Vraag & Antwoord

Beveiliging & privacy

Norton AntiVirus 'onbruikbaar'. RPC? W32.Blaster.Worm?

5 antwoorden
  • Hallo, Ik zit met een probleem en pas vandaag kreeg ik het vermoeden van een virus. Wat is de situatie: er staan hier twee pc's en een laptop. Op de pc's is Windows 2000 geïnstalleerd en op de laptop Windows XP. Op de laptop is overduidelijk de Win32.Blaster.Worm actief. Het beruchte RPC/restart scherm verschijnt. De beide pc's vertonen ook vreemde kuren. Van tijd tot tijd blijven ze hangen voor een seconde of 3/4 en gaan vervolgens weer verder. Soms valt het netwerk/de internetverbinding 'weg'. En dan Norton AntiVirus. Deze is op beide systemen geïnstalleerd, maar wanneer ik het scherm wil openen, dan duurt het één seconde en hij valt weer weg. Ik kan er dus niets mee. Alsof iets het telkens bij activeren direct de-activeert. Aangezien de drie systemen aan een lokaal netwerk hangen, is het niet zo vreemd dat ze op de één of andere manier elkaar hebben besmet. Ik dacht te hebben gelezen, dat het virus zich spontaan via het netwerk verspreidt, dus alleen al wanneer er enkel een verbinding is. Kent iemand deze verschijnselen? Ik vind het namelijk bijzonder vervelend en ik vermoed echt dat het gaat om een virus. Alvast ontzettend bedankt en groeten, Jeroen P.S. Over dat verspreiden het volgende. Een kennis van mij had hetzelfde probleem. Het was een volledig nieuw systeem, vers uit de winkel. We hebben er verder zelf alleen nog Office op geïnstalleerd. Daarna de internetverbinding voor elkaar gemaakt. De eerste en ook meteen de laatste website voor het virus was kazaalite.tk. De enige bron van dat virus (ook de W32.Blaster.Worm) kan eigenlijk die website zijn geweest.
  • Over dat RPC Blaster virus zijn al een stuk of vijftig topics. Zoek je daar zelf of zal ik dat voor je doen?
  • Als je je geroepen voelt, moet je het zeker niet laten. Ik heb mij rot gezocht (ook met Google), maar ik kan niets vinden over de specifieke symptomen, die ik ondervind.
  • Ook het verschijnsel van het constant versturen van pakketjes is ook aanwezig. Zie hieronder een gedeelte van een 'netstat -a' uitvoer (dat continu door blijft gaan): TCP pentium3-800:1118 10.0.0.33:epmap SYN_SENT TCP pentium3-800:1119 10.0.191.253:epmap SYN_SENT TCP pentium3-800:1120 10.0.0.33:epmap SYN_SENT TCP pentium3-800:1121 10.0.0.33:epmap SYN_SENT TCP pentium3-800:1122 10.0.191.253:epmap SYN_SENT TCP pentium3-800:1123 10.0.0.33:epmap SYN_SENT TCP pentium3-800:1124 10.0.191.253:epmap SYN_SENT TCP pentium3-800:1125 10.0.4.83:epmap SYN_SENT TCP pentium3-800:1126 10.0.0.33:epmap SYN_SENT TCP pentium3-800:1127 10.0.191.253:epmap SYN_SENT Het vreemde is wel, dat de Removal Tool van het Win32.Blaster.Worm-virus helemaal het virus niet kan vinden. Dus het zal waarschijnlijk iets anders zijn. Zie verder de verschijnselen van de eerste post van dit topic.
  • blaster varianten kunnen gewoon via port 135 inbound naar binnen sluipen ... vanaf het moment dat jij op internet zit kan die naar binnen ... Totdat je die port 135 dichtgooit ... Dan is het einde verhaal met een blasterbinnenkomst ... Dus die website van kazaa zal de schuldige niet zijn geweest ... Dat houdt verder ook in dat dus in een lokaal netwerk, die worm zichzelf ook gewoon kan verspreiden naar andere pc's, via die port 135 ... die syn flood die je ziet, wordt volgens mij verklaard doordat als blaster zichzelf heeft geinstalleerd hij MS gaat flooden met DOS aanvallen .. En een syn attack wat jij ziet is dus niet meer dan een herhaaldelijke aanvraag op die servers van MS .. Doordat ze googelen met de return ( syn-ack) kunnen ze die aanvraag (syn) blijven sturen en dus op die manier de serverlijnen overbelasten ... lang leve de denial of service ... Echter denk ik wel dat je behalve blaster nog een virus hebt opgelopen ... En dat je dus daardoor ook gemixte info van je netwerkje krijgt ... probeer anders eens de removal tool voor blaster van www.bitdefender.com ... Staan toch een stuk beter aangeschreven dan symantec ... en scan eens online met panda antivirus of housecall ... En als je dan eerst zorgt dat port 135 local inbound dichtzit op alle pc's op je netwerk en ook op je router ... ( stel dat je alleen de router doet, kunnen de pc's elkander nog blijven besmetten in een vicieuze cirkel ) Lijkt mij dat er wel wat verbering in zou moeten gaan komen dan Enne ... gebruik ff de search hiero op RPC en/of BLASTER ... hebbie zo'n 40 topics leesvoer ...

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.