Condividi:        

Virus dopo formattazione

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Virus dopo formattazione

Postdi luna11 » 05/07/04 21:17

Succede questo:
Ho un hd da 120 Gb suddiviso in 2 partizioni, 20 Gb per il S.O (C). e 100gb per i dati ( E ).
Formatto C , installo il sistema operativo ( Win Xp Pro + Sp1 , disco originale).Installo norton antivirus ed i drivers del modem , mi collego al sito symantec per aggiornare l'antivius , poi a quello Microsoft per aggiornare il sistema operativo e.... prima sorpresa , mi esce un messaggio di Norton che mi avvisa della presenza del w32.sasser.b
Effettuo comunque l'aggiornamento e poi una scansione dell'antivirus che mi mette in quarantena una decina di files del tipo 1234_up.exe (W32.sasser.b)oppure 8586_upload.exe ( w32.sasser.E) , gli inconfondibili avserve2.exe ed isasss.exe, vari tftp ( sconosciuto),un x(1).exe che si rivela un w32.korgo.Q,un x(2) w32.korgo.L , ed un qhrsp.exe che è un w32.korgo.W, insomma una bella raccolta da far invidia alla stessa symantec.
Ma dove li ho presi?La risposta più ovvia sarebbe : dalla partizione E dove risiede di tutto.
Faccio una scansione con Spybotsd e proseguo installando dc+ e stop dialer , lascio il pc acceso tutta la notte . Al mattino trovo una finestra dos aperta che sta eseguendo rnyhum ( programma presente in system32 ),ma nella finestra dos non è visualizzato niente.
Ammesso che i virus siano residenti nella partizione E come si attivano?e come fa rnyhum ad andare in esecuzione da solo ?Il fatto poi che succeda di notte mi lascia un pochino perplesso.
Prima di trasferire i dati su un altro HD e formattare E vorrei capirci qualcosa confidando nel vostro aiuto.
Grazie !
luna11
Utente Senior
 
Post: 3634
Iscritto il: 10/08/01 01:00

Sponsor
 

Postdi pjfry » 05/07/04 23:10

comincia tutto da sasser, che funziona come blaster... in pratica te lo becchi appena ti colleghi a internet a meno che non accendi un firewall per bloccare in ingresso le porte 135, 137, 139 (insomma quelle tipiche di microsoft, non me le ricordo esattamente)
poi evidentemente aprirà dei buchi tali da far entrare tutto il resto, non lo sò... ovviamente dopo aver preso tutta quella schifezza devi pulire moooolto bene, soprattutto ricordati di spegnere il servizio dei punti di ripristino altrimenti la robaccia resta ;)
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi misterx2004 » 05/07/04 23:44

si.... con un firewall sei apposto.... la prossima volta installalo prima di avviare la connessione a internet.....cmq installalo, ripulisci tutto e non devi formattare niente........
misterx2004
Utente Junior
 
Post: 62
Iscritto il: 05/07/04 23:14

Postdi misterx2004 » 05/07/04 23:53

questo è il link dei tool per eliminare i W32.Sasser http://www.symantec.com/region/it/techs ... .tool.html
misterx2004
Utente Junior
 
Post: 62
Iscritto il: 05/07/04 23:14

Postdi Dylan666 » 05/07/04 23:59

misterx2004 ha scritto:questo è il link dei tool per eliminare i W32.Sasser http://www.symantec.com/region/it/techs ... .tool.html


Sul Sasser c'è un topic intero in cima alla sezione Security & Privacy e uno intero sul Blaster in quella Software ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi misterx2004 » 06/07/04 00:05

ops......scusa....sono nuovo del forum....posso cancellare il mess del link? se si come?
misterx2004
Utente Junior
 
Post: 62
Iscritto il: 05/07/04 23:14

Postdi Dylan666 » 06/07/04 00:06

No, qui non si editano i messaggi ma non ti preoccupare ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi luna11 » 06/07/04 20:57

I topic li ho letti e conosco i siti della symantec e di Microsoft.
Inoltre ho scaricato i removal tool sia del sasser che del korgo
Quello che mi preme sapere è se un semplice collegamento al sito symantec per eseguire il live update possa giustificare la presenza dei succitati virus sul mio pc ( mi sembrano tanti e troppo vari) e la presenza e l'autoesecuzione di rnyhum( qualcuno lo conosce?) possa ritenersi normale o piuttosto dovuto a qualche trojan.
Inoltre stop dialer continua a segnalarmi alterazioni al registro di sistema
alla chiave " Cryptographic Service = C:\windows\system32\qhrsp.exe"
oltre che a windows update ed in task manager è in esecuzione svxchost.
Questo dopo aver lanciato per l'ennesima volta i due removal tool e dal sito http://www.microsoft.com/security/incident/sasser.asp il mio pc risulta non essere infetto.
Io qualche dubbio lo nutro.
luna11
Utente Senior
 
Post: 3634
Iscritto il: 10/08/01 01:00

Postdi 12 » 06/07/04 22:39

Dylan666 ha scritto:No, qui non si editano i messaggi ma non ti preoccupare ;)
xò sarebbe comodo se ognuno potesse editare SOLO i suoi messaggi ;) e non che lo possano fare solo i mod ;)
12
Utente Senior
 
Post: 1413
Iscritto il: 12/01/04 19:45
Località: Milèn

Postdi piercing » 06/07/04 22:44

12 ha scritto:
Dylan666 ha scritto:No, qui non si editano i messaggi ma non ti preoccupare ;)
xò sarebbe comodo se ognuno potesse editare SOLO i suoi messaggi ;) e non che lo possano fare solo i mod ;)



e ci mancherebbe pure si potessero editare quegli degli altri... :P


a causa dell'abuso di pochi si è decisa questa politica... anche perchè sennò i mod non avevano nulla da fare ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi piercing » 06/07/04 23:05

luna... per gestire questo tipo di situazioni che a dire il vero sono abbastanza tipiche... basta attivare il firewall di XP in installazione quando crei la connessione...

per il resto fai subito gli aggiornamenti di M$... prima ancora di installare l'antivirus...

(nota.... sia per M$ che per Symantec fai l'aggiornamento due volte... ogni volta dopo aver riavviato...)

li hai presi semplicemente collegandoti... sfruttano tutti la stessa vulnerabilità...


PS: evviva i router... :D
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi luna11 » 11/07/04 00:47

Niente da fare.
Ho seguito il tuo consiglio attivando il firewall di xp, mi sono collegato al sito microsoft per l'update ( rifatto dopo il riavvio) e poi al sito Symantec
( anche questo rifatto) ma mi trovo in quarantena 8 virus + uno ( spybot)
che ho eliminato manualmente.
Mi consola il fatto di essere fra i primi ad essere stato infettato dal w32.korgo.w
Io odio i firewall ma forse dovrò imparare a conviverci.
luna11
Utente Senior
 
Post: 3634
Iscritto il: 10/08/01 01:00

Postdi piercing » 11/07/04 11:20

fai una cosa allora... quando sei infettato... se ancora ci riesci prima dei vari riavvi scarica la patch di M$ con un apposito download... la installi prima di connetterti a internet... una volta riformattato il pc...

che connessione utilizzi? e come ti connetti?
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi dado » 11/07/04 11:59

Al limite se vuoi te la mandiamo noi x posta la patch... così devi solo scricarla senza aprire nessun sito (azione che rappresenta il veicolo fondamentale dell'infezione). ;)

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi disgrazia » 11/07/04 16:52

No dado, non è la navigazione www che costituisce veicolo d'infezione, basta essere connessi a internet senza firewall, anche se non navighi, non scarichi posta e non fai nient'altro.
I worm + temuti provano indirizzi IP a caso a ritmi allucinanti, ognuno di essi attacca qualche servizio bacato che è in ascolto su una qualche porta del PC vittima. Questo è indipendente dal fatto che tu navighi o meno.
disgrazia
Download Admin
 
Post: 708
Iscritto il: 08/07/02 22:16

Postdi dado » 11/07/04 19:02

Allora il mio IP non è mai stato beccato da qs virus (cosa che invece è successa aprendo IE). Io parlavo x osservazione personale. Probabilmente quei 3 o 4 pc con cui ho fatto così sono stati miracolati... :o

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Re: Virus dopo formattazione

Postdi orsostanco » 11/07/04 23:57

Io avrei anche un altro suggerimento, da seguire insieme a quello del firewall, o forse anche semplicemente in alternativa.
1) Prima di formattare vai sul sito di Symantec e con Intelligent Updater scarichi le definizioni virus aggiornate in italiano, se il tuo antivirus è in italiano.
2) Le masterizzi su CD.
3) Dopo la formattazione, una volta reinstallato il Norton, ne aggiorni le definizioni utilizzando quelle masterizzate.
4) Setti il Norton in modo da vietare l' ingresso nel PC ai virus.
Poi dovresti poter andare tranquillamente su Internet.
Sembra complicato. In realtà è semplicissimo. Ciao.





luna11 ha scritto:Succede questo:
Ho un hd da 120 Gb suddiviso in 2 partizioni, 20 Gb per il S.O (C). e 100gb per i dati ( E ).
Formatto C , installo il sistema operativo ( Win Xp Pro + Sp1 , disco originale).Installo norton antivirus ed i drivers del modem , mi collego al sito symantec per aggiornare l'antivius , poi a quello Microsoft per aggiornare il sistema operativo e.... prima sorpresa , mi esce un messaggio di Norton che mi avvisa della presenza del w32.sasser.b
Effettuo comunque l'aggiornamento e poi una scansione dell'antivirus che mi mette in quarantena una decina di files del tipo 1234_up.exe (W32.sasser.b)oppure 8586_upload.exe ( w32.sasser.E) , gli inconfondibili avserve2.exe ed isasss.exe, vari tftp ( sconosciuto),un x(1).exe che si rivela un w32.korgo.Q,un x(2) w32.korgo.L , ed un qhrsp.exe che è un w32.korgo.W, insomma una bella raccolta da far invidia alla stessa symantec.
Ma dove li ho presi?La risposta più ovvia sarebbe : dalla partizione E dove risiede di tutto.
Faccio una scansione con Spybotsd e proseguo installando dc+ e stop dialer , lascio il pc acceso tutta la notte . Al mattino trovo una finestra dos aperta che sta eseguendo rnyhum ( programma presente in system32 ),ma nella finestra dos non è visualizzato niente.
Ammesso che i virus siano residenti nella partizione E come si attivano?e come fa rnyhum ad andare in esecuzione da solo ?Il fatto poi che succeda di notte mi lascia un pochino perplesso.
Prima di trasferire i dati su un altro HD e formattare E vorrei capirci qualcosa confidando nel vostro aiuto.
Grazie !
orsostanco
orsostanco
Utente Junior
 
Post: 13
Iscritto il: 17/09/03 21:40

Postdi luna11 » 12/07/04 21:20

Grazie , in realtà gli aggiornamenti di Xp e quello dell'antivirus li ho già salvati ed all'occorrenza li uso.
Ma dalle aziende produttrici di computers escono migliaia di pc al giorno che adottano come s.o. Windows Xp , hanno tutti un antivirus installato ( non aggiornato) sono privi di firewall e , come me , hanno bisogno di updatare sia il sistema operativo che l'antivirus
Questo vuol dire forse migliaia di computers infettati giornalmente ?
Inoltre il concetto stesso di sicurezza , legato fino ad oggi principalmente all'adozione di un buon antivirus aggiornato ed all'eliminazione della posta sospetta, esce stravolto dalle vostre risposte.



che connessione utilizzi? e come ti connetti?


Ho una connessione alice adsl e , una volta connesso , scrivo direttamente l'indirizzo senza transitare per altri siti e senza utilizzare motori di ricerca ( se ho capito bene la tua domanda )
luna11
Utente Senior
 
Post: 3634
Iscritto il: 10/08/01 01:00

Postdi pjfry » 12/07/04 22:15

luna11 ha scritto:Ho una connessione alice adsl e , una volta connesso , scrivo direttamente l'indirizzo senza transitare per altri siti e senza utilizzare motori di ricerca ( se ho capito bene la tua domanda )

non credo, voleva dire se usi un modem o un router ;)
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi luna11 » 13/07/04 21:58

Modem :oops:
luna11
Utente Senior
 
Post: 3634
Iscritto il: 10/08/01 01:00

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Virus dopo formattazione":


Chi c’è in linea

Visitano il forum: Nessuno e 56 ospiti