Backdoor.Dvldr

[Rozz Williams]

ciao a tutti,

è tutta la settimana che questo virus perseguita i computer dell'uffico...
lo eliminiamo, eseguiamo tutte le operazioni di rimozione....dopo poco riappare...

che diavolo è?

da dove arriva?

[Bilancino]

Se i pc sono nella lan bisogna effettuare tutte le operazione di rimozione con il cavo di rete staccato e senza essere collegati su internet. Inoltre la rimozione con tool o manuale deve essere fatta su OGNI pc sempre con cavo di rete staccato.

Ciao

[Rozz Williams]

ifatti è quello che abbiamo fatto....
pulito tutto la mattina, e nel pomeriggio si è ripresentato il problema...

ora ho installato Kerio su tutti i PC...e sembra che la cosa si sia risolta...

boh

[Rozz Williams]

oggi pomeriggio ho fatto una prova...

disabilitato il Firewall e dopo 10 min....nortono mi segnala nuovamente il virus e lo mette in quarantena...

ma che diavolo di virus è?
e da dove arriva poi????

[amvinfe]

E' un worm che installa una backdoor, appunto Backdoor.Dvldr. Attacca solo sistemi operativi 2000 XP
Entra nella task Ctrl+Maiusc+Esc
e termina
Dvldr32.exe
esci dalla task.
Start>Esegui--->regedit
cancella il valore
messnger

per il worm questa è la rimozione manuale

Start>Esegui--->regedit
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
cancella i valori
TaskMan = %Windows%\Fonts\rundll32.exe
Explorer = %Windows%Fonts\explorer.exe
lo stesso fai a seconda del sistema operativo in C:\Windows o C:\WINNT


in
HKEY_LOCAL_MACHINE>Software
HKEY_CURRENT_USER>Software
cancella il valore ORL
chiudi il registro e scansiona con l'antivirus

TUTTE LE OPERAZIONI VANNO FATTE SU OGNI PC DELLA RETE E NON CONNESSI

Marco(amvinfe)

P.S.
Dimenticavo la backdoor apre l'accesso in remoto alla porta 445 per cercare le password di sistema!!!

[Rozz Williams]

perfetto, esattamente quello che avevamo fatto, su ogni PC della rete e con i cavi di rete scollegati.....

ma come si rimettevano i PC in rete tempo 10 min se lo ribeccavano....

esiste un modo per bloccare la porta 445?

io ora ho montato kerio su tutti i PC (che hanno IP pubblici) ma non riesco a bloccare la singola porta, posso solo specificare ad un dato SW il permesso di usare solo una data porta......

[overciuk]

Quote:

Originally posted by "Rozz Williams"

perfetto, esattamente quello che avevamo fatto, su ogni PC della rete e con i cavi di rete scollegati.....

ma come si rimettevano i PC in rete tempo 10 min se lo ribeccavano....

esiste un modo per bloccare la porta 445?

io ora ho montato kerio su tutti i PC (che hanno IP pubblici) ma non riesco a bloccare la singola porta, posso solo specificare ad un dato SW il permesso di usare solo una data porta......

X i prog ke accedono ad internet e x le appl d sistema prova a bloccare il traffico in entrata da tale porta.

Ciao.

[overciuk]

Anzi, altrimenti fai così.
Vai sempre in Administration/Advanced e crea 1 nuova regola (Rule) dove specifiki: i protocolli ke vuoi bloccare, la single port 445, Application: any, direction: both, Remote: any address, Port: any port, Action: Deny.
Così dovrebbe bastare.

Ciao.

[amvinfe]

Dimenticavo che devi eiliminare anche il valore inst.exe in

Documents and Settings\All Users\Start Menu\Programs\Startup\

Marco(amvinfe)