Virus dopo formattazione

[luna11]

Succede questo:
Ho un hd da 120 Gb suddiviso in 2 partizioni, 20 Gb per il S.O (C). e 100gb per i dati ( E ).
Formatto C , installo il sistema operativo ( Win Xp Pro + Sp1 , disco originale).Installo norton antivirus ed i drivers del modem , mi collego al sito symantec per aggiornare l'antivius , poi a quello Microsoft per aggiornare il sistema operativo e.... prima sorpresa , mi esce un messaggio di Norton che mi avvisa della presenza del w32.sasser.b
Effettuo comunque l'aggiornamento e poi una scansione dell'antivirus che mi mette in quarantena una decina di files del tipo 1234_up.exe (W32.sasser.b)oppure 8586_upload.exe ( w32.sasser.E) , gli inconfondibili avserve2.exe ed isasss.exe, vari tftp ( sconosciuto),un x(1).exe che si rivela un w32.korgo.Q,un x(2) w32.korgo.L , ed un qhrsp.exe che è un w32.korgo.W, insomma una bella raccolta da far invidia alla stessa symantec.
Ma dove li ho presi?La risposta più ovvia sarebbe : dalla partizione E dove risiede di tutto.
Faccio una scansione con Spybotsd e proseguo installando dc+ e stop dialer , lascio il pc acceso tutta la notte . Al mattino trovo una finestra dos aperta che sta eseguendo rnyhum ( programma presente in system32 ),ma nella finestra dos non è visualizzato niente.
Ammesso che i virus siano residenti nella partizione E come si attivano?e come fa rnyhum ad andare in esecuzione da solo ?Il fatto poi che succeda di notte mi lascia un pochino perplesso.
Prima di trasferire i dati su un altro HD e formattare E vorrei capirci qualcosa confidando nel vostro aiuto.
Grazie !

[pjfry]

comincia tutto da sasser, che funziona come blaster... in pratica te lo becchi appena ti colleghi a internet a meno che non accendi un firewall per bloccare in ingresso le porte 135, 137, 139 (insomma quelle tipiche di microsoft, non me le ricordo esattamente)
poi evidentemente aprirà dei buchi tali da far entrare tutto il resto, non lo sò... ovviamente dopo aver preso tutta quella schifezza devi pulire moooolto bene, soprattutto ricordati di spegnere il servizio dei punti di ripristino altrimenti la robaccia resta

[misterx2004]

si.... con un firewall sei apposto.... la prossima volta installalo prima di avviare la connessione a internet.....cmq installalo, ripulisci tutto e non devi formattare niente........

[misterx2004]

questo è il link dei tool per eliminare i W32.Sasser http://www.symantec.com/region/it/techs ... .tool.html

[Dylan666]

questo è il link dei tool per eliminare i W32.Sasser http://www.symantec.com/region/it/techs ... .tool.html

Sul Sasser c'è un topic intero in cima alla sezione Security & Privacy e uno intero sul Blaster in quella Software

[misterx2004]

ops......scusa....sono nuovo del forum....posso cancellare il mess del link? se si come?

[Dylan666]

No, qui non si editano i messaggi ma non ti preoccupare

[luna11]

I topic li ho letti e conosco i siti della symantec e di Microsoft.
Inoltre ho scaricato i removal tool sia del sasser che del korgo
Quello che mi preme sapere è se un semplice collegamento al sito symantec per eseguire il live update possa giustificare la presenza dei succitati virus sul mio pc ( mi sembrano tanti e troppo vari) e la presenza e l'autoesecuzione di rnyhum( qualcuno lo conosce?) possa ritenersi normale o piuttosto dovuto a qualche trojan.
Inoltre stop dialer continua a segnalarmi alterazioni al registro di sistema
alla chiave " Cryptographic Service = C:\windows\system32\qhrsp.exe"
oltre che a windows update ed in task manager è in esecuzione svxchost.
Questo dopo aver lanciato per l'ennesima volta i due removal tool e dal sito http://www.microsoft.com/security/incident/sasser.asp il mio pc risulta non essere infetto.
Io qualche dubbio lo nutro.

[12]

No, qui non si editano i messaggi ma non ti preoccupare

xò sarebbe comodo se ognuno potesse editare SOLO i suoi messaggi e non che lo possano fare solo i mod

[piercing]

No, qui non si editano i messaggi ma non ti preoccupare

xò sarebbe comodo se ognuno potesse editare SOLO i suoi messaggi e non che lo possano fare solo i mod

e ci mancherebbe pure si potessero editare quegli degli altri...


a causa dell'abuso di pochi si è decisa questa politica... anche perchè sennò i mod non avevano nulla da fare

[piercing]

luna... per gestire questo tipo di situazioni che a dire il vero sono abbastanza tipiche... basta attivare il firewall di XP in installazione quando crei la connessione...

per il resto fai subito gli aggiornamenti di M$... prima ancora di installare l'antivirus...

(nota.... sia per M$ che per Symantec fai l'aggiornamento due volte... ogni volta dopo aver riavviato...)

li hai presi semplicemente collegandoti... sfruttano tutti la stessa vulnerabilità...


PS: evviva i router...

[luna11]

Niente da fare.
Ho seguito il tuo consiglio attivando il firewall di xp, mi sono collegato al sito microsoft per l'update ( rifatto dopo il riavvio) e poi al sito Symantec
( anche questo rifatto) ma mi trovo in quarantena 8 virus + uno ( spybot)
che ho eliminato manualmente.
Mi consola il fatto di essere fra i primi ad essere stato infettato dal w32.korgo.w
Io odio i firewall ma forse dovrò imparare a conviverci.

[piercing]

fai una cosa allora... quando sei infettato... se ancora ci riesci prima dei vari riavvi scarica la patch di M$ con un apposito download... la installi prima di connetterti a internet... una volta riformattato il pc...

che connessione utilizzi? e come ti connetti?

[dado]

Al limite se vuoi te la mandiamo noi x posta la patch... così devi solo scricarla senza aprire nessun sito (azione che rappresenta il veicolo fondamentale dell'infezione).

[disgrazia]

No dado, non è la navigazione www che costituisce veicolo d'infezione, basta essere connessi a internet senza firewall, anche se non navighi, non scarichi posta e non fai nient'altro.
I worm + temuti provano indirizzi IP a caso a ritmi allucinanti, ognuno di essi attacca qualche servizio bacato che è in ascolto su una qualche porta del PC vittima. Questo è indipendente dal fatto che tu navighi o meno.

[dado]

Allora il mio IP non è mai stato beccato da qs virus (cosa che invece è successa aprendo IE). Io parlavo x osservazione personale. Probabilmente quei 3 o 4 pc con cui ho fatto così sono stati miracolati...

[orsostanco]

Io avrei anche un altro suggerimento, da seguire insieme a quello del firewall, o forse anche semplicemente in alternativa.
1) Prima di formattare vai sul sito di Symantec e con Intelligent Updater scarichi le definizioni virus aggiornate in italiano, se il tuo antivirus è in italiano.
2) Le masterizzi su CD.
3) Dopo la formattazione, una volta reinstallato il Norton, ne aggiorni le definizioni utilizzando quelle masterizzate.
4) Setti il Norton in modo da vietare l' ingresso nel PC ai virus.
Poi dovresti poter andare tranquillamente su Internet.
Sembra complicato. In realtà è semplicissimo. Ciao.

Succede questo:
Ho un hd da 120 Gb suddiviso in 2 partizioni, 20 Gb per il S.O (C). e 100gb per i dati ( E ).
Formatto C , installo il sistema operativo ( Win Xp Pro + Sp1 , disco originale).Installo norton antivirus ed i drivers del modem , mi collego al sito symantec per aggiornare l'antivius , poi a quello Microsoft per aggiornare il sistema operativo e.... prima sorpresa , mi esce un messaggio di Norton che mi avvisa della presenza del w32.sasser.b
Effettuo comunque l'aggiornamento e poi una scansione dell'antivirus che mi mette in quarantena una decina di files del tipo 1234_up.exe (W32.sasser.b)oppure 8586_upload.exe ( w32.sasser.E) , gli inconfondibili avserve2.exe ed isasss.exe, vari tftp ( sconosciuto),un x(1).exe che si rivela un w32.korgo.Q,un x(2) w32.korgo.L , ed un qhrsp.exe che è un w32.korgo.W, insomma una bella raccolta da far invidia alla stessa symantec.
Ma dove li ho presi?La risposta più ovvia sarebbe : dalla partizione E dove risiede di tutto.
Faccio una scansione con Spybotsd e proseguo installando dc+ e stop dialer , lascio il pc acceso tutta la notte . Al mattino trovo una finestra dos aperta che sta eseguendo rnyhum ( programma presente in system32 ),ma nella finestra dos non è visualizzato niente.
Ammesso che i virus siano residenti nella partizione E come si attivano?e come fa rnyhum ad andare in esecuzione da solo ?Il fatto poi che succeda di notte mi lascia un pochino perplesso.
Prima di trasferire i dati su un altro HD e formattare E vorrei capirci qualcosa confidando nel vostro aiuto.
Grazie !

[luna11]

Grazie , in realtà gli aggiornamenti di Xp e quello dell'antivirus li ho già salvati ed all'occorrenza li uso.
Ma dalle aziende produttrici di computers escono migliaia di pc al giorno che adottano come s.o. Windows Xp , hanno tutti un antivirus installato ( non aggiornato) sono privi di firewall e , come me , hanno bisogno di updatare sia il sistema operativo che l'antivirus
Questo vuol dire forse migliaia di computers infettati giornalmente ?
Inoltre il concetto stesso di sicurezza , legato fino ad oggi principalmente all'adozione di un buon antivirus aggiornato ed all'eliminazione della posta sospetta, esce stravolto dalle vostre risposte.

che connessione utilizzi? e come ti connetti?

Ho una connessione alice adsl e , una volta connesso , scrivo direttamente l'indirizzo senza transitare per altri siti e senza utilizzare motori di ricerca ( se ho capito bene la tua domanda )

[pjfry]

Ho una connessione alice adsl e , una volta connesso , scrivo direttamente l'indirizzo senza transitare per altri siti e senza utilizzare motori di ricerca ( se ho capito bene la tua domanda )

non credo, voleva dire se usi un modem o un router

[luna11]

Modem