Problema virus su pc in rete

[Stewie82]

Salve a tutti.
Il mio problema è il seguente, e riguarda l'ufficio dove lavoro. Ci sono diversi pc appartenenti ad un dominio, e su tre di questi ho il seguente problema: ogni tanto Antivir mi rileva un virus su un file presente in system32, che puntualmente elimino ma poi ricompare, almeno 4 volte al giorno. La cosa strana è che il messaggio di antivir compare su questi 3 pc contemporaneamente e dando anche come infetto dei file con nome diverso.

La rete è strutturata nel seguente modo: Server che "crea" il dominio (scusate i termini ma di rete ci capisco poco nulla) PRIVO di antivirus. Questo serve a mettere in rete i pc far loro e principalmente viene usato come file server in quanto tutti i pc lavorano su file che si trovano su quel pc. Gli altri pc sono appunto appartenenti al dominio, e su tutti è presente Antivir PE (sono a conoscenza del fatto che è una licenza per utenti home, ma non è una mia scelta).
Tutti i pc (una 15ina) lavorano con windows XP, ad eccezione di un windows2000 e di un Vista64.

L'unica cosa che "lega" questi tre pc dagli altri è stato il creare su ogni pc una cartella condivisa, in modo da poter scambiare file senza dover per forza passare dal server..cartella che ho rimosso ma il probelma persiste.

Di strano è che il messaggio si presente anche se il pc non è utilizzato, semplicemente essendo acceso (non ho potuto provare a lasciarlo acceso senza rete in quanto vengono tutti utilizzati)

Ho provato ad effettuare scansioni sia con antivir che con Kaspersky removal tool ma non trova nulla.

Di seguito allego il messaggio di antivir.

Spero di essermi spiegato, in caso fate domande che vedrò di rispondervi

Grazie per l'aiuto

[wjmat]

ciao

non sono state fatte scansioni antispyware?

[bozzato]

provato con MBAM? Altrimenti prova un toll di rimozione trojan....

[Stewie82]

Quote:

Originariamente inviato da wjmat

ciao

non sono state fatte scansioni antispyware?

Si, senza risultati con spybot su 2 pc e spyware terminator sull'altro. A tal proposito qual'è il miglior antispy?

Quote:

Originariamente inviato da bozzato

provato con MBAM? Altrimenti prova un toll di rimozione trojan....

e' diverso da spybot?
toll di rimozione trojan, del tipo? Kaspersky removal tool non a bene?

[wjmat]

se vuoi ripulire per bene i pc segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione

carica in un post tutti i log del pc1 in un altro quelli del pc2 e così via

[Chill-Out]

Qual'è la piattaforma del Server ?

[Stewie82]

Quote:

Originariamente inviato da wjmat

se vuoi ripulire per bene i pc segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione

carica in un post tutti i log del pc1 in un altro quelli del pc2 e così via

Cavolo..a seguire quella guida per i tre pc mi ci vuole una settimana, e i pc è un casino averli a disposizione, ma vedrò che si può fare

Quote:

Originariamente inviato da Chill-Out

Qual'è la piattaforma del Server ?

Il server che fa il dominio è un Windows 2000 server

La cosa strana è proprio che quando compare la notifica di Antivir su un pc compare almeno su uno degli altri due, e quasi sempre su tutti e tre..e spesso la notifica è doppia se non tripla..

[wjmat]

se l'infezione è la stessa potresti cominciare a ripulirne uno completamente e vedere quali sono le scansioni risolutive da effettuare anche sugli altri

[Stewie82]

Ecco qua:
Malwarebytes Anti-Malware: 02_mbam-log-2009-03-04 (09-25-57).txt
A-Squared Free v3.x: 03_a2scan_090304-094621.txt
Kaspersky Removal Tool: 04_kasp.zip
Dr.Web CureIT: 05_cureit.zip
ESET SysInspector: 06_SysInspector-S21-090305-1111.xml
HiJackThis: 07_hijackthis.txt
PrevxCSI:



Ho seguito la guida che mi hai linkato, in ordine. Gmer ha il log vuoto, la scansione mi ha detto che non ha trovato nulla. PrevCSI ho dovuto scaricare dal sito la versione per x64, ma l'opzione per salvare il log non l'ho trovata.
Ho provato a ridurre i log di CureIt e kaspersky, ma mi dava un file di testo vuoto, così ho zippato i file

Il tutto fatto su pc con Vista64

Attendo vostre notizie

[xcdegasp]

Quote:

Originariamente inviato da Stewie82

Ecco qua:
Malwarebytes Anti-Malware: 02_mbam-log-2009-03-04 (09-25-57).txt
A-Squared Free v3.x: 03_a2scan_090304-094621.txt
Kaspersky Removal Tool: 04_kasp.zip
Dr.Web CureIT: 05_cureit.zip
ESET SysInspector: 06_SysInspector-S21-090305-1111.xml
HiJackThis: 07_hijackthis.txt
PrevxCSI:



Ho seguito la guida che mi hai linkato, in ordine. Gmer ha il log vuoto, la scansione mi ha detto che non ha trovato nulla. PrevCSI ho dovuto scaricare dal sito la versione per x64, ma l'opzione per salvare il log non l'ho trovata.
Ho provato a ridurre i log di CureIt e kaspersky, ma mi dava un file di testo vuoto, così ho zippato i file

Il tutto fatto su pc con Vista64

Attendo vostre notizie

rifai la scansione con a-squared ma scegliendo "scan deep" inquanto hai fatto quella veloce

nel log hijackthis non vedo nulla di insolito...

[wjmat]

i log di kasp e cureit andavano rinominati correttamente prima di filtrarli

Quote:

[Scan path] C:\
C:\ComboFix\c.bat probabile infezione da BATCH.Virus
C:\ComboFix\psexec.cfexe è un programma riskware Program.PsExec.171
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
C:\Documents and Settings\All Users\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
>>>>C:\Documents and Settings\s21.SIANI\Downloads\aesetup2.3.exe/data001\»Fݺ¨6$³tݳÕ!J)æÜÁ¦_în]ÙÀ-ªÖ+%à§[-ÅYÿ¦[B¿Ò
»eTGL¦¤
C:\ProgramData\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
C:\Users\All Users\Application Data\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
C:\Users\All Users\Dati applicazioni\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
C:\Users\All Users\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
>>>>C:\Users\s21.SIANI\Downloads\aesetup2.3.exe/data001\»Fݺ¨6$³tݳÕ!J)æÜÁ¦_în]ÙÀ-ªÖ+%à§[-ÅYÿ¦[B¿Ò
»eTGL¦¤

[Scan path] I:\

-----------------------------------------------------------------------------
Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 507396
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 8
Trovato Adware: 0
Trovato Dialer: 0
Trovato Riskware: 1
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 317 Kb/s
Durata scansione: 02:04:13

Quote:

Scan
----
Scanned: 369380
Detected: 1
Untreated: 0
Start time: 04/03/2009 10.56.12
Duration: 02.17.04
Finish time: 04/03/2009 13.13.16


Detected
--------
Status Object
------ ------
deleted: virus Net-Worm.Win32.Kido.ih File: c:\windows\system32\qgzama.eh//PE_Patch.UPX//UPX

lo screen di prevx è precedente a kasp?

[Stewie82]

Quote:

Originariamente inviato da xcdegasp

rifai la scansione con a-squared ma scegliendo "scan deep" inquanto hai fatto quella veloce

nel log hijackthis non vedo nulla di insolito...

Ok..domani provo

Quote:

Originariamente inviato da wjmat

i log di kasp e cureit andavano rinominati correttamente prima di filtrarli






lo screen di prevx è precedente a kasp?

I log sono esattamente nell'ordine in cui li ho postati, lo screen è l'ultima scansione che ho fatto

Per kasp e cureit ho rinominato i file come diceva il prompt, e mi ha creato un file nuovo, ma era vuoto

[wjmat]

prevx l'avevi già fatto girare a inizio guida?
se si disinstallalo e reinstallalo e nuovo log

[Stewie82]

No, su quel pc no. Ho seguito alla lettera la guida con il relativo ordine: è stato l'ultimo programma che ha girato.

Ora è installato su un'altro pc, e mi da la stessa notifica di antivir (nel senso lo stesso file) ma per disinfettarlo mi chiede licenza a pagamento

[Stewie82]

stavo controllando il task manager e ho notato che ci sono un sacco di rundll32.exe in esecuzione che non mi sembrano normali..che mi dite?

vi posto log di process explorer

Codice:

Process	PID	CPU	Description	Company Name
System Idle Process	0	100.00		
 Interrupts	n/a		Hardware Interrupts	
 DPCs	n/a		Deferred Procedure Calls	
 System	4			
  smss.exe	504		Windows NT Session Manager	Microsoft Corporation
   csrss.exe	768		Client Server Runtime Process	Microsoft Corporation
   winlogon.exe	792		Applicazione Accesso a Windows NT	Microsoft Corporation
    services.exe	836		Applicazione Servizi e Controller	Microsoft Corporation
     svchost.exe	1032		Generic Host Process for Win32 Services	Microsoft Corporation
      WSCommCntr1.exe	3388		Autodesk Communication Center	Autodesk, Inc.
      WISPTIS.EXE	3068		Microsoft Tablet PC Component	Microsoft Corporation
     svchost.exe	1100		Generic Host Process for Win32 Services	Microsoft Corporation
     svchost.exe	1188		Generic Host Process for Win32 Services	Microsoft Corporation
      rundll32.exe	3080		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	1156		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	556		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	3280		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	4276		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	4304		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	4312		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	4560		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	4908		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	4892		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	4996		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	5080		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	4852		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	1520		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	3804		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	3472		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	4900		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	3844		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	5972		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	5560		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	5716		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
      rundll32.exe	5260		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
     svchost.exe	1312		Generic Host Process for Win32 Services	Microsoft Corporation
     svchost.exe	1348		Generic Host Process for Win32 Services	Microsoft Corporation
     spoolsv.exe	1480		Spooler SubSystem App	Microsoft Corporation
     sched.exe	1560		Antivirus Scheduler	Avira GmbH
     avguard.exe	1696		Antivirus On-Access Service	Avira GmbH
     BTNtService.exe	1708			
     prevx.exe	1740		Prevx Computer Security Investigator	Prevx
      prevx.exe	3852		Prevx Computer Security Investigator	Prevx
     jqs.exe	1844		Java(TM) Quick Starter Service	Sun Microsystems, Inc.
     LSSrvc.exe	1868		LightScribe Service	Hewlett-Packard Company
     mdm.exe	2036		Machine Debug Manager	Microsoft Corporation
     Apache.exe	152		Apache HTTP Server	Apache Software Foundation
      Apache.exe	1328		Apache HTTP Server	Apache Software Foundation
     NBService.exe	240		Nero BackItUp	Nero AG
     nvsvc32.exe	268		NVIDIA Driver Helper Service, Version 178.13	NVIDIA Corporation
     hpzipm12.exe	312		PML Driver	HP
     sp_rsser.exe	396		Spyware Terminator Realtime Shield Service	Crawler.com
     StartSkysolSvc.exe	696			
     svchost.exe	748		Generic Host Process for Win32 Services	Microsoft Corporation
     CALMAIN.exe	1256		Canon Camera Access Library 8	Canon Inc.
     wmiapsrv.exe	2952		Servizio scheda WMI Performance	Microsoft Corporation
     alg.exe	3040		Application Layer Gateway Service	Microsoft Corporation
     usnsvc.exe	548		Messenger Sharing USN Journal Reader Service	Microsoft Corporation
     AdskScSrv.exe	3244		System Level Service Utility	Autodesk
    lsass.exe	848		LSA Shell (Export Version)	Microsoft Corporation
explorer.exe	3756		Esplora risorse	Microsoft Corporation
 RTHDCPL.exe	2988		Realtek HD Audio Control Panel	Realtek Semiconductor Corp.
 rundll32.exe	1600		Modulo di esecuzione DLL come applicazioni	Microsoft Corporation
 jusched.exe	1604		Java(TM) Platform SE binary	Sun Microsystems, Inc.
 SpywareTerminatorShield.Exe	3252		Spyware Terminator Realtime Shield	Crawler.com
 ctfmon.exe	3260		CTF Loader	Microsoft Corporation
 OUTLOOK.EXE	1024		Microsoft Office Outlook	Microsoft Corporation
 procexp.exe	3780		Sysinternals Process Explorer	Sysinternals - www.sysinternals.com
avgnt.exe	3352		Antivirus System Tray Tool	Avira GmbH
acad.exe	708		AutoCAD Application	Autodesk, Inc.
 AdskCleanup.0001	656		Cleanup	Macrovision Europe Ltd.

Premetto che non è il pc su cui ho fatto la scansione ma un'altro, cmq tutti e due i pc infetti che hanno XP hanno questa sfilza di rundll32.exe

[wjmat]

con process explorer
Nel menù View clicca Select Columns...
Sotto la scheda Process Image devono essere spuntate le voci "Description" "Company Name" "Image Path"
Sotto la sheda "Process memory" devono essere spuntate le voci "Working set size" e "Peak Working Set Size"
carica un nuovo log

carica secondo le modalità anche il log di Prevx

[Chill-Out]

Il problema è il seguente Conficker/Downadup/Kido

[Stewie82]

Quote:

Originariamente inviato da wjmat

con process explorer
Nel menù View clicca Select Columns...
Sotto la scheda Process Image devono essere spuntate le voci "Description" "Company Name" "Image Path"
Sotto la sheda "Process memory" devono essere spuntate le voci "Working set size" e "Peak Working Set Size"
carica un nuovo log

carica secondo le modalità anche il log di Prevx

Ho rifatto il log di process explorer come mi hai detto, solo che l'ho rifatto questa mattina quando l'infezione non era ancora comparsa, ecco qua: Procexp2.TXT

Questo invece è il log di prevcsi, ma non ha trovato nulla: 09_prevx.log

[Stewie82]

Quote:

Originariamente inviato da Chill-Out

Il problema è il seguente Conficker/Downadup/Kido

Dove l'hai trovato? E sai come rimuoverlo ?

[Chill-Out]

Innazitutto è opportuno applicare il seguente aggiornamento http://www.microsoft.com/technet/sec.../MS08-067.mspx