palomuurin säätö

leila

Kun avaan nettiyhteyden palomuuri ilmoittaa että koneelle olis tulossa paketteja C/WINDOWS/SYSTEM 32/SVCHOST.EXE tul kantsiiko antaa tulla ja mistä saisi tietoa mitä hyväksyä mitä kieltää ?

8

609

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • huhuh

      Älä missään tapauksessa päästä sitä koneellesi. Se yksi näistä tällä hetkellä liikkeellä olevista madoista. Kannattaisi kävästä vaikka f-securen sivuilta lukemassa niin tiedät mitkä vaarallisia.

    • hannu

      blaah, kerro mikä portti on kyseessä niin vois jotain apuja kertoakin. blokkaamalla scvhostin kokonaan et paljon netissä surffaa.
      Yleensäkään tällä palstalla jengi ei tajua mistään mitään ja sortuu ylistämään mutua.

      • leila

        Palomuurin loki:paikallinen (1024-65535) etä:(kaikki) (1024-655535).Auttakaa asiantuntijat!


      • tietoja
        leila kirjoitti:

        Palomuurin loki:paikallinen (1024-65535) etä:(kaikki) (1024-655535).Auttakaa asiantuntijat!

        Welchi
        ALIAS: Nachi, Welchia, WORM_MSBLAST.D, Sachi
        SIZE: 1240

        TÄMÄ VIRUS ON LUOKITELTU 2-TASON
        RADAR -HÄLYTYKSEKSI
        Lisätietoja:
        http://www.F-Secure.com/products/radar/

        Tämä uusi RPC-mato löydettiin 18.8.2003. Se leviää turvareikien kautta, yrittää poistaa Lovsan-madon ja asentaen turvapäivityksiä. Se myös aikaansaa hurjasti turhaa verkkoliikennettä.

        Tämä mato on toiminnallisuudeltaan hieman samanlainen kuin Lovsan-mato. Se käyttää tiedostoa DLLHOST.EXE (itse mato) ja SVCHOST.EXE (TFTP-palvelin). Huomioi, että DLLHOST.EXE ja SVCHOST.EXE tiedostot ovat tavallisten Windows-järjestelmän tiedostojen kanssa samannimisiä.

        Nämä tiedostot voivat löytyä saastuneesta järjestelmästä seuraavista hakemistoista:

        Mato:

        %systemDir%winsDLLHOST.EXE

        Uudelleennimetty TFTP-palvelin:

        %systemDir%winsSVCHOST.EXE

        Mato tartuttaa koneen käyttäen samaa tietoturva-aukkoa kuin Lovsan-mato. Lisätietoja aukon tukkimisesta Lovsan-madon kuvauksesta
        http://www.f-secure.com/v-descs/msblast.shtml

        Tämän lisäksi mato yrittää tartuttaa IIS 5.0 palvelimia WebDAV-tietoturva-aukkoa käyttäen. Lisätietoja maaliskuussa 2003 löytyneestä aukosta löytyy Microsoftin sivulta:
        http://www.microsoft.com/technet/security/bulletin/MS03-007.asp

        Welchi-mato saastuttaa Windows XP -koneita käytttäen RPC-aukkoa sekä Windows 2000 ja XP -koneita käyttäen WebDAV-aukkoa.

        Mato pyrkii myös poistamaan Lovsan.A-madon koneesta ja asentamaan Microsoftin korjauspaketit sulkeakseen RPC-aukon. Näin tehdäkseen, se yrittää kopioida korjauksen kahdeksasta eri osoitteesta kieliversiosta riippuen (Englanti, Kiina, Yksinkertaistettu Kiina ja Korea) sekä Windows XP ja Windows 2000 käyttöjärjestelmille. Virus ei paikkaa suomenkielisiä Windowseja.

        Pyrkiessään poistamaan Lovsan.A-madon, se etsii prosesseja joissa on msblast-merkkijono nimessä ja lopettaa ne. Tämän jälkeen mato poistaa %systemdir%msblast.exe-tiedoston.

        Welchi on siis anti-virus-virus.

        Ajon yhteydessä mato luo "RpcPatch_Mutex"-nimisen muteksin, joten ainoastaan yksi kopio madosta on aktiivinen.

        Mato sisältää seuraavanlaisen merkkijonon, jota ei koskaan näytetä:

        I love my wife & baby :)
        ~~~ Welcome Chian~~~
        Notice: 2004 will remove myself:)
        ~~ sorry zhongli~~~

        Poistotyökalu

        F-Secure on tehnyt työkalun, joka poistaa Welchi-tartunnan koneelta ja kaikki viruksen aiheuttamat jäljet. Poistotyökalu ja englanninkielinen käyttöohje löytyy osoitteesta

        ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.zip
        ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.txt
        ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.exe
        ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.jar

        Ota huomioon että mato luo palvelun (Service) joka aktivoi normaalin TFTP-palvelimen. Tätä palvelua ei pysäytetä ja normaalia (mutta uudelleennimettyä) TFTP-palvelinta ei poisteta F-Secure Anti-Viruksen puhdistustoiminnolla. Palvelun poistamiseksi käytä poistotyökalua. Uudelleennimetty palvelin voidaan käsin poistaa koneelta. Tiedoston sijainti on aikasemmin mainittu tässä kuvauksessa.

        Manuaalinen puhdistus

        Kuten aikaisemmin mainittu, mato lopettaa toimintansa kun tietokoneen kello on asetettu vuoteen 2004. Tätä toiminnallisuutta voidaan käyttää myös järjestelmän puhdistukseen.

        Automatisointi onnistuu järjestelmän date- ja shutdown-komentoja käyttäen:

        DATE 01-01-2004
        SHUTDOWN -r

        Tunnistus

        F-Secure Anti-Virus tunnistaa Welchi-madon päivityksillä, jotka on julkaistu 18. elokuuta 2003:

        Version=2003-08-18_03

        [Kuvaus: Mikko Hypponen ja Ero Carrera, 18.8.2003]


      • hannu
        leila kirjoitti:

        Palomuurin loki:paikallinen (1024-65535) etä:(kaikki) (1024-655535).Auttakaa asiantuntijat!

        Scvhost.exe ajaa useita geneerisiä palveluita 2k/xp koneella, joista DNS (port53) ja DHCP (port67/68) jätetään auki. Tai sitten asettaa scvhost.exe:lle "severe rights" -asetus, riippuen mitä palomuuria käytät.
        Viestistä ei käy edelleenkään ilmi käyttämäsi käyttöjärjestelmä, palomuuri tai yhteystyyppisi. Oletettavasti XP, bugiZA ja xDSL. Jos tuntuu tippuvan veneestä jo nyt niin hyvä vaihtoehto on ottaa Windowsin oma palomuuri käyttöön, se ajaa kyllä asiansa.


      • leila
        hannu kirjoitti:

        Scvhost.exe ajaa useita geneerisiä palveluita 2k/xp koneella, joista DNS (port53) ja DHCP (port67/68) jätetään auki. Tai sitten asettaa scvhost.exe:lle "severe rights" -asetus, riippuen mitä palomuuria käytät.
        Viestistä ei käy edelleenkään ilmi käyttämäsi käyttöjärjestelmä, palomuuri tai yhteystyyppisi. Oletettavasti XP, bugiZA ja xDSL. Jos tuntuu tippuvan veneestä jo nyt niin hyvä vaihtoehto on ottaa Windowsin oma palomuuri käyttöön, se ajaa kyllä asiansa.

        Xp ,nettikilpi (kokeiluaika) sonersa adsl. Eli lähtevästä liikenteestä ymmärrän paremmin mutta tuo Scvhost.exe ilmoitetaan tulevaksi ja herjaa aina yhteyden muodostuksen aikana . Tuota nettikilpeä halusin kokeilla suomenkielisyyden takia .


      • leila
        leila kirjoitti:

        Xp ,nettikilpi (kokeiluaika) sonersa adsl. Eli lähtevästä liikenteestä ymmärrän paremmin mutta tuo Scvhost.exe ilmoitetaan tulevaksi ja herjaa aina yhteyden muodostuksen aikana . Tuota nettikilpeä halusin kokeilla suomenkielisyyden takia .

        Piti kirjoittaa.


      • jani
        leila kirjoitti:

        Xp ,nettikilpi (kokeiluaika) sonersa adsl. Eli lähtevästä liikenteestä ymmärrän paremmin mutta tuo Scvhost.exe ilmoitetaan tulevaksi ja herjaa aina yhteyden muodostuksen aikana . Tuota nettikilpeä halusin kokeilla suomenkielisyyden takia .

        Oletko varma ettei koneesi kysele jotain (normaalia toimintaa)? Esim. ping kyselyyn pitää tulla vastaus tai tulee tulokseksi "timeout". Nettisivutkin _haetaan_ kaukaiselta palvelimelta, eli sieltä pitääkin tulla sinua kohti tavraa. Oletko varma että ymmärrät homman jujun? Tässä pelataan nimenomaan porttien numeroilla, palomuuri tukkii ja valvoo koneesi portteja. ookke?


    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Putin hoiti Suomen natoon ja myös Ruotsin

      Iso kiitos Vladimir Putinille. Hänen ansiosta pääsemme nyt Natoon. Putin halusi Naton lähelle ja nyt sai. Voimme tästä kiittää vain Putinia.
      Maailman menoa
      657
      8035
    2. Niinistö teki hetkessä Suomesta Venäjän ydinaseiden maalitaulun

      Kaiken lisäksi mies vielä lällätteli Putinille eilisessä tiedotustilaisuudessa ja käski katsomaan itseään peiliin. Kyllä vähän asiallisempaa käytöstä
      Maailman menoa
      467
      2310
    3. Voi Stefu ja sun kiivas luonteesi

      Sielä lentelee ullakkohuoneiston ikkunasta daamin vaatteet ja matkalaukut pitkin pihaa. Toisaalta,en ihmettele yhtään että tämä suhde päättyi näin,kyl
      Kotimaiset julkkisjuorut
      233
      2237
    4. Poliisi otti Stefun kiinni!

      Seiska tietää kertoa.
      Kotimaiset julkkisjuorut
      147
      1809
    5. Ohhoh! Martina Aitolehti ja seurapiirihurmuri-Jesper ekassa yhteiskuvassa - Sutinaa Mallorcalla!

      Martina Aitolehti ja seurapiirijulkkis-Jesper nauttivat toisistaan varsin vauhdikkaissa merkeissä Mallorcalla. Aitolehti ei ole esitellyt rakastaan vi
      Kotimaiset julkkisjuorut
      28
      1315
    6. Veikkaus: Miten The Rasmus pärjää Euroviisuissa?

      Euroviisuhuuma on ylimmillään, kun Suomi ja The Rasmus taistelee biisillään Jezebel. Bändi on tikissä, kunhan Lauri Ylösen ääni kantaa. Mitä veikka
      Viihde ja kulttuuri
      51
      1245
    7. Stefanilta tuli taas karu totuus Sofiasta

      Marokkolainen h*o*ra! Voi tsiisus kun mulla on hauskaa! Lumput lentää ikkunasta kun Stefu raivoaa h*uralleen🤣🤣🤣 Nyt ne popparit tulille, tästä tule
      Kotimaiset julkkisjuorut
      113
      1195
    8. Ootko onnellinen kun ei tarvitse

      nähdä tätä tyhmää naamaa enää koskaan? Multa se särkee sydämen, mutta minkäs teen. Vaikka olisi kuinka sinnikäs eikä hellittäisi, se ei aina auta.
      Ikävä
      65
      856
    9. Steppuli veressä

      Seiskan lööpissä Steppulilla naama ja nyrkit veressä. Ei tainnut ihan kamojen pihalle paiskominen riittää. Onkohan pistänyt kämpän tuusannuuskaks.
      Kotimaiset julkkisjuorut
      60
      851
    10. Oletko nähnyt eroottiset kohuleffat? Fifty Shades Of Grey -trilogia tv:stä

      Fifty Shades -trilogia starttaa, kun nuori opiskelijanainen Anastasia tapaa rikkaan liikemiehen. Seksisuhdehan siitä starttaa, höystettynä sadistisill
      Suhteet
      7
      773
    Aihe