Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 15-10-2003, 23.56.29   #1
Bico Bico
Images And Words
 
L'avatar di Bico Bico
 
Registrato: 15-12-2002
Loc.: Roma
Messaggi: 2.362
Bico Bico promette bene
Aiutatemi a risolvere questo mistero (virus)

Premettendo che io sono abbastanza maniaco della sicurezza del mio PC; tutto quello che posso fare per evitare virus e affini lo faccio senza indugi, non apro allegati da persone sconosciute, disabilito sempre l'anteprima in Outlook e di certo non scarico via P2P il primo file che mi capita a tiro.
Aggiungo inoltre che ho sempre scaricato tempestivamente e con grande solerzia tutte le patch proposte da Windows Update; utilizzo regolarmente un antivirus a pagamento e firewall sempre attivi ed aggiornati; infine mi garantisco sempre la privacy con programmi quali SpyBot, AD-aware e magari PestPatrol.
Fatto sta che da anni che navigo in Internet virus e worm non hanno mai fatto in tempo ad invadere il mio PC, tantomeno ad eseguirsi su di esso.

Oggi ho avuto una brutta sorpresa; vado a fare una scansione con SpyBot, semplice manutenzione ordinaria, e alla fine della scansione mi trova il file svrscr.exe nella directory di Windows (o un nome simile, ora non ricordo) che corrisponde al worm Opaserv. Li mi sono letteralmente usciti gli occhi di fuori immaginatevi l'impatto che può avere una cosa del genere su un maniaco della sicurezza come me, dato anche dal fatto che il mio fedele McAfee sempre attivo e aggiornato non mi ha mai segnalato nulla. Attivo la visualizzazione dei file nascosti e mi precipito nella directory principale di Windows, e trovo un bel pò di file nascosti, tutti corrispondenti al worm Opaserv (MARCO!.SCR, BRASIL.PIF, ALEVIR.EXE e via dicendo...). Controllo tra i processi attivi nel Task Manager, tutto regolare, nulla di sospetto. Vado a vedere nel registro cosa c'è all'avvio ma niente, tutto regolare. A questo punto deduco che l'unica traccia del worm presente nel mio PC sono solo quei file li. Per sicurezza prendo da Internet un pò di tool per la rimozione del suddetto di worm, tra cui il BitDefender, NOD32, McAfee Stinger e Symantec FixOpaserv. i Primi tre non rilevano nulla (!), solo il tool della Symantec segnala la presenza dei file di Opaserv, anche se non è in grado di rimuoverli. A 'sto punto acchiappo tutti sti benedetti file e li fiondo nel cestino, dato che non c'era altro modo.
La cosa singolare è che questi file in realtà sono tutte cartelle di 0 KB (quindi vuote) con nomi che terminano per .SCR o .EXE (vedi un esempio nell'allegato).
Stasera, deciso di fare un ultimo controllino a mano per cercare altri file sospetti, e indovinate un pò chi mi ritrovo in System32? Nientedimeno che MSBLAST.EXE, anche questo sotto forma di cartella e grande 0 KB. E a fargli compagnia ci sono anche tutte e varianti del worm Blaster, come MSLAUGH.EXE etc... Come per Opaserv, non c'è altra traccia di Blaster nel mio PC, perciò niente processi attivi sospetti e niente di strano nel registro.
Da qui il mio stupore raddoppia e a questo punto sono arrivato a postare qui sul forum. Nessun antivirus individua questi file come infetti, anche perchè vi ripeto che inspiegabilmente si tratta di cartelle vuote di soli 0 KB (vedi allegato) e sono state create tutte quante nello stesso momento, ovvero l'11 ottobre alle 15.49, mentre ero connesso. Può essere che siano entrate in un momento in cui il firewall era disattivato ma per fortuna essendo installate tutte le patch critiche non hanno fatto danni? Forse in qualche modo ho peccato di presunzione credendomi troppo al sicuro? Altrimenti non saprei come spegarlo...

Che dite, devo preoccuparmi? A qualcuno è mai capitato qualcosa di simile o sa darne una spegazione?

Bho
___________________________________

Step after step we try controlling our fate, when we finally start living it's become too late.
Trapped inside this Octavarium!

..:: La configurazione del mio PC ::.. | powered by Athlon 64
Bico Bico non è collegato   Rispondi citando
Vecchio 16-10-2003, 00.02.28   #2
Bico Bico
Images And Words
 
L'avatar di Bico Bico
 
Registrato: 15-12-2002
Loc.: Roma
Messaggi: 2.362
Bico Bico promette bene
Ho anche questi:
___________________________________

Step after step we try controlling our fate, when we finally start living it's become too late.
Trapped inside this Octavarium!

..:: La configurazione del mio PC ::.. | powered by Athlon 64
Bico Bico non è collegato   Rispondi citando
Vecchio 16-10-2003, 00.03.10   #3
Bico Bico
Images And Words
 
L'avatar di Bico Bico
 
Registrato: 15-12-2002
Loc.: Roma
Messaggi: 2.362
Bico Bico promette bene
e per finire queste varianti di Blaster:
___________________________________

Step after step we try controlling our fate, when we finally start living it's become too late.
Trapped inside this Octavarium!

..:: La configurazione del mio PC ::.. | powered by Athlon 64
Bico Bico non è collegato   Rispondi citando
Vecchio 16-10-2003, 00.22.50   #4
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Hai disattivato il "Ripristino configurazione di Sistema"?

Usa anche Hjackthis per controllare il Registro di Winzozz

Avast Virus Cleaner
http://www.avast.com/files/eng/aswclnr.exe

Ultima modifica di Giorgius : 16-10-2003 alle ore 00.29.43
Giorgius non è collegato   Rispondi citando
Vecchio 16-10-2003, 00.28.36   #5
Bico Bico
Images And Words
 
L'avatar di Bico Bico
 
Registrato: 15-12-2002
Loc.: Roma
Messaggi: 2.362
Bico Bico promette bene
Quota:
Originariamente inviato da Giorgius
Hai disattivato il "Ripristino configurazione di Sistema"?

Usa anche Hjackthis per controllare il Registro di Winzozz
Ho Windows 2000 SP4, perciò il ripristino di sistema non c'è l'ho proprio
___________________________________

Step after step we try controlling our fate, when we finally start living it's become too late.
Trapped inside this Octavarium!

..:: La configurazione del mio PC ::.. | powered by Athlon 64
Bico Bico non è collegato   Rispondi citando
Vecchio 16-10-2003, 00.31.39   #6
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Vai in mod provvisoria ed elimina le cartelle, poi verifica in modalità normale se si ripresenta il problema.
Giorgius non è collegato   Rispondi citando
Vecchio 16-10-2003, 00.50.14   #7
davlak
Guest
 
Messaggi: n/a
secondo me ti sono semplicemente entrati a metà, nel senso che i veri e propri codici infetti non li hai, ma qualche voce di registro si...e crea quelle cartelle vuote...probabilmente il McAfee ha fatto il suo dovere, ma non conosciamo gli esiti delloperazione, che potrebbe, appunto, limitarsi a "svuotare" il file e ridurlo a 0 byte.

certo che darli una ripulita non sarebbe male, ma soprattutto cercare quelle voci nel registro.

strano però, non ho nè FW nè AV e a me non sta entrando nulla, ho seguito le dritte di Giorgius, mi sono scaricato il DCOMbob.exe ho disabilitato il DCOM.
  Rispondi citando
Vecchio 16-10-2003, 00.51.33   #8
davlak
Guest
 
Messaggi: n/a
p.s.: però PENIS32 eccheccavolo mi pare proprio esageratooooo!!! no?

  Rispondi citando
Vecchio 16-10-2003, 01.00.42   #9
Bico Bico
Images And Words
 
L'avatar di Bico Bico
 
Registrato: 15-12-2002
Loc.: Roma
Messaggi: 2.362
Bico Bico promette bene
Quota:
Originariamente inviato da davlak
p.s.: però PENIS32 eccheccavolo mi pare proprio esageratooooo!!! no?

LOLLOSO allora questo si che è un virus... c@zzuto (oddio che c@zzata... va bè, questa me la potevo risparmiare)

Comunque nel registro ci ho guardato bene e con Regedit ho cercato tutti i nomi delle suddette cartelle, ma niente di niente. Stesso risultato ottenuto con le JV16 Power Tools, ho impostato i paramentri di ricerca al massimo (sia i nomi delle chiavi che i nomi dei valori, e persino i dati dei valori) ma non sembra esistere nessun riferimento ai virus o a quelle cartelle misteriose.

Bho ancora non caspisco da dove sono spuntate fuori...
___________________________________

Step after step we try controlling our fate, when we finally start living it's become too late.
Trapped inside this Octavarium!

..:: La configurazione del mio PC ::.. | powered by Athlon 64

Ultima modifica di Bico Bico : 16-10-2003 alle ore 01.13.59
Bico Bico non è collegato   Rispondi citando
Vecchio 16-10-2003, 04.22.01   #10
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Probabile che hai qualcosa (Cd, memorie flash o altro) con i suddetti Worm, i quali non sono più capaci di attivarsi nel tuo SO grazie ad alcune Patch ufficiali Ms installate in prec.
Giorgius non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Virus Bagle e file nascosti p.tecnico Windows 7/Vista/XP/ 2003 20 04-11-2008 20.08.50
Moltitudine di Virus aiutatemi grazie turchettino Sicurezza&Privacy 2 26-10-2008 00.24.29
aiutatemi a risolvere questo problema bert Windows 7/Vista/XP/ 2003 1 19-04-2006 10.39.22
Virus SONY/parte II Flying Luka Archivio News Web 10 30-11-2005 05.04.10
E-mail, virus writer e spammer uniti per bug più insidiosi Giorgius Sicurezza&Privacy 1 19-08-2004 09.45.20

Orario GMT +2. Ora sono le: 23.29.42.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.