Quanti worm/Trojan ho beccato??

[Cemb]

Buonasera a tutti!
Mi rivolgo a voi per cercare di salvare la situazione, visto che non so che pesci pigliare..

Venerdì scorso, dopo un bel casino a basso livello che mi ha costretto a formattare, mi sono rimboccato le maniche e ho deciso di reinstallare WinXP pro. Beh, non mi aspettavo nessuno problema.. L'ho fatto mille volte sui miei pc e su quelli di amici e conoscenti!
Così ho ripartizionato l'HD (ho preso la cosa seriamente), formattato e installato. Fatto questo ho messo subito Norton AV 2003 (la sicurezza prima di tutto!), ho configurato la connessione ADSL e mi sono accinto a scaricare gli aggiornamenti del Norton e di Windows (via Win Update - ed è la prima cosa che ho fatto dopo l'installazione!!!!!).

E QUI è COMINCIATO IL MACELLO!!!

Dopo 10' che ero attaccato al Live Update di NAV mi appare l'avviso che sul mio pc è stato riscontrato il virus W32.MSBLAST e che non si può levare. Faccio appena in tempo a installare gli aggiornamenti a NAV che mi appare il classico messaggio di riavvio in 50 secondi.. Così aspetto il riavvio e provo a collegarmi a windows update. Niente da fare, il pc si riavvia continuamente. Provo il tool della Symantec per la rimozione di msblast, fa in tempo a eliminarmi due chiavi di registro e il pc si riavvia. Allora scarico la patch da sola dal sito di Microsoft (seguendo il link della Symantec), disattivo il servizio di ripristino automatico della configurazione, installo la patch, riavvio il pc ed eseguo la scansione col tool della symantec e con NAV. Non viene rilevata alcuna infezione. installo con successo (almeno, credo!) tutti gli aggiornamenti di Windows, installo Zone Alarm.

E qui a me sembra di aver risolto..

E INVECE NO!!

Oggi stavo testando un nuovo overclock con prime95; dopo 6 ore di torture test, provo ad aprire il task manager, e vedo che il prime lavora occupando il procio solo al 30%. Cerco un po' e vedo che c'è un "SVCHOST.EXE" che occupa il 60 e passa percento delle risorse, il file corrispondente (in win\system32) è contrassegnato come "Trivial WinXP TCP/IP....". Deduco che sia un virus.. stacco tutti i programmi che stavo eseguendo, disabilito il servizio di ripristino della configurazione di sistema e scarico il tool della symantec per msblast (non rileva alcuna infezione), poi seguendo i link del topic in rilievo in questa sezione scarico ed eseguo Stinger (1 infezione trovata - cancella proprio il file SVCHOST.EXE, scritto maiuscolo, corrispondente al virus nachi o qualcosa del genere - comunque un trojan, non ricordo il nome e non c'è uno straccio di log per leggerlo), AntiMsblast.EN (nessuna infezione trovata) e Sysclean (non trova infezioni, ma all'avvio dice che non trova un file; poi funziona lo stesso..).

Al riavvio ripristino il servizio di ripristino della configurazione di sistema e guardo nel task manager che c'è. Ci sono un po' di copie di svchost.exe, scritto minuscolo; una occupa dal 6 al 12% il processore quando avvio Prime 95. Se cerco sull'hard-disk, mi trova un solo file svchost.exe (prima mi trovava questo e quello scritto maiuscolo), contrassegnato nelle proprietà dalle solite scritte "mocrosoft windows operative system" ecc ecc ecc. C'è anche un file SVCHOST.EXE-3530F672.pf nella directory C:\WINDOWS\Prefetch, mi dice "file sconosciuto" nelle proprietà.

Ho terminato manualmente il svchost che occupava il 6-12% del proc e ora il prime 95 occupa tutto il procio (almeno finisco i miei test di stabilità).

Faccio presente che in tutto questo tempo l'autoprotect di Norton è rimasto attivo e non si è accorto di niete.. solo alla prima scansione (quando aveva rilevato il msblast) mi aveva detto che aveva rimosso tale virus (ripetendo la cosa due volte).

E ora? Come faccio a stare tranquillo??
COme posso sapere se il mio pc è pulito, e soprattutto come posso tutelarmi? E' mai possibile che non si possa ormai più reinstallare windows causa immediato attacco da parte di questi maledetti trojan? Un povero sfigato che fa qualche casino deve installare 98??

Datemi una mano, vi prego, perchè non mi era mai capitata una roba del genere (ho sempre installato firewall, patch e antivirus aggiornati fin dai tempi di win95 e del mio primo modem, e non ho mai avuto problemi! I pochi virus me li ero cercati aprendo mail infette e li avevo prontamente debellati!) e non so più che cosa provare.

mi appello soprattutto a quel drago di Bilancino..
E magari c'è qualcun altro nelle mie stesse condizioni..

grazie a tutti e scusate il post chilometrico.

[Cemb]

Ah, ecco, mi sa che il svchost che ho terminato riguardava la connessione ADSL.. non mi visualizza lìiconcina dei due pc che diventano verdi e neri (connessione) nel tray di sistema e quando apro le proprietà della conessione mi consente di premere il tasto "Connetti" anche se il pc è già connesso..

Che faccio?

[Cemb]

Bene, piccolissimo probema..

Ho fatto la scansione del sistema da PC Flank e mi dava l'avviso "warning" per le porte ed i trojan.

Così ho alzato la protezione di Zone Alarm nella zona Internet da Medium a High, ed ora è tutto a posto.

Però..
però ora dal pc che è in rete con questo e che lo usa come gateway per Internet non posso più accedere a Internet, nè leggere/inviare la posta, benchè la scheda di rete con relativo IP sia nella "trusted zone".

Ho provato ad assegnare un IP fisso al pc secondario (prima lo riceveva automaticamente dal primario) e ad aggiungere una subnet con quell'IP a Zone Alarm (nella trusted zone) ma non cambia niente. Dal pc della cameretta ora non vedo neppure il pc primario.. Ma come diavolo si fa a configurare 'ste cose??

[Cemb]

Uè, ma non c'è nessun'anima pia che abbia voglia di rispondere? Per la cronaca ho fatto anche una scansione con home call di trendmicro (scansione antivirus dal web) e non ha trovato niente sul mio pc; dite che posso stare tranquillo??

[Bilancino]

Ora si stai tranquillo, l'errore fatto è stato di collegarti ad internet senza configurare il firewall per il blocco della porta 135, questa cosa non fatta ti ha fatto prendere il worm. Ora e per il futuro fatti un cd-rw con le patch del msblaster e quelle del 10 settempre che trovi nel mio sito. Questo cd serve per i format futuri..............

Ciao

[Cemb]

Quindi quei due svchost (scritti minuscoli) che insieme arrivano ad occupare il 30% del rpocessore non devono preoccuparmi? grazie dell'aiuto, mi sento molto più tranquillo!

[Bilancino]

Quote:

Originariamente inviato da Cemb
Quindi quei due svchost (scritti minuscoli) che insieme arrivano ad occupare il 30% del rpocessore non devono preoccuparmi? grazie dell'aiuto, mi sento molto più tranquillo!

l'uso della cpu dipende cosa si fa a me questi processi occupano poco cpu..........ma io ho solo 18 processi attivi quando navigo

Ciao

[Cemb]

A me capita facendo niente e anche se sono staccato dall'ADSL.. Per questo mi preoccupavo..

[Bilancino]

Quote:

Originariamente inviato da Cemb
A me capita facendo niente e anche se sono staccato dall'ADSL.. Per questo mi preoccupavo..

non saprei, tieni presente che io ho disattivato manualmente molti servizi inutili in win xp pro per non consumare risorse quindi un motivo può essere questo, escludento virus o altro presenti.

Ciao

[Cemb]

In effetti prima di formattare avevo ottimizzato parecchio l'avvio levando un po' di roba.. Magari ritrovo la discussione che avevo aperto all'epoca..
Ora ho levato un po' di servizi, ma su certi sono in dubbio perchè non mi ricordo più a che servono..
Magari snellendo un po' il sistema va meglio.

Per intanto grazie mille, mi hai tolto un peso rassicurandomi! Era una settimana che litigavo col pc..

Buon week-end!

[PzSniper]

Scusa ma... è RPC service NT/Autority che ti riavvia in 50 sec?
Xke se è quello so come aiutarti.

Ciao

[Cemb]

Sì, era quella roba lì (il worm msblat), ma ora non mi capita più e credo di essere riuscito a rimuoverlo con successo. C'era anche un altro worm (nachi.worm), come ho detto più sopra, ma ho beccato e rimosso pure quello ed ora ai controlli online il pc sembra pulito e protetto. Byez!

..ah, comunque i consigli sono sempre graditi!

[PzSniper]

Che AV hai?
Firewall?

[Cemb]

Ho NAV2003 aggiornato, ho fatto le scansioni dal sito della trend micro e con i vari tool scaricati dal sito di Bilancino.

Prima avevo Zone Alarm Free, attualmente ho Kerio; sto cercando di risolvere dei problemi di condivisione della connessione a internet nella mia rete domestica, vedrò come ne esco..

Ripeto, il computer ormai sembra pulito.
Disabilitando un po' di servizi inutili, ora quando il pc è in Idle il processore fa SOLO l'idle (niente più processi sospetti ciucciarisorse!).

Ho fatto il test su Pc Flank e mi dice che il pc è protetto dai vari trojan e non ci sono segni di infezione.

Direi che è tutto! Ringrazio per la disponibilità, alla prossima!

[PzSniper]

Alla prossima