a tftp server. Note that DLLHOST.EXE and SVCHOST.EXE are names of normal Windows system files.

Znaci u pitanju je DLLHOST.EXE (uppercase) . -moja greska :))
 
Juce sam kod druga sredjivao slican virus (Nimcha-A ili vec tako nesto) koji takodje koristi dllhost i svchost.exe svi su varijante blastera...
 
Re: Ispravka

ZevS je napisao(la):
This variant is functionally similar to Lovsan. It uses files named DLLHOST.EXE and SVCHOST.EXE which is a tftp server. Note that DLLHOST.EXE and SVCHOST.EXE are names of normal Windows system files.

Znaci u pitanju je DLLHOST.EXE (uppercase) . -moja greska :))
Kliknite za proširenje...
OK, provericu SVCHOST.EXE jer DLLHOST.EXE nije prisutan na racunaru, osim vec pomenutog dllhost-a koji se ponasa sasvim regularno i ima odgovarajucu velicinu 5.69kb. Mada cini mi se i da je sa svc-om sve u redu jer se regularno pojavljuju dva u task manageru i ne zauzimaju nista od procesorskog vremena. Ima li neki karakteristican regkey koji bih mogao da proverim da eventualno otkrijem pomenute "zlocince"?
Dekius!
 
Mislim da je najlaksi nacin da se istestiras sa

http://www.symantec.com/avcenter/venc/data/w32.welchia.worm.removal.tool.html

Cini mi se da se fajlovi nalaze u

C:\Windows\System32\Wins\Dllhost.exe za Windows XP ili
C:\WinNT\System32\Wins\Dllhost.exe za Windows NT/2000

Reg. RpcTftpd i RpcPatc

Pozdrav .
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Vrh Dno