Hacktool.Rootkit su Win2000

[ang.us]

Ciao a tutti!
Nella mia rete ho beccato questo virus.
Tutti i PC e i server sono protetti con Symantec Antivirus Client Corporate Edition 9.0!
Sui server Win2003 e sui PC WinXP l'antivirus è riuscito a bloccarlo ma su due macchine (un portatile e un server) con Win2000 non c'è verso (Ho provato anche con Nod32).
Il problema è che quando il virus è attivo mi inchioda il firewall lanciando migliaia di connessioni al minuto!!
Sembrerebbe che il virus si "attacca al kernel". Prima di reinstallare il S.O. volevo sapere se avete qualche idea.

[Noise]

Hai per caso MSSQL installato? Io ho avuto lo stesso problema con un programma gestionale che usava MSSQL. Devi cambiare la password di amministrazione, quella di default è "admin".

http://www.microsoft.com/sql/techinfo/administration/2000/security/securingsqlserver.mspx

ciao

[Noise]

Ti aggiungo il link in italiano:
http://www.microsoft.com/italy/technet/prodtechnol/sql/risorse2000.mspx#EFAA
e qui altre info su problemi di sicurezza con weak sa passwords ed MSDE
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/modadmin/html/deconchangingsqlserveradministratorlogin.asp
ciao

[ang.us]

Ti aggiungo il link in italiano:
http://www.microsoft.com/italy/technet/prodtechnol/sql/risorse2000.mspx#EFAA
e qui altre info su problemi di sicurezza con weak sa passwords ed MSDE
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/modadmin/html/deconchangingsqlserveradministratorlogin.asp
ciao

Non ho mssql e comunque non è la password il problema!
Grazie lo stesso!

[Dylan666]

Ma una scanisone non lo rimuove? I file che componfono il malware dovrebbero essere questi:
http://vil.mcafeesecurity.com/vil/content/v_102335.htm

[ang.us]

Ma una scanisone non lo rimuove? I file che componfono il malware dovrebbero essere questi:
http://vil.mcafeesecurity.com/vil/content/v_102335.htm

I file che Norton mi rileva sono:
- C:\WINDOWS\system32\remon.sys
- C:\WINDOWS\taskcntr.exe
Non solo ho provato a rimuoverlo con Norton e Nod in modalità provvisoria ma neanche con SpyBot!
Sembra che lo metta in quarantena ma con un netstat ti accorgi che ci sono decine di porte in listening! E il mio firewall

[Noise]

Qui pare che ci sua una soluzione
http://torque.oncloud8.com/archives/000432.html
comunque se non ricordo male io l'avevo debellato con spybot search & destroy. Ti conviene isolarti dalla rete, lanciare spybot e poi, prima di ricollegarti, cercare di attappare il buco da dove entra il virus...
fammi sapere. ciao

[ang.us]

Qui pare che ci sua una soluzione
http://torque.oncloud8.com/archives/000432.html
comunque se non ricordo male io l'avevo debellato con spybot search & destroy. Ti conviene isolarti dalla rete, lanciare spybot e poi, prima di ricollegarti, cercare di attappare il buco da dove entra il virus...
fammi sapere. ciao

Beh...solo per dirvi che non c'è stato verso.
Ho già reinstallato il server (con successo) e ora passo al client...sigh...

P.S.: scusate se ho postato su "Software Windows"

[Noise]

Hacktool.Rootkit - Pcfacile 1 - 0

[piercing]

Hacktool.Rootkit - Pcfacile 1 - 0

beh non è che abbiamo avuto molte informazioni...

la solita passata di hijackthis credo sarebbe bastata...

[toni84]

Ciao,secondo me non hai letto le caratteristiche di un rootkit ,comunque dalla modalita provvisoria elimina i file e riavvia,controlla nel task manager che non girino processi strani,i rootkit sono invisibili te ne puoi accorgere solo dal task manager,casomai scaricatene uno più evoluto Process Explorer

Si tratta, in pratica, di tool ideati per lavorare in background e comunicare con l'esterno senza però arrecare disturbo né interrompere l'attività del PC. I Rootkit sono praticamente invisibili ma consentono la comunicazione con l'esterno e la lettura delle attività del sistema. Per identificare un Rootkit si deve aprire la Windows Task Manager e constatare se ci siano anomalie causate dalla presenza del tool in questione. I Rootkit sono strumenti di monitoraggio invisibili agli attuali sistemi di controllo.

Ciao ciao

[piercing]

i rootkit sono invisibili te ne puoi accorgere solo dal task manager

esattamente come tutti gli altri virus, malware et simili...

un pc è un pc... ancora non stiamo sulla fantascienza

[Noise]

la solita passata di hijackthis credo sarebbe bastata...

Si infatti ripeto io con spybot s&d l'avevo debellato... poi ogni volta che tornavo in rete me lo ribeccavo e c'ho messo un po' a scoprire da dove entrava (vedi 3d precedenti). È strano che non sia riuscito a sradicarlo...
Modifico il punteggio in un'anonima x? hr-pcf 0 a 0..

[toni84]

i rootkit sono invisibili te ne puoi accorgere solo dal task manager

esattamente come tutti gli altri virus, malware et simili...

un pc è un pc... ancora non stiamo sulla fantascienza

Ciao,non penso propio ciao ciao

[piercing]

i rootkit sono invisibili te ne puoi accorgere solo dal task manager

esattamente come tutti gli altri virus, malware et simili...

un pc è un pc... ancora non stiamo sulla fantascienza

Ciao,non penso propio ciao ciao

se vuoi apri un topic per discuterne... mi piacerebbe capire il tuo punto di vista...

[toni84]

Ciao,su cosa? io mi riferisco ai rootkit ma forse c'è un errore che qualcuno fa,l'errore è il non leggere le caratteristiche di un malware,mi sa che quest'articolo ti può servire per chiarirti le idee,clicca QUI,bhe dalle prime righe si capisce molto,se poi vuoi articoli più dettagliati basta che ti butti sull'inglese e li trovi di tutto io mi preoccupo più di un rootkit e non di 10 worm trojan ecc ecc,ed i motivi sono evidenti almeno per me ciao ciao

[Luke57]

Ciao, provare qui?

[piercing]

mi ripeto...

se vogliamo discutere di rootkit.. basta aprire un nuovo topic..

in questo caso il problema è diverso... grazie