|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
15-10-2003, 23.56.29 | #1 |
Images And Words
Registrato: 15-12-2002
Loc.: Roma
Messaggi: 2.362
|
Aiutatemi a risolvere questo mistero (virus)
Aggiungo inoltre che ho sempre scaricato tempestivamente e con grande solerzia tutte le patch proposte da Windows Update; utilizzo regolarmente un antivirus a pagamento e firewall sempre attivi ed aggiornati; infine mi garantisco sempre la privacy con programmi quali SpyBot, AD-aware e magari PestPatrol. Fatto sta che da anni che navigo in Internet virus e worm non hanno mai fatto in tempo ad invadere il mio PC, tantomeno ad eseguirsi su di esso. Oggi ho avuto una brutta sorpresa; vado a fare una scansione con SpyBot, semplice manutenzione ordinaria, e alla fine della scansione mi trova il file svrscr.exe nella directory di Windows (o un nome simile, ora non ricordo) che corrisponde al worm Opaserv. Li mi sono letteralmente usciti gli occhi di fuori immaginatevi l'impatto che può avere una cosa del genere su un maniaco della sicurezza come me, dato anche dal fatto che il mio fedele McAfee sempre attivo e aggiornato non mi ha mai segnalato nulla. Attivo la visualizzazione dei file nascosti e mi precipito nella directory principale di Windows, e trovo un bel pò di file nascosti, tutti corrispondenti al worm Opaserv (MARCO!.SCR, BRASIL.PIF, ALEVIR.EXE e via dicendo...). Controllo tra i processi attivi nel Task Manager, tutto regolare, nulla di sospetto. Vado a vedere nel registro cosa c'è all'avvio ma niente, tutto regolare. A questo punto deduco che l'unica traccia del worm presente nel mio PC sono solo quei file li. Per sicurezza prendo da Internet un pò di tool per la rimozione del suddetto di worm, tra cui il BitDefender, NOD32, McAfee Stinger e Symantec FixOpaserv. i Primi tre non rilevano nulla (!), solo il tool della Symantec segnala la presenza dei file di Opaserv, anche se non è in grado di rimuoverli. A 'sto punto acchiappo tutti sti benedetti file e li fiondo nel cestino, dato che non c'era altro modo. La cosa singolare è che questi file in realtà sono tutte cartelle di 0 KB (quindi vuote) con nomi che terminano per .SCR o .EXE (vedi un esempio nell'allegato). Stasera, deciso di fare un ultimo controllino a mano per cercare altri file sospetti, e indovinate un pò chi mi ritrovo in System32? Nientedimeno che MSBLAST.EXE, anche questo sotto forma di cartella e grande 0 KB. E a fargli compagnia ci sono anche tutte e varianti del worm Blaster, come MSLAUGH.EXE etc... Come per Opaserv, non c'è altra traccia di Blaster nel mio PC, perciò niente processi attivi sospetti e niente di strano nel registro. Da qui il mio stupore raddoppia e a questo punto sono arrivato a postare qui sul forum. Nessun antivirus individua questi file come infetti, anche perchè vi ripeto che inspiegabilmente si tratta di cartelle vuote di soli 0 KB (vedi allegato) e sono state create tutte quante nello stesso momento, ovvero l'11 ottobre alle 15.49, mentre ero connesso. Può essere che siano entrate in un momento in cui il firewall era disattivato ma per fortuna essendo installate tutte le patch critiche non hanno fatto danni? Forse in qualche modo ho peccato di presunzione credendomi troppo al sicuro? Altrimenti non saprei come spegarlo... Che dite, devo preoccuparmi? A qualcuno è mai capitato qualcosa di simile o sa darne una spegazione? Bho
___________________________________
Step after step we try controlling our fate, when we finally start living it's become too late. Trapped inside this Octavarium! ..:: La configurazione del mio PC ::.. | powered by Athlon 64 |
16-10-2003, 00.02.28 | #2 |
Images And Words
Registrato: 15-12-2002
Loc.: Roma
Messaggi: 2.362
|
Ho anche questi:
___________________________________
Step after step we try controlling our fate, when we finally start living it's become too late. Trapped inside this Octavarium! ..:: La configurazione del mio PC ::.. | powered by Athlon 64 |
16-10-2003, 00.03.10 | #3 |
Images And Words
Registrato: 15-12-2002
Loc.: Roma
Messaggi: 2.362
|
e per finire queste varianti di Blaster:
___________________________________
Step after step we try controlling our fate, when we finally start living it's become too late. Trapped inside this Octavarium! ..:: La configurazione del mio PC ::.. | powered by Athlon 64 |
16-10-2003, 00.22.50 | #4 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Hai disattivato il "Ripristino configurazione di Sistema"?
Usa anche Hjackthis per controllare il Registro di Winzozz Avast Virus Cleaner http://www.avast.com/files/eng/aswclnr.exe Ultima modifica di Giorgius : 16-10-2003 alle ore 00.29.43 |
16-10-2003, 00.28.36 | #5 | |
Images And Words
Registrato: 15-12-2002
Loc.: Roma
Messaggi: 2.362
|
Quota:
___________________________________
Step after step we try controlling our fate, when we finally start living it's become too late. Trapped inside this Octavarium! ..:: La configurazione del mio PC ::.. | powered by Athlon 64 |
|
16-10-2003, 00.31.39 | #6 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Vai in mod provvisoria ed elimina le cartelle, poi verifica in modalità normale se si ripresenta il problema.
|
16-10-2003, 00.50.14 | #7 |
Guest
Messaggi: n/a
|
secondo me ti sono semplicemente entrati a metà, nel senso che i veri e propri codici infetti non li hai, ma qualche voce di registro si...e crea quelle cartelle vuote...probabilmente il McAfee ha fatto il suo dovere, ma non conosciamo gli esiti delloperazione, che potrebbe, appunto, limitarsi a "svuotare" il file e ridurlo a 0 byte.
certo che darli una ripulita non sarebbe male, ma soprattutto cercare quelle voci nel registro. strano però, non ho nè FW nè AV e a me non sta entrando nulla, ho seguito le dritte di Giorgius, mi sono scaricato il DCOMbob.exe ho disabilitato il DCOM. |
16-10-2003, 00.51.33 | #8 |
Guest
Messaggi: n/a
|
p.s.: però PENIS32 eccheccavolo mi pare proprio esageratooooo!!! no?
|
16-10-2003, 01.00.42 | #9 | |
Images And Words
Registrato: 15-12-2002
Loc.: Roma
Messaggi: 2.362
|
Quota:
Comunque nel registro ci ho guardato bene e con Regedit ho cercato tutti i nomi delle suddette cartelle, ma niente di niente. Stesso risultato ottenuto con le JV16 Power Tools, ho impostato i paramentri di ricerca al massimo (sia i nomi delle chiavi che i nomi dei valori, e persino i dati dei valori) ma non sembra esistere nessun riferimento ai virus o a quelle cartelle misteriose. Bho ancora non caspisco da dove sono spuntate fuori...
___________________________________
Step after step we try controlling our fate, when we finally start living it's become too late. Trapped inside this Octavarium! ..:: La configurazione del mio PC ::.. | powered by Athlon 64 Ultima modifica di Bico Bico : 16-10-2003 alle ore 01.13.59 |
|
16-10-2003, 04.22.01 | #10 |
Gold Member
Top Poster
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
|
Probabile che hai qualcosa (Cd, memorie flash o altro) con i suddetti Worm, i quali non sono più capaci di attivarsi nel tuo SO grazie ad alcune Patch ufficiali Ms installate in prec.
|
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
Virus Bagle e file nascosti | p.tecnico | Windows 7/Vista/XP/ 2003 | 20 | 04-11-2008 20.08.50 |
Moltitudine di Virus aiutatemi grazie | turchettino | Sicurezza&Privacy | 2 | 26-10-2008 00.24.29 |
aiutatemi a risolvere questo problema | bert | Windows 7/Vista/XP/ 2003 | 1 | 19-04-2006 10.39.22 |
Virus SONY/parte II | Flying Luka | Archivio News Web | 10 | 30-11-2005 05.04.10 |
E-mail, virus writer e spammer uniti per bug più insidiosi | Giorgius | Sicurezza&Privacy | 1 | 19-08-2004 09.45.20 |