MegaLab.it

Gente, non ne vengo a capo.

Nonostante un mio caro amico abbia un NortonAV2004 su WinXP costantemente aggiornato, qualcosa è maledettamente entrato lo stesso con queste caratteristiche:

Icona di Norton sparisce poco dopo l'avvio.
Ctrl+alt+canc .... il task si chiude immediatamente.
Tenti di aprire REGEDIT e anche questo si chiude immediatamente.
Qualsiasi programma di amministrazione si chiude subito.
Dall'cona di connessione di rete si nota traffico senza
nessun programma aperto (attendendo sempre che LU di Norton termini il suo controllo x aggiornamenti).

Vado in mod.provvisoria....e riesco ad aprire REGEDIT
mi accorgo che alla solita sezione
HKLM.....CurrentVerisioRun
appare la chiamata ad un file eseguibile di 5 lettere *.exe
...lo stesso file anche in RunService.
Rimuovo le chiavi che chiamano il file.

Lo cerco e lo trovo nella cartella C:windowsSystem32

Lo cancello.
Riavvio normalmente.....niente da fare c'è ancora.
Qualsiasi prog di amministrazione si chiude appena
tento di aprirlo.
Rivado in provvisoria...di nuovo REGEDIT,
...e azzz...trovo un nuovo file con nome diverso
a prima ...sempre di 5 lettere *****.exe richiamato e locato
sempre nella cartella system32.

Ho pensato...stai a vedere che anche in provvisoria
esegue q.sa alla chiusura della sessione e quidi si
replica.

Cerco di aggirarlo in questo modo:

Faccio partire un CD boot con un programma
che mi da la possibilità di caricare un sistema operativo
indipendente da quello su HD.
Il prog/sys si chiama ERD Commander.

Bene...mi da la possibilità di vedere il file di registro di wincoz.
Trovo ancora i file incriminati sempre con nome diverso...rimuovo ancora il tutto.

Riavvio XP ... e sono punto a capo.

Sebbene abbia letto le diverse morfologie degli ultimi virus in
circolo citati dalla Symantec.... ho letto solo qualcosa di simile
...ma non si comporta come descritto.

Aggiungo anche che ho tentato un spegnimento brutale ma... :
* Alla sola pressione del tasto di accensione, questo non attende
i classici 5 secondi per spegnesri....ma si comporta come se
chiudessi da 'chiudi sessione'.
* Ho provato nuovamente a ripulire e togliere corrente dalla spina
... niente di niente.


Ora ho il forte sospetto che sia nel bootloader dell'hd
o si è annidiato accoppiandosi a una variabile di sistema (dll).

Q.no sa qualcosa o perdiamo le classiche 8 ore per reistallare
tutto ?

Grazie.

PS. ne sono passate già + di 8 a dare la caccia a worm.

Non mi permette la scansione anche in modalità provvisoria.

La connessione è praticamente sempre attiva (utente fastweb).

Senza nessun programma in esecuzione, ho notato che i kbit
dei pacchetti in entrata sono superiori a quelli in uscita.
Poi dopo qualche minuto aumentano entrambe in modo proporzionale.

In XP non so come vedere le eventuali porte aperte.
E' un po che non mi cimento in questo tipo di ricerche; prima
usavo un software (scanner) per vedere le porte.

Una soluzione potrebbe essere di smontare l'hd e collegarlo
ad un'altro PC per controllarlo con un sistema pulito.
Ma potrebbe essere rischioso.

Senza sapere un nome preciso del virus diventa difficile sapere come combatterlo, se vuoi fare un po' di prove. come si chiame l'exe che vedi girare nel pc?
Scarica questo stinger e provi la scansione dalla modalità provvisora
http://vil.nai.com/vil/stinger/

Scarichi Hijackthis fai la scansione e salvi il log della scansione in un file di testo e poi ne posti il contenuto qui cosi si vede cosa gira nel tuo pc.
http://209.133.47.12/~merijn/files/HijackThis.exe

scansione online con panda
http://www.pandasoftware.com/activescan ... ncipal.htm

Scansione dos con mcafee lanciabile da floppy o cd di boot
Il programma è in Beta version , provato funziona bene anche su partizioni Ntfs e Fat.
Da questo indirizzo è scaricabile la Beta version di Cleanboot della Mc.afee che permette di fare una scansione antivirus partendo da floppy o da cd autocaricante.

Il programma è scaricabile da qui
http://secure.nai.com/us/downloads/beta/cbt/cbt.htm


Aggiornamento del Sdat antivirus

Da questo sito
http://www.networkassociates.com/it/dow ... perdat.asp
potete scaricarvi l'ultima versione del superdat sdatXXXX.exe (al posto delle xxxx ci saranno dei numeri) scegliete la versione italiana.

Mettete il file superdatXXXX.exe in una directory a parte, da start - esegui (utilizzando sfoglia cercate la vostra directory dove avete copiato il file) lanciate il comando

"D:Update AntivirussdatXXXX.exe" /e (mantenete gli " ")
questo scompatterà il file Sdatxxxx nella directory.

Cleanboot Mc.afee

Lanciate il comando Clnbtmgr.exe dalla directory dove avete installato il programma Cleanboot e vi appare la finestra principale del programma.

1) Selezionate Update DAT's vi apparirà questa finestra dove con browse andrete a selezionare la directory dove avete scompattato il Sdat.

Premete poi Update

e dovrebbe comparirvi il messaggio di conferma dell'avvenuto aggiornamento.

2) Selezionate il pulsante Select language, scegliete Italian e poi premete Select.

3) In Generation Options scegliete l'opzione che volete
Write immediatly to floppy disk, al momento crea 3 floppy disk autoavviabili da cui far partire la scansione.
Cd image (ISO 9660) crea un'immagine Iso che dovrà poi essere masterizzata su un cd usando Nero burning rom o un altro software adatto a masterizzare immagini Iso.
Dato l'immagine deve essere riscritta ogni volta che si aggiorna il Sdat si consiglia di usare un cd riscrivibile.

A questo punto inserite nel pc i floppy o il cd di boot che vi siete creati e riavviate il computer.

Avvio della scansione

Una volta caricato il Sw di cleanboot avrete una schermata di scelta dove potrete modificare le seguenti opzioni
F5 Scan level : seleziona i files che verranno controllati, se messo su high saranno controllati tutti.
F6 Archive support : se On,controlla anche i files all’interno di archivi compressi
F7 Cleaning : se On, pulisce in automatico i file infetti.
F8 Logging : se On,permette di salvare il file di log della scansione su un floppy.

Altre scelte:
Scan all volumes Avvia la scansione vera e propria.
List volumes Mostra i dischi o le partizioni presenti.
Last scan result Mostra i risultati dell’ultima scansione.
Version information Verifica il livello di aggiornamento dell’antivirus.
Help Spiegazioni sui settaggi e sul funzionamento
Exit and reboot Riavvia il pc.

...si ok, so come disabilitare la connessione di rete.

Ma come ho ripetuto + volte, appena eseguo un q.si comando di sistema
...la finestra si chiude immediatamente.

REGEDIT
MSCONFIG
CMD
...ecc.... appena li eseguo si chiudono, anche in provvisoria.

Ti ringrazio ma...
...supponendo di farlo partire con un sys da floppy,
molto probabilmente il worm/trojan non è in esecuzione.
Che mi serve vedere le porte ?

Poi non ho il PC infetto sottomano (passeranno + di 4 ore).

Piuttosto...non è possibile monitorare le porte
da un'altro PC in rete.

Cioè...se lancio uno scanner...questo mi dovrebbe dire
che porte avrebbe aperte.

O forse sarebbe meglio metterlo in rete con un'altro PC che
da il DHCP..magari un server linux...e monitorarlo.

E poi...scoprendo le eventuali porte aperte e il loro relativo traffico.... cosa concludo ? Mi darebbe nome e cognome della dll infetta ?

Ok ...ho scaricato il programma consigliato.
Ho visto il funzionamento sul mio...e devo dire che è una bella dritta.
Nella speranza che riesca ad aprire la finestra in dos,
appena mi è possibile farò il rapportino.

....connessione sempre attiva....intendevo
che non devo abilitare nulla x la connessione a internet.

Si ...anche con IE chiuso ...si nota il traffico.
E attendendo che Live Update di norton finisca la sua
procedura.... ho notato che i pacchetti in uscita sono superiori
a quelli in entrata. Come se q.no succhiasse kbit.
Praticamente l'icona di connessione alla rete lampeggia
in continuazione...

Leggendo le caratteristiche del Worm 'Korgo' si comporta come tale.
Ma non vengono citate le caratteristiche che ho citato io.
Potrebbe essere una sua variante.
Ho provato il tool FixKorgo... non trova nulla.

...farò sapere ciò che scoprirò

Giusto per far saper come è andata a finire.

Ho collegato l'hd con il sistema infetto ad un altro PC.

Scansione completa... e ha trovato una miriade di wirus e spy.
Riesco comunque a recuperare i dati importanti.

Rimettendolo al suo posto....windows non si avviava più.

Riformattato a basso livello e reistallato tutto.