dllcom.exe e wininmil.exe ---> simil sasser

[Martin P]

Ciao,

dopo aver resettato completamente il mio notebook (con xppro sp1), ho installato Nod32 aggiornato e mi sono cnnesso ad internet per installare le patch di microsoft....

non faccio in tempo che dopo pochi secondi nod32 rileva un worm (spybot o simile) ma non riesce ad eliminarlo ... poco dopo inoltre il sistema si riavvia con procedura quasi identica a quella di sasser ....

Faccio scansione con vari remover ma sasser non viene rilevato

in compenso dal taskmanager ci sono questi 2 processi che sono sicuramente worm: dllcom.exe e wininimil.exe che vengono anche avviati da relatuve chiavi di registro

facendo una ricerca con "trova file" tali file sembrano non essere presenti sul mio pc

se stoppo i processi e cancello le chiavi di reg, queste ricompaiono al successivo riavvio

se avvio in mod. provvisoria, tali processi e tali chiavi non sono + presenti

visto che avevo appena formattato ho risolto tutto con un'altro formattone, ma altrimenti come facevo?

ho cercato su internet info su questi 2 prcessi ma ho trovato pochissimo, forse è una nuova variante di sasser? ... cmq adesso per prima cosa installo la patch, senza connettermi a winowsupdate

qualcuno conosce tali worm?

[ring]

Se si tratta dello Spybot.worm, ti rimando ad una pagina Internet per sapere cos'è, cosa fa e come rimuoverlo.
Clicca QUI

Fammi sapere

Ciao

[Martin P]

grazie, ormai ho fatto il formattone, ma avevo già seguito quelle procedure senza successo... ... magari sbagliavo qualcosa..

altre info?

[netquik]

purtroppo non è detto fosse sasser

ci sono ormai tanti virus e varianti che sfruttano quella vulnerabilità

io procederei in due modi

1.
Installi un firewall prima di connetterti per scaricare le patch microsoft, per quanto ne so anche il firewall di xp potrebbe darti la protezione necessaria


2.
Ti scarichi le patch più importanti offline, così da poterle integrare senza doverti connettere.

[Martin P]

grazie delle risposte

avevo già il firewall, ma mi ha fregato lo stesso non era ancora ben configurato... ... cmq adesso mi sono salvato la patch di sasser ed in futuro la installerò prima di tutto

[wgator]

Quote:

Originariamente inviato da netquik
purtroppo non è detto fosse sasser

ci sono ormai tanti virus e varianti che sfruttano quella vulnerabilità

io procederei in due modi

1.
Installi un firewall prima di connetterti per scaricare le patch microsoft, per quanto ne so anche il firewall di xp potrebbe darti la protezione necessaria


2.
Ti scarichi le patch più importanti offline, così da poterle integrare senza doverti connettere.

Ciao,

ti confermo (ho fatto decine di esperimenti) che la strada che hai indicato è la più sicura.

Naturalmente le patch antisasser e antiblaster e il rollup KB826939 , come hai fatto giustamente notare, andrebbero scaricate prima di formattare e messe da parte per installarle prima di tentare la connessione a internet

Garantisco anche che ICF (Firewall integrato in WinXP) è più che sufficiente per proteggersi dai vari attacchi in fase di windows update.

Il problema è che la maggior parte delle persone dimenticano di attivarlo.

Alcuni addirittura non lo inseriscono perchè è opinione diffusa che faccia schifo, non è affatto vero, il suo lavoro lo fa...

Non metto in dubbio che ci siano firewall migliori, però la prima connessione a win update dopo il formattone bisogna farla usando ICF, si scaricano tutte le patch, si aggiorna il sistema dopodichè ognuno inserirà il firewall che preferisce

[Martin P]

grazie ... certo che ormai chi non è esperto è condannato

... però se rileggete il mio primo post rimane un dubbio: come mai in modalità provvisoria non sono riuscito a trovare (ed eliminare) le chiavi di registro del worm ed i relativi eseguibili?

[netquik]

Ci sono almeno due strade da seguire per evitare le infezioni dei nuovi virus che si diffondo via web sfruttando le vulnerabiltà del codice del sistema oprativo:


1.
Installate un firewall prima di connettervi per la prima volta alla rete. Ovviamente in questo caso il primo obbiettivo sarà scaricare tutte le patches di sicurezza rilasciate da microsoft e ovviamente aggiornare l'antivirus.

Se non avete un firewall potete utilizzare ICF (Firewall integrato in WinXP, attivandolo dalle proprietà di connessione).
ICF svolge il suo lavoro abbastanza bene, riteniamo che l'opinione diffusa che non funzioni sia falsa, certo non ha la malleabilità di un firewall di terzi.
Dopo aver effettuato l'essenziale update di sicurezza che ci proteggerà dalle vulnerabiltà e dagli attachi finora noti potreto in tranquillità scegliere il "muro di fuoco" più adatto allo scopo.

2.
Seconda strada altrettanto valida e forse più sicura è quella di scaricarsi le patches microsoft offline prima di effettuare una reinstallazione.

Indispensabili sono il

- Windows XP SP1 - XP Service Pack 1a (32 bit)

- Rollup 1 - KB826939

• ------> Patch di sicurezza (Blaster e co.) - KB824146

- Patch di sicurezza (Sasser e co.) - KB835732

potrete anche salvarle su un supporto esterno (CD, DVD) per averle sempre a portata di mouse, salvo restando che con l'uscita del SP2 per Windows Xp , si avrà un pacchetto più completo che comprenderà tutte le suddette patches.

Potrete quindi aggiornare la vostra copi di XP senza dover accedere alla rete e scoprirvi agli attacchi di virus e worm.


by netquik e wgator

(che ne dite la mettiamo in evidenza? )

[netquik]

@ martin

avevi attivato la visualizzazione dei file nascosti e di sistema?

[Martin P]

Quote:

@ martin
avevi attivato la visualizzazione dei file nascosti e di sistema?

si, l'avevo attivata, grazie .... molto esaudienti le vostre risposte, adesso mi stampo il 3d però mi rimane il dubbio di come avrei fatto a disinfettare senza formattone: forse sono stato troppo precipitoso ... la cosa strana è che in mod. provvisoria scomparivano anche le chiavi di registro del worm ... inoltre gli eseguibili non sono riuscito a scovarli ...è normale?


.... per la cronaca avevo già il firewall, ma appena connesso sono stato subissato richieste di connessioni e devo aver dato qualche risposta sbagliata al FW


ciao e grazie!

(concordo che in rilievo sarebbe utile)

[netquik]

strano non ci fossero.. forse erano "nascosti" con qualche trucco...

comunque non lo sapreemo mai...

[wgator]

Ciao,

Questo rafforza la mia teoria che per combattere certe schifezze a volte bisognerebbe usare un cd di boot (tipo Bart PE, Win PE) allo scopo di poter mettere le mani su tutto ciò che è presente sugli hard disk, senza che questi files siano direttamente maneggiati dal sys op...

[Martin P]

Quote:

Originariamente inviato da wgator
Ciao,

Questo rafforza la mia teoria che per combattere certe schifezze a volte bisognerebbe usare un cd di boot (tipo Bart PE, Win PE) allo scopo di poter mettere le mani su tutto ciò che è presente sugli hard disk, senza che questi files siano direttamente maneggiati dal sys op...

concordo! mi pare che si sia un 3D in proposito, lo devo leggere al + presto