ciao a tutti,

è tutta la settimana che questo virus perseguita i computer dell'uffico...
lo eliminiamo, eseguiamo tutte le operazioni di rimozione....dopo poco riappare...

che diavolo è?

da dove arriva?

Se i pc sono nella lan bisogna effettuare tutte le operazione di rimozione con il cavo di rete staccato e senza essere collegati su internet. Inoltre la rimozione con tool o manuale deve essere fatta su OGNI pc sempre con cavo di rete staccato.

Ciao

ifatti è quello che abbiamo fatto....
pulito tutto la mattina, e nel pomeriggio si è ripresentato il problema...

ora ho installato Kerio su tutti i PC...e sembra che la cosa si sia risolta...

boh

oggi pomeriggio ho fatto una prova...

disabilitato il Firewall e dopo 10 min....nortono mi segnala nuovamente il virus e lo mette in quarantena...

ma che diavolo di virus è?
e da dove arriva poi????

E' un worm che installa una backdoor, appunto Backdoor.Dvldr. Attacca solo sistemi operativi 2000 XP
Entra nella task Ctrl+Maiusc+Esc
e termina
Dvldr32.exe
esci dalla task.
Start>Esegui--->regedit
cancella il valore
messnger

per il worm questa è la rimozione manuale

Start>Esegui--->regedit
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
cancella i valori
TaskMan = %Windows%\Fonts\rundll32.exe
Explorer = %Windows%Fonts\explorer.exe
lo stesso fai a seconda del sistema operativo in C:\Windows o C:\WINNT


in
HKEY_LOCAL_MACHINE>Software
HKEY_CURRENT_USER>Software
cancella il valore ORL
chiudi il registro e scansiona con l'antivirus

TUTTE LE OPERAZIONI VANNO FATTE SU OGNI PC DELLA RETE E NON CONNESSI

Marco(amvinfe)

P.S.
Dimenticavo la backdoor apre l'accesso in remoto alla porta 445 per cercare le password di sistema!!!

perfetto, esattamente quello che avevamo fatto, su ogni PC della rete e con i cavi di rete scollegati.....

ma come si rimettevano i PC in rete tempo 10 min se lo ribeccavano.... :eek:

esiste un modo per bloccare la porta 445?

io ora ho montato kerio su tutti i PC (che hanno IP pubblici) ma non riesco a bloccare la singola porta, posso solo specificare ad un dato SW il permesso di usare solo una data porta...... :confused:

Originally posted by "Rozz Williams"

perfetto, esattamente quello che avevamo fatto, su ogni PC della rete e con i cavi di rete scollegati.....

ma come si rimettevano i PC in rete tempo 10 min se lo ribeccavano.... :eek:

esiste un modo per bloccare la porta 445?

io ora ho montato kerio su tutti i PC (che hanno IP pubblici) ma non riesco a bloccare la singola porta, posso solo specificare ad un dato SW il permesso di usare solo una data porta...... :confused:

X i prog ke accedono ad internet e x le appl d sistema prova a bloccare il traffico in entrata da tale porta.

Ciao.

Anzi, altrimenti fai così.
Vai sempre in Administration/Advanced e crea 1 nuova regola (Rule) dove specifiki: i protocolli ke vuoi bloccare, la single port 445, Application: any, direction: both, Remote: any address, Port: any port, Action: Deny.
Così dovrebbe bastare.

Ciao.

Dimenticavo che devi eiliminare anche il valore inst.exe in

Documents and Settings\All Users\Start Menu\Programs\Startup\

Marco(amvinfe)