Black Wolf
30-06-2011, 18:56
Salve a tutti,
situazione: macchine windows xp professional sp3 + aggiornamenti vari protetti da kaspersky 2011, ufficio composto da 7 pc + 1 server 2003 r2 (pulito) + 3 server linux (red hat 7.2 + debian kernel 2.6 + elastix 1.5).
E' entrato il virus che si incunea come IsUn1040.exe nella cartella di windows. Le macchine avevano la rete pressoché bloccata, niente posta (sia invio che ricezione, ecc). Ora i sistemi sono "puliti": combofix non trova nulla, prevxcsi neppure, hijackthis mi da un elenco assolutamente normale con le solite voci e neppure qualche problema su winsock, ecc.
Ho pensato: ok, vado a casa :muro: sono due settimane che tolgo 'ste rumente dai pc dei clienti.
In questo ufficio invece non va bene, non basta: i sistemi hanno strascichi anche dopo questo trattamento. La posta funziona in uscita (smtp) ma non in entrata (pop); l'ftp va benissimo ma http/https non proprio: alcuni siti vanno (google, ma anche regione.liguria.it, inail.it e altri) mentre la maggior parte (compresi giornali, corriere, repubblica, ecc) non c'è verso.
Tracert sembra ok per tutti i siti (sia quelli che vanno, sia gli altri che invece non si aprono), ma tant'è :mc:
Insomma: le macchine sembrano pulite (posso sempre sbagliare ma francamente sono piuttosto sicuro), alcuni protocolli e porte vanno perfettamente, altri no del tutto, altri a singhiozzo su alcuni siti soltanto, ho provato anche a fare un ripristino con tcp/ip repair del protocollo di windows, ma niente da fare.
Va da se che dai server e dal mio note collegato alla rete non c'è assolutamente alcun problema sulla rete, router, firewall ecc non bloccano niente (niente blacklist interna, su ip pubblico o altro)
Ovviamente, va da se che vorrei evitare assolutamente il format :(
Avete avuto esperienze di questo tipo? grazie grazie grazie :)
situazione: macchine windows xp professional sp3 + aggiornamenti vari protetti da kaspersky 2011, ufficio composto da 7 pc + 1 server 2003 r2 (pulito) + 3 server linux (red hat 7.2 + debian kernel 2.6 + elastix 1.5).
E' entrato il virus che si incunea come IsUn1040.exe nella cartella di windows. Le macchine avevano la rete pressoché bloccata, niente posta (sia invio che ricezione, ecc). Ora i sistemi sono "puliti": combofix non trova nulla, prevxcsi neppure, hijackthis mi da un elenco assolutamente normale con le solite voci e neppure qualche problema su winsock, ecc.
Ho pensato: ok, vado a casa :muro: sono due settimane che tolgo 'ste rumente dai pc dei clienti.
In questo ufficio invece non va bene, non basta: i sistemi hanno strascichi anche dopo questo trattamento. La posta funziona in uscita (smtp) ma non in entrata (pop); l'ftp va benissimo ma http/https non proprio: alcuni siti vanno (google, ma anche regione.liguria.it, inail.it e altri) mentre la maggior parte (compresi giornali, corriere, repubblica, ecc) non c'è verso.
Tracert sembra ok per tutti i siti (sia quelli che vanno, sia gli altri che invece non si aprono), ma tant'è :mc:
Insomma: le macchine sembrano pulite (posso sempre sbagliare ma francamente sono piuttosto sicuro), alcuni protocolli e porte vanno perfettamente, altri no del tutto, altri a singhiozzo su alcuni siti soltanto, ho provato anche a fare un ripristino con tcp/ip repair del protocollo di windows, ma niente da fare.
Va da se che dai server e dal mio note collegato alla rete non c'è assolutamente alcun problema sulla rete, router, firewall ecc non bloccano niente (niente blacklist interna, su ip pubblico o altro)
Ovviamente, va da se che vorrei evitare assolutamente il format :(
Avete avuto esperienze di questo tipo? grazie grazie grazie :)