Problemi a seguito virus rimosso

Black Wolf · 30-06-2011, 18:56

Salve a tutti,
situazione: macchine windows xp professional sp3 + aggiornamenti vari protetti da kaspersky 2011, ufficio composto da 7 pc + 1 server 2003 r2 (pulito) + 3 server linux (red hat 7.2 + debian kernel 2.6 + elastix 1.5).

E' entrato il virus che si incunea come IsUn1040.exe nella cartella di windows. Le macchine avevano la rete pressoché bloccata, niente posta (sia invio che ricezione, ecc). Ora i sistemi sono "puliti": combofix non trova nulla, prevxcsi neppure, hijackthis mi da un elenco assolutamente normale con le solite voci e neppure qualche problema su winsock, ecc.

Ho pensato: ok, vado a casa

sono due settimane che tolgo 'ste rumente dai pc dei clienti.

In questo ufficio invece non va bene, non basta: i sistemi hanno strascichi anche dopo questo trattamento. La posta funziona in uscita (smtp) ma non in entrata (pop); l'ftp va benissimo ma http/https non proprio: alcuni siti vanno (google, ma anche regione.liguria.it, inail.it e altri) mentre la maggior parte (compresi giornali, corriere, repubblica, ecc) non c'è verso.

Tracert sembra ok per tutti i siti (sia quelli che vanno, sia gli altri che invece non si aprono), ma tant'è

Insomma: le macchine sembrano pulite (posso sempre sbagliare ma francamente sono piuttosto sicuro), alcuni protocolli e porte vanno perfettamente, altri no del tutto, altri a singhiozzo su alcuni siti soltanto, ho provato anche a fare un ripristino con tcp/ip repair del protocollo di windows, ma niente da fare.

Va da se che dai server e dal mio note collegato alla rete non c'è assolutamente alcun problema sulla rete, router, firewall ecc non bloccano niente (niente blacklist interna, su ip pubblico o altro)

Ovviamente, va da se che vorrei evitare assolutamente il format

Avete avuto esperienze di questo tipo? grazie grazie grazie

**Chill-Out** · 30-06-2011, 20:18

Ciao, purtroppo questi sintomi sono piuttosto comuni pertanto è difficile attribuire la causa ed individuare il problema, se desideri puoi seguire la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

30-06-2011, 18:56	#1
Black Wolf Junior Member Iscritto dal: Apr 2002 Messaggi: 3	Problemi a seguito virus rimosso Salve a tutti, situazione: macchine windows xp professional sp3 + aggiornamenti vari protetti da kaspersky 2011, ufficio composto da 7 pc + 1 server 2003 r2 (pulito) + 3 server linux (red hat 7.2 + debian kernel 2.6 + elastix 1.5). E' entrato il virus che si incunea come IsUn1040.exe nella cartella di windows. Le macchine avevano la rete pressoché bloccata, niente posta (sia invio che ricezione, ecc). Ora i sistemi sono "puliti": combofix non trova nulla, prevxcsi neppure, hijackthis mi da un elenco assolutamente normale con le solite voci e neppure qualche problema su winsock, ecc. Ho pensato: ok, vado a casa sono due settimane che tolgo 'ste rumente dai pc dei clienti. In questo ufficio invece non va bene, non basta: i sistemi hanno strascichi anche dopo questo trattamento. La posta funziona in uscita (smtp) ma non in entrata (pop); l'ftp va benissimo ma http/https non proprio: alcuni siti vanno (google, ma anche regione.liguria.it, inail.it e altri) mentre la maggior parte (compresi giornali, corriere, repubblica, ecc) non c'è verso. Tracert sembra ok per tutti i siti (sia quelli che vanno, sia gli altri che invece non si aprono), ma tant'è Insomma: le macchine sembrano pulite (posso sempre sbagliare ma francamente sono piuttosto sicuro), alcuni protocolli e porte vanno perfettamente, altri no del tutto, altri a singhiozzo su alcuni siti soltanto, ho provato anche a fare un ripristino con tcp/ip repair del protocollo di windows, ma niente da fare. Va da se che dai server e dal mio note collegato alla rete non c'è assolutamente alcun problema sulla rete, router, firewall ecc non bloccano niente (niente blacklist interna, su ip pubblico o altro) Ovviamente, va da se che vorrei evitare assolutamente il format Avete avuto esperienze di questo tipo? grazie grazie grazie

30-06-2011, 20:18	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ciao, purtroppo questi sintomi sono piuttosto comuni pertanto è difficile attribuire la causa ed individuare il problema, se desideri puoi seguire la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione. Modalità di pubblicazione dei log: Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email