PDA

Visualizza versione completa : Aiuto Worm credo (2 )Aiuto urgente


cricio
04-09-2001, 19.29.20
Ciao a tutti, scusate se ritorno sull'argomento worm. Ho eseguito quello che mi avete detto, ho fatto la scansione con Norton aggiornato eliminati i virus, poi ho fatto la scansione con HouseCall e Mcafee ed eliminato virus, ma mi ritorna posta che io non invio e per di piu' quando sono scollegato perche' in quel momento sono al lavoro. Sono disperato, che fare, se potete aiutatemi anche perche' chi mi rimanda posta e' un po' inc................p.s mi dicono che invio posta con 2 nik diversi??????
Ciao e grazie un saluto anche a Vitoz

iamj2
04-09-2001, 20.01.34
Puoi fare questa prova, tolgi la spunta alla casella "invia posta immediatamente alla connessione" in recapito messaggi e controllare che non ci sia nulla da inviare nella casella posta in uscita.
Quindi controllare che non operi da solo...
I due nick sono tuoi?

cricio
04-09-2001, 20.13.33
Dei Nik non mi ha specificato nulla, era solo un po' incaz....Ora provo afare quello che hai detto, a dopo Ciao...

cricio
04-09-2001, 20.22.50
Scusa ma non trovo invia posta e recapito messaggi Scusa l'ignor...Mi guidi

Vitoz
04-09-2001, 20.28.48
putroppo rieccoci, cricio

dunque... ponendo per certo che il tuo sistema sia infettato solo da SirCam, comincerei col rifare la procedura di rimozione col tool della McAfee (in caso estremo si possono provare anche altri tools, ma potrebbe forse capitare che tools di diverse case possano crearsi problemi a vicenda), e poi userei anche il file .reg consigliato da WT per la riparazione del registro danneggiato (tnx Canaro e Casper, e tnx eymerich per avermelo ricordato :) )

questo e' il file .reg da esegire dopo la nuova pulizia:
ftp://ftp.europe.f-secure.com/anti-virus/tools/sirc_dis.reg

come gia' detto, vedo che ti sei cmq preoccupato di aggiornare il tuo Norton ed eseguire una scansione completa: trovato nulla ?

se i problemi perdurano, bisogna indagare piu' a fondo per capirne la natura, sperando di trovare una buona soluzione

cricio
04-09-2001, 20.42.58
ho fatto la scansione con norton aggiornato al 30 agosto e ha messo i quarantena un virus, poi i procedimenti che mi hai illustrato per e' troppo complicato, che ne pensi se riformatto tutto: comunque ho capito alcune cose 1 forse e' qualcun altro che invia al mio posto visto che mi dicono che spedisco con 2 Nik, 2la posta parte quando clicco su pagine web tipo libero forum vari quindi piu' pagine visito piu' messaggi partono. Che ne dici. sono esaurito...e' possibile che qualcuno utilizzi oltre i miei indirizzi anche la linea telefonica Ciao fammi sapere

Vitoz
04-09-2001, 21.03.50
no, non e' complicato, basta sempicemente scaricarlo e doppiocliccarci su quel file .reg

si', formattando tutto ovviamente risolvi, ma se gia' hai in mente di farlo, tanto vale allora fare qualche altro tentativo: tutta esperienza utile, cmq

i virus/worm come SirCam, e molti altri, sono in grado di leggere il codice HTML dei siti che visiti, quindi possono inviare mail infette anche ai vari indirizzi che puoi incontrare semplicemente navigando, tipo quelli tipicamente "info@" che si trovano nelle varie home pages, cosi' come possono leggere gli indirizzi contenuti nella varie mail che ti arrivano: se qualcuno ti manda una mail, e la stessa mail viene mandata contemporaneamente a piu' persone, soprattutto se trattasi di un forward, il virus legge anche gli indirizzi che vengono riportati nel messaggio stesso che ti e' stato spedito, e spedisce a sua volta (per questo che ti ritornano molte mails da sconosciuti che ti accusano di aver loro spedito il virus)

UN ATTIMO !!!

leggo ora la tua mail (come detto considero poco Yahoo :( ), e mi rendo conto anche dell' infezione in corso con un JS exploit e forse anche altri... :(

la situazione si fa' davvero complicata... cerco qualcosa, ma temo che ci sia ormai abbastanza poco da fare...

posta per favore, ammesso che possa servire, i nomi di TUTTI i virus e/o worm trovati sul tuo sistema

Vitoz
04-09-2001, 21.09.35
puo' essere che tu abbia contratto anche il VBS Loding ( http://vil.nai.com/vil/virusSummary.asp?virus_k=99185 ), worm che va a braccetto col JS exploit, e che' un dannato mass-mailer, cosa che spiegherebbe ancor piu' i tuoi problemi

non ti nascondo che la situazione non e' per nulla semplice :(

cricio
04-09-2001, 21.15.02
un virus era??? JS.exception.exploit lgli altri scam32 Che fare guidami Ciao

Vitoz
04-09-2001, 21.26.30
scam e' sempre il SirCam

per l' Exploit, alla Symantec dicono semplicemente di aggiornare il NAV e fare una scansione, ELIMINANDO (non mettendo in quarantena) tutto cio' che trova a riguardo: non ci sono istruzioni di rimozione manuale, non trovo il corrispondente alla NAI :( (sto cercando), elimina se vengono trovati anche riferimenti a SirCam

riprovaci, poi rifai la procedura col tool McAfee, e poi esegui il .reg e riavvia incrociando le dita, facendo un' ennesima scansione...

attendo notizie

cricio
04-09-2001, 21.49.48
Dunque se ho ben capito 1
norton( ha fatto ieri tutto ok) 2Mcafee 3 reg di quello che mi hai mandato...Giusto p.s. Se dovessi formattare posso salvare file napster documenti preferiti e altro da poi reinserire nel p.c. Fammi sapere che inizio poi la tua procedura ( devo essere sconnesso)Ciao

Vitoz
04-09-2001, 22.04.15
Originariamente inviato da cricio
Dunque se ho ben capito 1
norton( ha fatto ieri tutto ok) 2Mcafee 3 reg di quello che mi hai mandato...Giusto p.s. Se dovessi formattare posso salvare file napster documenti preferiti e altro da poi reinserire nel p.c. Fammi sapere che inizio poi la tua procedura ( devo essere sconnesso)Ciao
ok per ora, Norton con scansione di tutti i files, McAfee, e poi file .reg e riavvio

forse ci sono novita', l' Inquisitore ci sta gentilmente lavorando alacremente assieme a me ;)

casomai dei salvataggi ne parliamo dopo, se avremo la certezza di avere sottomano un paziente non rianimabile

cricio
04-09-2001, 22.13.39
Scusa ma chi e' l'inquisitore, quello che mi fa casini????

Vitoz
04-09-2001, 22.18.44
Originariamente inviato da cricio
Scusa ma chi e' l'inquisitore, quello che mi fa casini????
:D:D:D:D

no, scusa, dimentico che sei nuovo: eymerich, l' Inquisitore, un senior member molto ferrato in materia (citato anche nella pagina precedente nel mio primo post, se ci fai caso ;) )

cricio
04-09-2001, 22.23.06
oh Scusa tanto Vitoz e te Inquisitore non sapevo, sai sono giorni che sono qui' per cercare di risolvere e sono giu' Adesso mi scollego e faccio la procedura e ti faccio sapere Ciao a dopo

eymerich
04-09-2001, 22.35.33
LOL :D:D:D

l'Inquisitore,io insomma :cool: ,sono in contatto via e-mail con Vitoz e ci stiamo consultando sul caso ;)

cricio
04-09-2001, 23.40.20
Fatta scansione con Norton aggiornato al 30 agosto tutto a posto e fatto anche con Mcfee, con norton risultano 40.000 file con Mcafee26.000?????? ecco il report McAfee VirusScan for Win32 v4.14.0
Copyright (c) 1992-2000 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Jan 17 2001

Scan engine v4.1.40 for Win32.
Virus data file v4099 created Jul 24 2001
Scanning for 2 viruses, trojans and variants.



09/04/2001 23:15:48


Options:
C:\WINDOWS\SYSTEM32\SIRC32.EXE /CLEAN /NODDA /REPORT REPORT.TXT

No file or directory found matching C:\WINDOWS\SYSTEM32\SIRC32.EXE

McAfee VirusScan for Win32 v4.14.0
Copyright (c) 1992-2000 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Jan 17 2001

Scan engine v4.1.40 for Win32.
Virus data file v4099 created Jul 24 2001
Scanning for 2 viruses, trojans and variants.



09/04/2001 23:15:50


Options:
C:\WINDOWS\SYSTEM32\SCAM32.EXE /CLEAN /NODDA /REPORT REPORT.TXT /APPEND

Scanning C: []
Scanning C:\WINDOWS\SYSTEM32\SCAM32.EXE\*.*

Summary report on C:\WINDOWS\SYSTEM32\SCAM32.EXE\*.*
0 files were on the disk.


McAfee VirusScan for Win32 v4.14.0
Copyright (c) 1992-2000 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Jan 17 2001

Scan engine v4.1.40 for Win32.
Virus data file v4099 created Jul 24 2001
Scanning for 2 viruses, trojans and variants.



09/04/2001 23:15:53


Options:
C:\WINDOWS\SYSTEM\SIRC32.EXE /CLEAN /NODDA /REPORT REPORT.TXT /APPEND

No file or directory found matching C:\WINDOWS\SYSTEM\SIRC32.EXE

McAfee VirusScan for Win32 v4.14.0
Copyright (c) 1992-2000 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Jan 17 2001

Scan engine v4.1.40 for Win32.
Virus data file v4099 created Jul 24 2001
Scanning for 2 viruses, trojans and variants.



09/04/2001 23:15:55


Options:
C:\WINDOWS\SYSTEM\SCAM32.EXE /CLEAN /NODDA /REPORT REPORT.TXT /APPEND

Scanning C: []
Scanning C:\WINDOWS\SYSTEM\SCAM32.EXE\*.*

Summary report on C:\WINDOWS\SYSTEM\SCAM32.EXE\*.*
0 files were on the disk.


McAfee VirusScan for Win32 v4.14.0
Copyright (c) 1992-2000 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Jan 17 2001

Scan engine v4.1.40 for Win32.
Virus data file v4099 created Jul 24 2001
Scanning for 2 viruses, trojans and variants.



09/04/2001 23:15:57


Options:
C:\RECYCLED\SIRC32.EXE /ALL /CLEAN /NODDA /REPORT REPORT.TXT /APPEND

Scanning C: []
Scanning C:\RECYCLED\SIRC32.EXE\*.*

Summary report on C:\RECYCLED\SIRC32.EXE\*.*
0 files were on the disk.


McAfee VirusScan for Win32 v4.14.0
Copyright (c) 1992-2000 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Jan 17 2001

Scan engine v4.1.40 for Win32.
Virus data file v4099 created Jul 24 2001
Scanning for 2 viruses, trojans and variants.



09/04/2001 23:16:00


Options:
/ADL /ALL /CLEAN /NODDA /REPORT REPORT.TXT /APPEND

Scanning C: []
Scanning C:\*.*

Summary report on C:\*.*
File(s)
Total files: ........... 26666
Clean: ................. 26658
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1
Master Boot Record(s): ......... 0
Possibly Infected: ..... 0
Boot Sector(s): ................ 0
Possibly Infected: ..... 0


Time: 00:27.34

Che si fa'

eymerich
04-09-2001, 23.56.35
Il report indica che ti sei finalmente liberato da Sircam.

Passiamo ora ai danni di JS Exploit:
previa consultazione con il vulcaniano :cool:,e viste anche le descrizioni sui siti Nai,Symantec e Sophos,sarebbe consigliabile reinstallare il sistema operativo su se stesso per rimediare ai danni qu e l causati da JS exploit.
Infine altamente consigliabile aggiornare la Java Virtual Machine dal sito http://www.microsoft.com/java/vm/dl_vm40.htm per prevenire ulteriori reinfezioni dallo stesso trojan.

f.to Eymerich l'Inquisitore :cool:

Vitoz
04-09-2001, 23.56.57
il conteggio credo sia corretto, il tool scansiona solo i files "sensibili", la scansione completa con NAV tutti

hai azionato anche il fle .reg ?

che si fa' ora ?
nulla... si aspetta...
se non ti arrivano piu' segnalazioni (con data posteriore a 'stasera), sei un uomo fortunato :)

in caso contrario, si possono tentare varie altre cose prima del format, fra cui una sovrainstallazione del sistema operativo stesso
(come appunto da consultazione con il Sant' Uffizio)

(e aggiorna come dice eymerich: a proposito, son due giorni che io e te si posta in esatta contemporanea, caro Inquisitore, e ora io sto editando, e scommetto che stai editando il msg anche tu :D:D:D )

cricio prendi un po' di tempo per verificare cosa succeda, domani ne riparliamo, sempre in questo thread, non aprirne un altro ;) (come da regolamente del forum, non disperdiamo i threads :) )

ci aggiorniamo ;) :)

eymerich
05-09-2001, 00.01.05
Originariamente inviato da Vitoz
e ora io sto editando, e scommetto che stai editando il msg anche tu

io stavo editando quest'altro :D:D:D

:cool:
ma non eri andato a dormire?

Vitoz
05-09-2001, 00.03.46
Originariamente inviato da eymerich
:cool:
Vitoz,non eri andato a dormire?
l' etica mi imponeva di aspettare il report :cool: :D:D ;)

ora ci vado, stavo dormendo sulla tastttttttttttttt.... (S) (S) (S)

eymerich
05-09-2001, 00.05.38
:D:D:D

cricio
05-09-2001, 00.11.41
Ok faro' come mi dite voi e poi aspettero', spero di trovare un mill**enium da installare sopra Ancora grazie e a domani io non edito, faccio un giro nel web e poi a nanna Ciao

Vitoz
05-09-2001, 09.17.17
Originariamente inviato da cricio
Ok faro' come mi dite voi e poi aspettero', spero di trovare un mill**enium da installare sopra
cricio... brivido lungo la schiena... :eek:
tu hai Win ME ?????

ti ricordi cosa ti ho detto nel tuo primo thread "aiuto worm", questo, http://forum.wintricks.it/showthread.php?threadid=17072 , a proposito di Win ME ?

di disabilitare la System Restore, se tu fossi un utilizzatore di ME...
e dato che non hai chiesto nulla a riguardo, non ho nemmeno piu' immaginato che tu avessi ME.... tu HAI disabilitato la System Restore prima degli interventi antivirus, vero ?

dimmi di si', dimmi di si'...


beh, speriamo vada tutto bene...

cricio
05-09-2001, 18.58.38
Ciao, il System restore????? non so' nemmeno da dove cominciare, comunque non so se e' un caso fino a questo momento non e' tornato niente indietro, speriamo bene: Adesso pensavo di cambiare la mia pass quando avvio la connessione, puo' servire Ciao da Cricio.. a dopo fammi sapere

Vitoz
05-09-2001, 19.22.05
beh meglio cosi' :)

se il problema si ripresentasse, e' quasi sicuramente colpa della funzione System Restore di ME, nel caso la disabilitiamo (poi ti diro' se servisse), e dovrai pero' ripetere le procedure finora eseguite

cambiare la pass: nel caso specifico non penso possa incidere, sempre che nessuno sia riuscito a "soffiartela" grazie ad un trojan; quindi male non fa', anzi, fai pure se credi

cricio
05-09-2001, 19.41.26
Password di connessione al server cambiata, come dicevo non mi e' tornato nulla Messagg Error con gente incaz...., adesso faccio questa prova, se puo' servire!! navigo liberamente nel web, e mi sono segnato l'ora e i siti cosi' faccio il confronto se sono io oppure no, e se il problema e' risolto. Se continua Formatto il tutto faccio una nuova connessione e avviso il server di quello che e' successo, spero che vada tutto bene cosi' salvo il tutto compreso la pag Web dei figli, che ne dici???

Vitoz
05-09-2001, 23.49.28
Originariamente inviato da cricio
Password di connessione al server cambiata, come dicevo non mi e' tornato nulla Messagg Error con gente incaz...., adesso faccio questa prova, se puo' servire!! navigo liberamente nel web, e mi sono segnato l'ora e i siti cosi' faccio il confronto se sono io oppure no, e se il problema e' risolto. Se continua Formatto il tutto faccio una nuova connessione e avviso il server di quello che e' successo, spero che vada tutto bene cosi' salvo il tutto compreso la pag Web dei figli, che ne dici???
spero tu non abbia bisogno del format, tieni sotto controllo la situazione, per cio' che possiamo fare, siamo sempre qui :)

ciao ;)