PDA

Visualizza versione completa : Aiutatemi a risolvere questo mistero (virus)


Bico Bico
15-10-2003, 23.56.29
Premettendo che io sono abbastanza maniaco della sicurezza del mio PC; tutto quello che posso fare per evitare virus e affini lo faccio senza indugi, non apro allegati da persone sconosciute, disabilito sempre l'anteprima in Outlook e di certo non scarico via P2P il primo file che mi capita a tiro.
Aggiungo inoltre che ho sempre scaricato tempestivamente e con grande solerzia tutte le patch proposte da Windows Update; utilizzo regolarmente un antivirus a pagamento e firewall sempre attivi ed aggiornati; infine mi garantisco sempre la privacy con programmi quali SpyBot, AD-aware e magari PestPatrol.
Fatto sta che da anni che navigo in Internet virus e worm non hanno mai fatto in tempo ad invadere il mio PC, tantomeno ad eseguirsi su di esso.

Oggi ho avuto una brutta sorpresa; vado a fare una scansione con SpyBot, semplice manutenzione ordinaria, e alla fine della scansione mi trova il file svrscr.exe nella directory di Windows (o un nome simile, ora non ricordo) che corrisponde al worm Opaserv. Li mi sono letteralmente usciti gli occhi di fuori :eek: immaginatevi l'impatto che può avere una cosa del genere su un maniaco della sicurezza come me, dato anche dal fatto che il mio fedele McAfee sempre attivo e aggiornato non mi ha mai segnalato nulla. Attivo la visualizzazione dei file nascosti e mi precipito nella directory principale di Windows, e trovo un bel pò di file nascosti, tutti corrispondenti al worm Opaserv (MARCO!.SCR, BRASIL.PIF, ALEVIR.EXE e via dicendo...). Controllo tra i processi attivi nel Task Manager, tutto regolare, nulla di sospetto. Vado a vedere nel registro cosa c'è all'avvio ma niente, tutto regolare. A questo punto deduco che l'unica traccia del worm presente nel mio PC sono solo quei file li. Per sicurezza prendo da Internet un pò di tool per la rimozione del suddetto di worm, tra cui il BitDefender, NOD32, McAfee Stinger e Symantec FixOpaserv. i Primi tre non rilevano nulla (!), solo il tool della Symantec segnala la presenza dei file di Opaserv, anche se non è in grado di rimuoverli. A 'sto punto acchiappo tutti sti benedetti file e li fiondo nel cestino, dato che non c'era altro modo.
La cosa singolare è che questi file in realtà sono tutte cartelle di 0 KB (quindi vuote) con nomi che terminano per .SCR o .EXE (vedi un esempio nell'allegato).
Stasera, deciso di fare un ultimo controllino a mano per cercare altri file sospetti, e indovinate un pò chi mi ritrovo in System32? Nientedimeno che MSBLAST.EXE, anche questo sotto forma di cartella e grande 0 KB. E a fargli compagnia ci sono anche tutte e varianti del worm Blaster, come MSLAUGH.EXE etc... Come per Opaserv, non c'è altra traccia di Blaster nel mio PC, perciò niente processi attivi sospetti e niente di strano nel registro.
Da qui il mio stupore raddoppia e a questo punto sono arrivato a postare qui sul forum. Nessun antivirus individua questi file come infetti, anche perchè vi ripeto che inspiegabilmente si tratta di cartelle vuote di soli 0 KB (vedi allegato) e sono state create tutte quante nello stesso momento, ovvero l'11 ottobre alle 15.49, mentre ero connesso. Può essere che siano entrate in un momento in cui il firewall era disattivato ma per fortuna essendo installate tutte le patch critiche non hanno fatto danni? Forse in qualche modo ho peccato di presunzione credendomi troppo al sicuro? Altrimenti non saprei come spegarlo...

Che dite, devo preoccuparmi? A qualcuno è mai capitato qualcosa di simile o sa darne una spegazione?

Bho :confused:

Bico Bico
16-10-2003, 00.02.28
Ho anche questi:

Bico Bico
16-10-2003, 00.03.10
e per finire queste varianti di Blaster:

Giorgius
16-10-2003, 00.22.50
Hai disattivato il "Ripristino configurazione di Sistema"?

Usa anche Hjackthis per controllare il Registro di Winzozz ;)

Avast Virus Cleaner
http://www.avast.com/files/eng/aswclnr.exe

Bico Bico
16-10-2003, 00.28.36
Originariamente inviato da Giorgius
Hai disattivato il "Ripristino configurazione di Sistema"?

Usa anche Hjackthis per controllare il Registro di Winzozz ;)

Ho Windows 2000 SP4, perciò il ripristino di sistema non c'è l'ho proprio ;)

Giorgius
16-10-2003, 00.31.39
Vai in mod provvisoria ed elimina le cartelle, poi verifica in modalità normale se si ripresenta il problema. ;)

davlak
16-10-2003, 00.50.14
secondo me ti sono semplicemente entrati a metà, nel senso che i veri e propri codici infetti non li hai, ma qualche voce di registro si...e crea quelle cartelle vuote...probabilmente il McAfee ha fatto il suo dovere, ma non conosciamo gli esiti delloperazione, che potrebbe, appunto, limitarsi a "svuotare" il file e ridurlo a 0 byte.

certo che darli una ripulita non sarebbe male, ma soprattutto cercare quelle voci nel registro.

strano però, non ho nè FW nè AV e a me non sta entrando nulla, ho seguito le dritte di Giorgius, mi sono scaricato il DCOMbob.exe ho disabilitato il DCOM.

davlak
16-10-2003, 00.51.33
p.s.: però PENIS32 eccheccavolo :p mi pare proprio esageratooooo!!! no?

:D

Bico Bico
16-10-2003, 01.00.42
Originariamente inviato da davlak
p.s.: però PENIS32 eccheccavolo :p mi pare proprio esageratooooo!!! no?

:D

LOLLOSO :D allora questo si che è un virus... c@zzuto :p :D (oddio che c@zzata... va bè, questa me la potevo risparmiare)

Comunque nel registro ci ho guardato bene e con Regedit ho cercato tutti i nomi delle suddette cartelle, ma niente di niente. Stesso risultato ottenuto con le JV16 Power Tools, ho impostato i paramentri di ricerca al massimo (sia i nomi delle chiavi che i nomi dei valori, e persino i dati dei valori) ma non sembra esistere nessun riferimento ai virus o a quelle cartelle misteriose.

Bho :confused: ancora non caspisco da dove sono spuntate fuori...

Giorgius
16-10-2003, 04.22.01
Probabile che hai qualcosa (Cd, memorie flash o altro) con i suddetti Worm, i quali non sono più capaci di attivarsi nel tuo SO grazie ad alcune Patch ufficiali Ms installate in prec. ;)