WORM_AGOBOT.AVG

76nik · 09-09-2005, 10:42

Buongiorno avrei urgente bisogno di un aiuto, ho nella mia rete aziendale un
virus che parte con il file duck.exe, il virus in questione si chiama
WORM_AGOBOT.AVG.
I sistemi operativi windows 2000 e xp sono quelli colpiti, il file duck.exe
si inserisce sotto winnt;wint/system32;winnt/system32/spool/driver; poi
genera un processo che deve essere stoppato chiamato duck.exe, inoltre
cancello sotto hkey local mchine/software/microsoft/current version/run e
runservice il file duck.exe; scarico tutte le patch di microsoft faccio una
scansione con l'antivirus in modalità provvisoria ma quando il pc viene
rimesso in rete il virus rientra.
N.B. il virus in questione intasa la rete con chiamate su altri computer e
fa partire le stampanti di rete.

BravoGT83 · 09-09-2005, 10:52

antivirus usate=?

BravoGT83 · 09-09-2005, 10:54

ecco come risolverlo

http://www.trendmicro.com/vinfo/viru...2EAVG&VSect=Sn

spero che capite inglese

se funziona voglio un bonifico dalla ditta

76nik · 09-09-2005, 11:16

Ti ringrazio per la tua disponibilità, ma ho già provato questa prcedura, ti ripeto che una volta messo il pc nuovamente in rete il virus rientra.

BravoGT83 · 09-09-2005, 11:20

Quote:

Originariamente inviato da 76nik

Ti ringrazio per la tua disponibilità, ma ho già provato questa prcedura, ti ripeto che una volta messo il pc nuovamente in rete il virus rientra.

intendi la rete lan o internet?

allora se è in lan vuol dire che qualcuno altro ce lo il server è stato infetto

76nik · 09-09-2005, 11:23

Appena viene attaccato alla rete lan.

BravoGT83 · 09-09-2005, 11:27

Quote:

Originariamente inviato da 76nik

Appena viene attaccato alla rete lan.

alla l'avete sui server....

quindi chi è l'amministratore dovrebbe essere in grado di toglierlo usando quel link

poi dovete fare la stessa cosa per tutti i pc non vedo altri soluzioni...staccare tutti dalla Lan e poi pulire uno per uno...

qualcuno di voi è andato aprire una mail che contiene questo worm

wgator · 09-09-2005, 11:32

Ciao,

hmm, bella rogna... quel worm su una macchina "stand alone" si toglie facilmente ma su una rete è un po' più incasinato

E' una rete paritetica o ci sono dei server?

Dopo aver isolato tutte le macchine dalla rete ed averle pulite ad una ad una (compreso quelle che non sembrano avere problemi) prova ad applicare sulle macchine con win 2000/XP le protezioni offerte da Windows Worm Door Cleaner: http://www.firewallleaktester.com/wwdc.htm

Non so come funziona la tua rete e quali servizi ci girano, se qualcuno dei servizi che vengono chiusi da WWDC.EXE ti creasse problemi, puoi comunque riattivarlo facilmente.

BravoGT83 · 09-09-2005, 11:34

Quote:

Originariamente inviato da wgator

Ciao,

hmm, bella rogna... quel worm su una macchina "stand alone" si toglie facilmente ma su una rete è un po' più incasinato

E' una rete paritetica o ci sono dei server?

Dopo aver isolato tutte le macchine dalla rete ed averle pulite ad una ad una (compreso quelle che non sembrano avere problemi) prova ad applicare sulle macchine con win 2000/XP le protezioni offerte da Windows Worm Door Cleaner: http://www.firewallleaktester.com/wwdc.htm

Non so come funziona la tua rete e quali servizi ci girano, se qualcuno dei servizi che vengono chiusi da WWDC.EXE ti creasse problemi, puoi comunque riattivarlo facilmente.

eggià già wwdc dovrebbe risolvere un problema...

ma rimane quello più grande

wgator · 09-09-2005, 11:43

Quote:

Originariamente inviato da BravoGT83

ma rimane quello più grande

Già... è necessario comunque intervenire sul server

BravoGT83 · 09-09-2005, 11:53

Quote:

Originariamente inviato da wgator

Già... è necessario comunque intervenire sul server

anche sui pc dei altri utenti...xche sicuramente anche loro sono infetti

76nik · 09-09-2005, 14:11

Intanto sono contento che qualcuno mi risponde, volevo chiedervi una cosa:I pc qui sono molti, volevo sapere se esisteva una patch da applicare dopo la pulizia.

FOXYLADY · 09-09-2005, 16:43

Potrebbe anche essere che nella LAn c'è un PC in particolare che invia pacchetti infetti a tutte le altre, per individuare qual'è dovresti usare uno sniffer, ma se non sai come usarlo è meglio che lasci perdere.
In alternativa come ti hanno già consigliato potresti staccare ciascuna macchina, scansionarla con l'antivirus e prima di ricollegarla in LAN oltre WWdc, sulle macchine con xp attivi anche il firewall integrato.
Poi passi ad un altra macchina eseguendo la stessa procedura per tutti i PC in Lan.
E' un pò lungo e laborioso lo so, ma potrebbe funzionare.
Se invece bisogna agire direttamente sul server come dice wgator, non so

Ciao

BravoGT83 · 09-09-2005, 17:10

Quote:

Originariamente inviato da 76nik

Intanto sono contento che qualcuno mi risponde, volevo chiedervi una cosa:I pc qui sono molti, volevo sapere se esisteva una patch da applicare dopo la pulizia.

potresti chiedere al windows....

cmq è un bel casino allora

BravoGT83 · 09-09-2005, 17:12

Quote:

Originariamente inviato da FOXYLADY

Potrebbe anche essere che nella LAn c'è un PC in particolare che invia pacchetti infetti a tutte le altre, per individuare qual'è dovresti usare uno sniffer, ma se non sai come usarlo è meglio che lasci perdere.
In alternativa come ti hanno già consigliato potresti staccare ciascuna macchina, scansionarla con l'antivirus e prima di ricollegarla in LAN oltre WWdc, sulle macchine con xp attivi anche il firewall integrato.
Poi passi ad un altra macchina eseguendo la stessa procedura per tutti i PC in Lan.
E' un pò lungo e laborioso lo so, ma potrebbe funzionare.
Se invece bisogna agire direttamente sul server come dice wgator, non so

Ciao

il problema è che sicuramente il server infetto...e poi mi sa anche tutti gli altri pc anche visto che lui ha pulito il suo pc ed una volta collegata alla lan è rientrato...

non vorrei essere io quello che deve fare tutta quella pulizia...

FOXYLADY · 09-09-2005, 19:12

Quote:

Originariamente inviato da BravoGT83

non vorrei essere io quello che deve fare tutta quella pulizia...

Nemmeno io.....

BravoGT83 · 09-09-2005, 20:50

Quote:

Originariamente inviato da FOXYLADY

Nemmeno io.....

2 palle enormi soprattutto se si tratta di una ditta abbastanza grande

09-09-2005, 10:42	#1
76nik Junior Member Iscritto dal: Sep 2005 Messaggi: 4	WORM_AGOBOT.AVG Buongiorno avrei urgente bisogno di un aiuto, ho nella mia rete aziendale un virus che parte con il file duck.exe, il virus in questione si chiama WORM_AGOBOT.AVG. I sistemi operativi windows 2000 e xp sono quelli colpiti, il file duck.exe si inserisce sotto winnt;wint/system32;winnt/system32/spool/driver; poi genera un processo che deve essere stoppato chiamato duck.exe, inoltre cancello sotto hkey local mchine/software/microsoft/current version/run e runservice il file duck.exe; scarico tutte le patch di microsoft faccio una scansione con l'antivirus in modalità provvisoria ma quando il pc viene rimesso in rete il virus rientra. N.B. il virus in questione intasa la rete con chiamate su altri computer e fa partire le stampanti di rete.

09-09-2005, 11:32	#8
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, hmm, bella rogna... quel worm su una macchina "stand alone" si toglie facilmente ma su una rete è un po' più incasinato E' una rete paritetica o ci sono dei server? Dopo aver isolato tutte le macchine dalla rete ed averle pulite ad una ad una (compreso quelle che non sembrano avere problemi) prova ad applicare sulle macchine con win 2000/XP le protezioni offerte da Windows Worm Door Cleaner: http://www.firewallleaktester.com/wwdc.htm Non so come funziona la tua rete e quali servizi ci girano, se qualcuno dei servizi che vengono chiusi da WWDC.EXE ti creasse problemi, puoi comunque riattivarlo facilmente. __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

09-09-2005, 16:43	#13
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Potrebbe anche essere che nella LAn c'è un PC in particolare che invia pacchetti infetti a tutte le altre, per individuare qual'è dovresti usare uno sniffer, ma se non sai come usarlo è meglio che lasci perdere. In alternativa come ti hanno già consigliato potresti staccare ciascuna macchina, scansionarla con l'antivirus e prima di ricollegarla in LAN oltre WWdc, sulle macchine con xp attivi anche il firewall integrato. Poi passi ad un altra macchina eseguendo la stessa procedura per tutti i PC in Lan. E' un pò lungo e laborioso lo so, ma potrebbe funzionare. Se invece bisogna agire direttamente sul server come dice wgator, non so Ciao __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

09-09-2005, 10:52	#2
BravoGT83 Senior Member Iscritto dal: Sep 2004 Messaggi: 6387	antivirus usate=?

09-09-2005, 10:54	#3
BravoGT83 Senior Member Iscritto dal: Sep 2004 Messaggi: 6387	ecco come risolverlo http://www.trendmicro.com/vinfo/viru...2EAVG&VSect=Sn spero che capite inglese se funziona voglio un bonifico dalla ditta

09-09-2005, 11:16	#4
76nik Junior Member Iscritto dal: Sep 2005 Messaggi: 4	Ti ringrazio per la tua disponibilità, ma ho già provato questa prcedura, ti ripeto che una volta messo il pc nuovamente in rete il virus rientra.

09-09-2005, 11:23	#6
76nik Junior Member Iscritto dal: Sep 2005 Messaggi: 4	Appena viene attaccato alla rete lan.

09-09-2005, 14:11	#12
76nik Junior Member Iscritto dal: Sep 2005 Messaggi: 4	Intanto sono contento che qualcuno mi risponde, volevo chiedervi una cosa:I pc qui sono molti, volevo sapere se esisteva una patch da applicare dopo la pulizia.

Strumenti
Mostra una versione stampabile Invia questa pagina per email