Ciao a tutti,
ho una rete composta da un server Win2003 virtualizzato su base Linux.
Poi dei Client con Xp prof. 32 bit.
I Client accedono ad alcune cartelle che il server condivide secondo vari permessi.

Da questa mattina ho un problema randomico in media ogni 30 minuti ma avviene a intervalli del tutto irregolari (anche a distanza 2-3 minuti o da tregua per 1 oretta: ogni volta sono costretto a riavviare il server per consentire che le attività proseguano).

Su 2 (sempre su quei 2) dei 100 client della rete compare:

http://img139.imageshack.us/img139/825/generichost.png

Contemporaneamente su altri 5-6 client (sempre quei 5-6) e sul Serve Win 2003 compare:

http://img139.imageshack.us/img139/5683/w32.png

Contemporaneamente, e questo è il peggio, qualsiasi Client della rete non può più accedere alle cartelle del server (messaggio "Nome periferica già esistente"). Il Server non sfoglia più la rete (si blocca su Risorse di Rete, Tutta la Rete, Rete di Microsoft Windows).

-----

Ho aperto un nuovo topic poichè la maggior parte delle soluzioni trovate nelle guide di HWupgrade riguardano singole workstation e non la rete.
Questo è un problema di Virus/Worm legato a qualche servizio di rete che puntualmente va giù.
Non saprei onestamente da quale PC lanciare un eventuale scansione/antidoto e per ciò aspetto lumi.

Grazie.

Ciao, segui qui (http://www.hwupgrade.it/forum/showthread.php?t=1952610) la guida per la rimozione di Conficker e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

per le reti
il Tool Bitdefender (http://www.disinfecttools.com) presente in guida ha la versione dedicata

Oltre a quanto sopra esposto è necessario applicare le patch, che in questo caso sono:

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx

http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx

Ciao, segui qui (http://www.hwupgrade.it/forum/showthread.php?t=1952610) la guida per la rimozione di Conficker e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

per le reti
il Tool Bitdefender (http://www.disinfecttools.com) presente in guida ha la versione dedicata

Ok, grazie mille. Unica domanda: ma le scansioni varie vanno fatte girare sul server 2003 ove vado ad installare anche i tool di pulizia?

Oltre a quanto sopra esposto è necessario applicare le patch, che in questo caso sono:

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx

http://www.microsoft.com/technet/security/bulletin/ms09-001.mspx

Grazie anche a te! Anche qui domanda simile: ma le patch vanno aggiunte solo sul server o anche ai singoli client?

Client MS08-067

Server quelle sopra indicate

Credo di aver risolto questa mattina, vi scrivo cosa ho fatto e la mia esperienza sperando di essere utile.

Innanzitutto il problema è quasi immediatamente sparito su un solo client ma non sull'altro sebbene l'infezione fosse identica.
Credo che dipenda dal fatto che, sul 2° client dove il worm non se ne oleva andare, lanciavo lo scan con i vari tool senza entrare come amministratore della macchina ma effettuando l'accesso con l'utente (semplice) che usa quel PC.

Mia distrazione/lacuna.

Inoltre ho la netta sensazione che per debellare il virus sia sufficiente il tool scaricabile da http://www.bdtools.net/ anche se ovviamente seguire la guida e far agire tutti i software sicuramente ripulisce più a fondo il sistema anche da eventuali altre minacce.

Segnalo infine che non ho potuto far girare f-downadup poichè non riesco a scaricarlo e credo che abbiano totlo il file dal relaivo indirizzo:

ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

ho provato con google a cercare download alternativi ma niente, è incredibile, qualsiasi sito che consente il download f-downadup rimanda a quell'indirizzo ftp che come vi ho detto non è funzionante.

Ringrazio veramente molto i miei "soccoritori".....

w la rete e chi la sa usare veramente

:)

dal link sopra io scarico tranquillamente ;)
potresti ancora essere infetto...

anche questo ha il supporto per le reti se ti può interessare
http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99

comunque l'ideale è tenere i pc sconnessi da tutto e ripulirli uno alla volta singolarmente

Non a caso il Removal Tool di F-Secure è su Server FTP :)

Confermo, ora sono a casa e il download non mi da problemi.

Scarico qui il tool e me lo porto in ufficio per farlo girare domani insieme a quest'ultimo di symantec.

Grazie wjmat, spero che basti tutto ciò, ho fatto girare i ormai 6/7 software seguendo le procedure e off-line !!! :muro:

Confermo, ora sono a casa e il download non mi da problemi.

Scarico qui il tool e me lo porto in ufficio per farlo girare domani insieme a quest'ultimo di symantec.

Grazie wjmat, spero che basti tutto ciò, ho fatto girare i ormai 6/7 software seguendo le procedure e off-line !!! :muro:

purtroppo l'infezione si svilluppa più in fretta dei software di rimozione, e per noi non è sempre facile sapere quale sia quello che funziona subito, pendiamo dalle vostre esperienze e quello che possiamo leggere nel web

Non mi faceva fare il download dall'ufficio perchè c'era una regola castrante del firewall in relazione all'FTP.

Questa mattina ho rifatto la procedura da capo disabilitando tutti i software in esecuzione automatica ed in back-ground, e disconnesso dalla rete.

In aggiunta ho lanciato il clean di symantec che mi hai suggerito.

A-squared ha trovato tracce dannose ma non hanno nulla a che vedere con il downadup.

Dopo aver rilanciato tutte le scansioni la cosa che spero sia incoraggiante è che, sia il W32.Downadup Removal Tool di symantec che l'f-downadup mi dicevano zero infezioni trovate e zero pulizie eseguite.

:sperem:

Se riappare qualcosa nel pomeriggio posto i log nell'apposito topi ma inizio anche ad orientarmi verso un format c:\..... :doh:

...ed è tornato porca miseria!!!!

Provo ad allegare i log....

Ma hai provveduto ad installare le Patch correttive?

No ho solo effettuato live-update in modo completo.... si è andato a recuperare un bel po' di aggiornamenti persi facendo l'up-grade di tutte le patch rilasciate da microsoft praticamente fino ad oggi....

Pensavo bastasse!!

Le installo manualmente allora!!

Aggiorno.

Il messaggio viene ancora fuori anche dopo aver applicato le patch microsoft.

Sono sull'orlo di formattare o secondo voi, dopo aver dato un'occhiata ai log, si può ancora fare qualcosa?

L'unico miglioramento è che quano il messaggio viene fuori per fortuna la rete non va più giù e non devo più riavviare il server, ma comunque in un gruppo di lavoro (una 20ina di PC) si verificano in simultanea alcuni rallentamenti e problemi con sofwtare che usano la rete.

Insomma, il worm, anche se meno, da ancora fastidio.

bisogna individuare anche gli altri pc infetti da questo worm altrimenti avrai sempre questi attacchi interni, il conficker è un worm aggressivo :)

nel frattempo prova anche a dare una passata con Dr.Web CureIT, malwarebytes e prevxCSi che puoi prendere da questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1599737

almeno così saremo sicuri che non ci sia altro :)

Continuano le vicissutudini, inizio a preoccuparmi MOLTO seriamente!!!

Oggi ho sostituito il 2° PC, quello infetto, escludendolo così dalla rete e tenedolo buono e spento in un angolino..... e attenzione....il 1° PC, quello che mi illudevo fosse "disinfettato", stamattina ha ripresentato il problema...solita schermatina W32.... etc etc.....

Il problema è che su questo primo PC ci sono sw IMPORTANTISSIMI, tipicamente è un PC che si può formattare solo nel periodo estivo non ora in pieno delle attività.... :doh:

Oggi pomeriggio (purtropppo non sono io il sistemista dell'azienda e molte altre cose da fare....) ho 1-ora-1 di tempo per lanciare i tool suggeriti.....

Ma poi vi terrò costantemente aggiornati, sperando sempre in un vostro cortese aiuto.

Io credo che comunque i PC infettati siano solo questi 2 e non ce ne siano altri coinvolti.... bho.