Pagina 1 di 3 123 UltimaUltima
Risultati da 1 a 15 di 44

Discussione: Qusrtione complicata!

  1. #1
    Software Zone Maniac L'avatar di seneca
    Data Registrazione
    09-11-2001
    Località
    Salento
    Messaggi
    2.754

    Qusrtione complicata!

    Ragazzi, sono qui a chiedervi consiglio su un grosso problema che mi attanaglia da ieri.

    Un mio amico aveva il PC infestato da virus, in particolare aveva cominciato con Opaserv e poi, per incanto, erano comparsi numerosi altri viri (FunLove,...).

    Dopo numerosi tentativi con tutti i tool possibili e immaginabili, ho deciso di formattare.
    Prima di formattare abbiamo salvato i dati essenziali (un programma DOS con una banca dati a cui questo attinge + qualche documento) su un CD.

    Il CD l'ho controllato col VirusScan aggiornato a ieri e risultava pulito.

    Reinstallato Windows ed il programma che lui utilizza, ho installato Avast antivirus e l'ho aggiornato via internet. Poi ho installato il Kerio.
    A questo punto, in seguito a qualche strano messaggio d'errore di windows, mi è venuto in mente di scansionare l'hdd e, incredibilmente, l'avast mi ha trovato due virus (i nomi dei files infetti non li ricordo: erano qualcosa tipo Marco...) che ho cancellato.
    Riavviato il Pc e fatta nuovamente, la scansione tutto sembrava ok.
    Oggi, per maggior sicurezza, ho scaricato la versione di valutazione di Bitdefender e, disinstallato Avast, l'ho installata riscontrando parecchi errori di windows, in particolare sul file Rundll.
    Scansionato l'hdd, il Bit non ha trovato nulla.
    Ho fatto un ulteriore scansione con l'F-prot da DOS e non ha trovato nulla.

    Bitdefender dava un grosso fastidio, creava errori e non si riusciva a configurare bene, così l'ho tolto ed ho reinstallato Avast che però ora non si riesce ad aggiornare.

    Per farla breve: credete che possano esserci ancora virus (nonostante le scansioni negative e l'assenza di qualsiasi voce strana nel registro, in win.ini e nell'msconfig) o i problemi derivano da uno "sfasamento" di Windows?
    Cosa mi consigliate?

    Grazie e scusate la prolissità. ma era necessaria per fare un quadro completo della situazione.
    I WISH I COULD FLY.

  2. #2
    Software Zone Fanatic
    L'eternauta della Pampa... sulla triste via del banning
    Don't forget
    L'avatar di Guster
    Data Registrazione
    14-09-2001
    Località
    Sealand
    Messaggi
    5.727
    Non sò Seneca,ma io proverei a fare una scansione on line.
    e guarderei i processi attivi,come prima cosa

  3. #3
    Software Zone Maniac L'avatar di seneca
    Data Registrazione
    09-11-2001
    Località
    Salento
    Messaggi
    2.754
    La vorrei fare anch'io la scansione on-line, ma il pc ha una connessione lenta!

    Per quanto riguarda i processi attivi, ho già detto che non mi pare ce ne siano!
    I WISH I COULD FLY.

  4. #4
    Software Zone Fanatic L'avatar di Silenzio84
    Data Registrazione
    19-11-2002
    Località
    A volte il Silenzio è d'oro....
    Messaggi
    6.169
    SENECA se il virus era Marco.exe è una variante di OPASOFT o OPAWORM
    Member of theSWZone Juventus Club ®
    Member of the SWZone Bastard Club®©
    io sto con Abele. ...e con Ultimo

  5. #5
    Autan (re)member
    Grafico Ufficiale di SWZone
    L'avatar di Lartag
    Data Registrazione
    22-09-2002
    Località
    Milano
    Messaggi
    2.725
    Ho sentito dire che quel Virus è un gran bastardo !
    Sembra che quando si formatta lui si siede sulla testina dell'HD.
    Domani devo andare da un mio cliente che è stato infettato appunto da Opaserv e, sembra che abbia infettato tutta la rete (6 PC)
    Lunedì mi informerò dai miei partner se a loro è capitato di avere a che fare con Opaserv e "se e come" hanno fatto a debellarlo.
    Vi farò sapere.

  6. #6
    New Member
    Data Registrazione
    10-06-2002
    Località
    Genova
    Messaggi
    0
    ciao Mario,
    forse ci hai già pensato anche tu io di solito assieme al Norton faccio una bella scansione da dos con F-Prot con le firme aggiornate.Non c'è bisogno che ti suggerisca dove trovarlo.ciao.giancarlo

  7. #7
    Software Zone Maniac L'avatar di seneca
    Data Registrazione
    09-11-2001
    Località
    Salento
    Messaggi
    2.754
    Il problema, fortunatamente sembra risolto: ho aggiornato l'avast e, fatta una scansione, non mi ha trovato nulla.
    L'F-prot neppure ha trovato nulla.

    Gli errori di windows, fatta una bella pulizia del registro con Regclener ed esguita una bella deframmentazione, sono scomparsi.

    Ora attendo che gli arrivi il VirusScan 7.

    Grazie mille a tutti quelli che si sono interessati.
    I WISH I COULD FLY.

  8. #8
    Software Zone Maniac L'avatar di seneca
    Data Registrazione
    09-11-2001
    Località
    Salento
    Messaggi
    2.754
    Messaggio originale di Lartag

    Sembra che quando si formatta lui si siede sulla testina dell'HD..
    Che intendi esattamente?

    Spero che tu voglia dire quello che immagino!
    I WISH I COULD FLY.

  9. #9
    Software Zone Maniac L'avatar di seneca
    Data Registrazione
    09-11-2001
    Località
    Salento
    Messaggi
    2.754
    Oggi, per incanto, ho fatto una nuova scansione ed è comparso 1 file infetto: Marco.scr!
    L'ho eliminato, ho riavviato e fatto un controllo con i tool della BitDefender e della Symantec che non hanno trovato nulla!
    Che c@zzo sta succedendo?
    Sto diventando pazzo!
    I WISH I COULD FLY.

  10. #10
    New Member
    Data Registrazione
    22-11-2002
    Località
    Spagna
    Messaggi
    4
    Ciao

    Dopo de la scansione .. . te conectas a Internet ?
    Forse che un porto ( el 137 ) é aberto. La prossima volta que te conectas a Internet - entra en MS-DOS y guarda si el porto 135, 136, 137, 139 -e aberto. É importante que questos portos sono chiusi perque Opasoft cerca li la coneccione con tu Pc

  11. #11
    Software Zone Fanatic
    L'eternauta della Pampa... sulla triste via del banning
    Don't forget
    L'avatar di Guster
    Data Registrazione
    14-09-2001
    Località
    Sealand
    Messaggi
    5.727
    Bienvenido amigo Otto

  12. #12
    Software Zone Maniac L'avatar di seneca
    Data Registrazione
    09-11-2001
    Località
    Salento
    Messaggi
    2.754
    Muchas gracias Otto!

    Bienvenido!
    I WISH I COULD FLY.

  13. #13
    New Member
    Data Registrazione
    22-11-2002
    Località
    Spagna
    Messaggi
    4

    ancora

    Si no funciona lo que ho detto ( o no sai come ciudere i porti ) - lascarme un messaggio . Ok ?

  14. #14
    Software Zone Maniac L'avatar di Davide
    Data Registrazione
    04-08-2001
    Località
    Vicenza
    Messaggi
    1.244
    Non vorrei sparare una stupidata ma mi pare di aver letto in passato che alcune forme virali restano in memoria, proprio nella Ram ed anche se si formatta poi "ritornano"... cioè, non se ne sono mai andati!
    Non c'è niente di peggio di un finto amico che ti pugnala alle spalle.

  15. #15
    New Member
    Data Registrazione
    22-11-2002
    Località
    Spagna
    Messaggi
    4

    *.*.*

    Hm, credo che questo puo essere utile per tutti con il " OPASOFT "
    questa pagina ho traducido del spgnolo al inglese con http://207.228.216.173/ - pero adesso si puo anche traducire de inglese a italiano ( como ho detto prima - si no sai - lascarme un messago )


    W32/Opasoft.H. Copies himself like "MARCO!.SCR"
    http://www.vsantivirus.com/opasoft-h.htm

    Name : W32/Opasoft.H
    Type : Worm of Internet
    Youally : Opaserv H, Win32.Opaserv.G, W32/Opaserv.H, Worm.Win32.Opasoft.a , WORM_OPASERV. G, W32/Opaserv-F.
    Date : 28/oct/02
    So great : 12,800 bytes
    Plataforma : Windows 32-bits

    Opasoft H (some antivirus call this version with the letter ‘F' or ‘G'') is similar in its functions to OpasoftTo, and spreads through the resources shared with access permitted (unit C). It takes advantage of a vulnerability that permits the remote access still without knowing the contraseña, in case of having it.

    Does not it possess destructive routines.


    Differences of the version 'H' :

    This version has been compressed and encriptada with several tools, with what changes its size and its appearance.

    When this version of the worm detects a unit C accessible through the resources shared, copy the file FRAMEWORK!. SCR in the directorio of Windows of said unit:
    C: \Windows\MARCO!.SCR

    'C:\Windows' can vary according to the version of Windows installed (by defect 'C:\Windows' in Windows 9x/ME/XP or 'C:\WinNT' in Windows NT/2000).

    At the same time, in the remote machines, the worm creates a file called GAY INI in the root of the unit C, copying the content of the file C: \Windows\WIN.INI original in him. Then it adds the following entrance in the section [ windows ] of GAY INI:

    run = C: \Windows\MARCO!.SCR

    Later it copies the content of GAY INI upon WIN INI ( to impede its reinstalación, the file should be eliminated alsoC: \GAY.INI).

    This it permits that the file FRAMEWORK!. SCR be executed to the reiniciarse the remote computer.

    With the same objective, also adds the following key one to the registration of Windows:

    LM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    cronos = C: \Windows\marco!.scr

    Also it adds this another key, but alone the first time that is executed (then is erased for the own worm ) :

    LM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Cuzao! Old = [name and location of the original file]

    The worm creates also the following files:

    C: \Mane!!.dat
    C: \FDP!!!!.dat
    C: \vaisef.exe

    Those files are utilized when tries to be connected to the following places to send and to receive information:

    http://www.gwmn [xxx]t. com. br
    http://www.cronos [xxx]tica. com. br


    Form of propagación

    This worm possesses the capacity to be spread through resources shared in networks of computers using the port 139 (Netbios , NETBeui). If its computer has assets the option "to Share impresoras and files for networks Microsoft", would be able to be agreed through Internet, and therefore to be infected with this worm. Netbios utilizes besides the port 137 for the search of the "name of Windows" pertaining to the resources shared.

    For these actions, the worm makes use of the protocolo of communication called SMB (Server Message Block Protocol), the which is employee by the operating systems based on MS Windows to agree to the resources shared of a network, through the port 139 (NetBeui in systems Microsoft Windows).

    To agree to these resources, the worm takes advantage of a known vulnerability since a great deal time ago, regarding the form in which Windows (95, 98, 98 HIMSELF and Me ) verifies the contraseñas in a network shared, so that can come a single character to accept (letter or number), without importing the long thing that be the contraseña.

    The correction for this fault in those operating systems, is available since October of 2000 (http://www.microsoft.com/technet/sec...n/ms00-072.asp). "" é molto importante instalare queste patch prima de eliminare el virus ""

    All the users that utilize the option to share files and impresoras with Windows 95, 98, 98 ITSELF and Me, should discharge and to install the patch since said link.

    Since the fault was revealed, codes exist that exploit this vulnerability, but Opasoft is the first worm that takes advantage of really of the same one.

    This fault does not affect neither to Windows NT, neither 2000 neither XP. Additionally, in the vulnerable versions of Windows alone can be seen affected resources shared with the same level of access permitted (control), and in Windows 95, 98, 98 ITSELF and Me, alone the level of user exists.

    The first reports of Opasoft suggested that could be spread through open resources (without contraseñas), and to avoid its propagación was advised not to maintain these configured without autenticación by means of contraseñas. This is incorrect. Opasoft spreads exploiting the vulnerability mentioned, trying specifically to be copied to the resource "C" that is the name by defect for the root of the unit of disk "C:" same old that have the access of reading and scripture supplied, or also through directions IP selected to the chance.

    Not to correct this vulnerability, does that every procedure of disinfection be useless, since a computer would return to be infected upon connecting to a network or to Internet.

    The presence of a cortafuegos that block the access by means of Netbios, also impedes the propagación of the worm (as ZoneAlarm to domestic level, for example).

    The fact that the servant since where the worm would be able to be brought up to date by means of the discharge of a file, have been dropped, does that the only risk that this worm presents for the moment, is that of its propagación.

    The instructions to remove this worm are the same that for the OpasoftTo: http://www.vsantivirus.com/opasoft-a.htm


    More information:

    W32/Opasoft.A. Spreads through the port 139
    http://www.vsantivirus.com/opasoft-a.htm

    W32/Opasoft.B. Variant of the Opasoft To in the street
    http://www.vsantivirus.com/opasoft-b.htm

    W32/Opasoft.D. New variant and how spreads
    http://www.vsantivirus.com/opasoft-d.htm

    W32/Opasoft.F. Copies himself in "C:\Windows\Alevir.exe"
    http://www.vsantivirus.com/opasoft-f.htm

    W32/Opasoft.G. Copies himself in "C:\Windows\Puta!!.exe"
    http://www.vsantivirus.com/opasoft-g.htm

    W32/Opasoft.I. Copies himself as "INSTIT BAT"
    http://www.vsantivirus.com/opasoft-i.htm

    The ISC notifies upon increases of escaneos to the port 137
    http://www.vsantivirus.com/30-09-02.htm

    Curiosities of the port 137
    http://www.vsantivirus.com/p137.htm
    Ultima modifica di otto; 25-11-2002 alle 02.31.20

Segnalibri

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •