WORM_AGOBOT.AVG

[76nik]

Buongiorno avrei urgente bisogno di un aiuto, ho nella mia rete aziendale un
virus che parte con il file duck.exe, il virus in questione si chiama
WORM_AGOBOT.AVG.
I sistemi operativi windows 2000 e xp sono quelli colpiti, il file duck.exe
si inserisce sotto winnt;wint/system32;winnt/system32/spool/driver; poi
genera un processo che deve essere stoppato chiamato duck.exe, inoltre
cancello sotto hkey local mchine/software/microsoft/current version/run e
runservice il file duck.exe; scarico tutte le patch di microsoft faccio una
scansione con l'antivirus in modalità provvisoria ma quando il pc viene
rimesso in rete il virus rientra.
N.B. il virus in questione intasa la rete con chiamate su altri computer e
fa partire le stampanti di rete.

[BravoGT83]

antivirus usate=?

[BravoGT83]

ecco come risolverlo

http://www.trendmicro.com/vinfo/viru...2EAVG&VSect=Sn


spero che capite inglese


se funziona voglio un bonifico dalla ditta

[76nik]

Ti ringrazio per la tua disponibilità, ma ho già provato questa prcedura, ti ripeto che una volta messo il pc nuovamente in rete il virus rientra.

[BravoGT83]

Quote:

Originariamente inviato da 76nik

Ti ringrazio per la tua disponibilità, ma ho già provato questa prcedura, ti ripeto che una volta messo il pc nuovamente in rete il virus rientra.

intendi la rete lan o internet?


allora se è in lan vuol dire che qualcuno altro ce lo il server è stato infetto

[76nik]

Appena viene attaccato alla rete lan.

[BravoGT83]

Quote:

Originariamente inviato da 76nik

Appena viene attaccato alla rete lan.

alla l'avete sui server....

quindi chi è l'amministratore dovrebbe essere in grado di toglierlo usando quel link

poi dovete fare la stessa cosa per tutti i pc non vedo altri soluzioni...staccare tutti dalla Lan e poi pulire uno per uno...

qualcuno di voi è andato aprire una mail che contiene questo worm

[wgator]

Ciao,

hmm, bella rogna... quel worm su una macchina "stand alone" si toglie facilmente ma su una rete è un po' più incasinato
E' una rete paritetica o ci sono dei server?

Dopo aver isolato tutte le macchine dalla rete ed averle pulite ad una ad una (compreso quelle che non sembrano avere problemi) prova ad applicare sulle macchine con win 2000/XP le protezioni offerte da Windows Worm Door Cleaner: http://www.firewallleaktester.com/wwdc.htm

Non so come funziona la tua rete e quali servizi ci girano, se qualcuno dei servizi che vengono chiusi da WWDC.EXE ti creasse problemi, puoi comunque riattivarlo facilmente.

[BravoGT83]

Quote:

Originariamente inviato da wgator

Ciao,

hmm, bella rogna... quel worm su una macchina "stand alone" si toglie facilmente ma su una rete è un po' più incasinato
E' una rete paritetica o ci sono dei server?

Dopo aver isolato tutte le macchine dalla rete ed averle pulite ad una ad una (compreso quelle che non sembrano avere problemi) prova ad applicare sulle macchine con win 2000/XP le protezioni offerte da Windows Worm Door Cleaner: http://www.firewallleaktester.com/wwdc.htm

Non so come funziona la tua rete e quali servizi ci girano, se qualcuno dei servizi che vengono chiusi da WWDC.EXE ti creasse problemi, puoi comunque riattivarlo facilmente.

eggià già wwdc dovrebbe risolvere un problema...

ma rimane quello più grande

[wgator]

Quote:

Originariamente inviato da BravoGT83

ma rimane quello più grande

Già... è necessario comunque intervenire sul server

[BravoGT83]

Quote:

Originariamente inviato da wgator

Già... è necessario comunque intervenire sul server

anche sui pc dei altri utenti...xche sicuramente anche loro sono infetti

[76nik]

Intanto sono contento che qualcuno mi risponde, volevo chiedervi una cosa:I pc qui sono molti, volevo sapere se esisteva una patch da applicare dopo la pulizia.

[FOXYLADY]

Potrebbe anche essere che nella LAn c'è un PC in particolare che invia pacchetti infetti a tutte le altre, per individuare qual'è dovresti usare uno sniffer, ma se non sai come usarlo è meglio che lasci perdere.
In alternativa come ti hanno già consigliato potresti staccare ciascuna macchina, scansionarla con l'antivirus e prima di ricollegarla in LAN oltre WWdc, sulle macchine con xp attivi anche il firewall integrato.
Poi passi ad un altra macchina eseguendo la stessa procedura per tutti i PC in Lan.
E' un pò lungo e laborioso lo so, ma potrebbe funzionare.
Se invece bisogna agire direttamente sul server come dice wgator, non so


Ciao

[BravoGT83]

Quote:

Originariamente inviato da 76nik

Intanto sono contento che qualcuno mi risponde, volevo chiedervi una cosa:I pc qui sono molti, volevo sapere se esisteva una patch da applicare dopo la pulizia.

potresti chiedere al windows....


cmq è un bel casino allora

[BravoGT83]

Quote:

Originariamente inviato da FOXYLADY

Potrebbe anche essere che nella LAn c'è un PC in particolare che invia pacchetti infetti a tutte le altre, per individuare qual'è dovresti usare uno sniffer, ma se non sai come usarlo è meglio che lasci perdere.
In alternativa come ti hanno già consigliato potresti staccare ciascuna macchina, scansionarla con l'antivirus e prima di ricollegarla in LAN oltre WWdc, sulle macchine con xp attivi anche il firewall integrato.
Poi passi ad un altra macchina eseguendo la stessa procedura per tutti i PC in Lan.
E' un pò lungo e laborioso lo so, ma potrebbe funzionare.
Se invece bisogna agire direttamente sul server come dice wgator, non so


Ciao

il problema è che sicuramente il server infetto...e poi mi sa anche tutti gli altri pc anche visto che lui ha pulito il suo pc ed una volta collegata alla lan è rientrato...

non vorrei essere io quello che deve fare tutta quella pulizia...

[FOXYLADY]

Quote:

Originariamente inviato da BravoGT83

non vorrei essere io quello che deve fare tutta quella pulizia...

Nemmeno io.....

[BravoGT83]

Quote:

Originariamente inviato da FOXYLADY

Nemmeno io.....

2 palle enormi soprattutto se si tratta di una ditta abbastanza grande