Orbene,
una mattina, senza causa apparente, accendi il tuo lap e, magia, un nuovo errore di windows (devo dire che da quando ho 2K mi ero un poco disabituato a questa cosa, i sono quasi ;) spaventato).

Sommario dell'errore

Exception dell'applicazione:
App: (pid=1288)
Ora: 18/06/2002 @ 22:31:42.218
Numero exception: c0000005 (access violation)
.
.

Versione di Windows 2000: 5.0
Build corrente: 2195
Service Pack: 2

*----> Elenco Task <----*
0 Idle.exe
8 System.exe
140 smss.exe
164 csrss.exe
160 winlogon.exe
212 services.exe
224 lsass.exe
392 svchost.exe
420 SPOOLSV.exe
472 ati2evxx.exe
540 defwatch.exe
556 svchost.exe
572 NDMAgent.exe
588 HPConfig.exe
648 rtvscan.exe
716 regsvc.exe
736 mstask.exe
784 winmgmt.exe
832 mspmspsv.exe
1032 winmgmt.exe
1080 explorer.exe
1132 SynTPLpr.exe
1140 SynTPEnh.exe
1148 atiptaxx.exe
1164 vptray.exe
1248 ESSD.exe
1256 histkill.exe
1268 dpps2.exe
1288 dllmgr32.exe Il fetido colpevole
900 drwtsn32.exe
1328 OSA9.exe
1356 MSOFFICE.exe
0 _Total.exe

Segue la solita paccata di roba di DrWatson.


Qualcuno mi può dare delucidazioni in merito: tanto per dire non ho idea di che cosa faccia dllmgr32.exe (anche se dal nome sembrerebbe di intuire qualcosa :p ).

Di recente non ho fatto manovre radicali sul PC (super puliture o simili) nè installato e rimosso sw vari.

Il PC apparentemente non ne soffre (anche se sembra un po' più lentino in operazioni di apertura e chiusura finestre).


Grazie a tutti.

Bye

Scusa... sei proprio sicuro che si tratti del file dllmgr32.exe... :eek:

Se hai postato il nome file corretto allora ti avvero che sei il fortunato possessore del nuovissimo virus WORM_HIGUY.A !!! :S

Per maggiori delucidazioni dai un'occhiata qui (http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_HIGUY.A).



SALUDOS Y BESOS !!!

Originariamente inviato da RNicoletto
Scusa... sei proprio sicuro che si tratti del file dllmgr32.exe... :eek:

Se hai postato il nome file corretto allora ti avvero che sei il fortunato possessore del nuovissimo virus WORM_HIGUY.A !!! :S

Per maggiori delucidazioni dai un'occhiata qui (http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_HIGUY.A).



SALUDOS Y BESOS !!!

:eek: :eek: :eek:

Originariamente inviato da RNicoletto
Scusa... sei proprio sicuro che si tratti del file dllmgr32.exe... :eek:

Se hai postato il nome file corretto allora ti avvero che sei il fortunato possessore del nuovissimo virus WORM_HIGUY.A !!! :S

Per maggiori delucidazioni dai un'occhiata qui (http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_HIGUY.A).



SALUDOS Y BESOS !!!

:eek: INCREDIBBILE :eek:

Come sempre (o quasi :p ) hai ragione.

Avendo nella rete aziendale ho controllato anche Symantec (http://securityresponse.symantec.com/avcenter/venc/data/w32.higuy@mm.html)

e direi che mi ritrovo abbastanza.
A differenza di quanto segnalato dal tuo link dllmgr32.exe non è in esecuzione sulla macchina per cui non devo fermarlo da Task Manager (e il fatto che non si avvii è il messaggio che mi ha preoupato vedi msg iniziale).
Le chiavi di registro sono (erano) presenti.
Sono pressochè certo di aver visto la finestra mostrata come comportamento del worm. Probabilmente era la versione Tattoo.exe ma non riesco a farmi venire in mente :wall: dove @zzo l'ho trovato/ricevuto (nella posta archiviata non c'è).
Ultimo dubbio: sul PC c'è NAV Corporate con Virus Definition File Version 12-06-2002 Rev. 7.
Io non posso aggiornare nulla (lo fa in automatico quando mi collego al network e le opzioni di aggiornamento sono disabilitate); Symantec è fuori con la 19-06-2002. Che il nostro IT Staff sia tuto in ferie ? :S


Grazie comunque.

P.S. Mi daresti una mano a fare quanto suggerito in merito alla rimozione/disabilitazione dei servizi non necessari. Ricordo di aver letto qualcosa anche qui ma non ricordo dove, e comunque ci avevo capito poco.

Bye

Originariamente inviato da Nemesis67


:eek: INCREDIBBILE :eek:

Come sempre (o quasi :p ) hai ragione.

Molto quasi... :D

Avendo nella rete aziendale ho controllato anche Symantec (http://securityresponse.symantec.com/avcenter/venc/data/w32.higuy@mm.html)

e direi che mi ritrovo abbastanza.
A differenza di quanto segnalato dal tuo link dllmgr32.exe non è in esecuzione sulla macchina per cui non devo fermarlo da Task Manager (e il fatto che non si avvii è il messaggio che mi ha preoupato vedi msg iniziale).

Che culo ! :p

In questo modo non si è propagato come ci si aspetta che faccia.

Le chiavi di registro sono (erano) presenti.
Sono pressochè certo di aver visto la finestra mostrata come comportamento del worm. Probabilmente era la versione Tattoo.exe ma non riesco a farmi venire in mente :wall: dove @zzo l'ho trovato/ricevuto (nella posta archiviata non c'è).
Ultimo dubbio: sul PC c'è NAV Corporate con Virus Definition File Version 12-06-2002 Rev. 7.
Io non posso aggiornare nulla (lo fa in automatico quando mi collego al network e le opzioni di aggiornamento sono disabilitate); Symantec è fuori con la 19-06-2002. Che il nostro IT Staff sia tuto in ferie ? :S

Può darsi che la virus definition del NAV non l'abbia ancora contemplato... :S

D'altra parte il link che ti ho postato riportata di averlo individuato neppure una settimana fa'.

Grazie comunque.

P.S. Mi daresti una mano a fare quanto suggerito in merito alla rimozione/disabilitazione dei servizi non necessari. Ricordo di aver letto qualcosa anche qui ma non ricordo dove, e comunque ci avevo capito poco.

Bye
Se n'è parlato in diversi threads; dai un'occhiata a questi per cominciare:

http://www.msni.it/forum/showthread.php?s=&threadid=30615
http://www.msni.it/forum/showthread.php?s=&threadid=33933
http://www.msni.it/forum/showthread.php?s=&threadid=29114

Troverai link a 2-3 guide di tweaking per i servizi di Win2k + i suggerimenti dei membri del forum.

Rimango a disposizione per chiarimenti. ;)



SALUDOS Y BESOS !!!