Purtroppo ho fatto l'errore di far collegare un consulente alla rete locale aziendale e mi ha lasciato un bel regalino

Uso Trend Micro Security Server e segnala su molti pc della rete aziendale i worm in oggetto. Ogni volta li indica come clean, ma puntualmente si ripresentano.

Ho installato sui server e sui client le patch consigliate da Trend Micro, ma nulla, sono ormai tre giorni che ci combatto ma puntualmente l'antivirus segna il problema che viene presentato in contemporanea su tutti i client e server.

Ho seguito anche alcune procedure trovate tramite google ma nulla da fare. Non riesco ad individuare la fonte del problema e come rimuovere tale worm.

Allo stesso tempo non mi aiuta la soluzione dal sito trend micro.

Qualcuno ha un'idea di come rimuovere definitivamente questo male?

Grazie.

Prova a vedere questo
http://blogs.technet.com/itasupport...ker-b.aspx

Ermanno. Grazie!!!

Non so come ringraziarti. Per ora mi pare di aver risolto.

Mi resta da capire cosa fare delle tre macchine dove il virus è stato individuato (le altre con i tool etc. non hanno dato nessun segno di presenza).

Per queste tre invece il virus è stato identificato dai tool. Ora non so se procedere alla formattazione oppure il tool è riuscito effettivamente a ripulire la macchina ed una volta sistemati gli update da fare, il problema possa considerarsi risolto.

Se hai suggerimenti sono bene accetti.

Un grosso grazie virtuale Ermanno

Grazie!

Se sulle macchine utilizi pagamenti online con carta di credito o comunque gestisci dati importanti evita di avere dubbi e formatta

Una delle regole base della sicurezza è "se un computer è stato violato non è più il tuo computer"

Era quello che pensavo. Gli utenti non saranno molto contenti, ma si adegueranno.

Grazie ancora per l'importante aiuto che mi hai dato.

scusa, mi permetto di darti un paio di consigli.

ho avuto a che fare l'anno scorso con il confiker in realta' anche molto grosse e dove c'era trendmicro con il firewall attivato non ho avuto problemi in quanto mi bloccava il tentativo e mi diceva chi era la fonte poi seguendo il removal tool di trendmicro riuscivo a pulirli tutti ( non ne ho formattato manco uno ).
Il removal tool funziona in maniera eccellente.
Ma che versione di antivirus hai installato?

@pakka il fatto che un tool di rimozione abbia sistemato i sistomi macroscopici dell'infezione non ti da la garanzia che sulla macchina non esistanto effetti secondati, ma non visibili dell'infezione
Esistono infinità di varianti dello stesso ceppo virale e tool che permettono di comporre nuovi ceppi virali a partire da esistenti
Gli antivirus possono tamponare eliminando ciò che viene riconsciuto, ma se il virus è stato sfruttato per inserire sulla macchiana altri processi per catturare quanto digitato e inviarlo periordicamente ad un host in internet o per eseguire comandi remoti senza dare quindi alcun segno di malfunzionamento all'utilizzatore questo rimmarrà anche dopo la pulizia...

Morale la sicurezza si gioca sulla prevenzione e in caso di infezione sempre come prevenzione se sul computer vengono trattiati o si ha acesso a dati che vanno protetti è meglio formattare

la garanzia che un pc sia completamente pulito te la da' solamente una reinstallazione completa e su questo siamo d'accordo.
in linea di massima, i removal tool rimuovono l'infezione ma la certezza assoluta che il sistema sia al 100% non ce l'hai.
La prevenzione e' un concetto che gli utenti si dimenticano e molti clienti son convinti che basta avere l'antivirus per essere protetti senza controllare se ci sono nuove versioni del programma ( quindi upgrade da fare manualmente ) oppure dare un'occhiata ai log.
Prevenire e' meglio che curare

la versione dell'antivirus è l'ultima disponibile, aggiornato periodicamente.
il problema è che lui si, segnala il virus presente sui vari computer e mi presenta nell'interfaccia di amministrazione la procedura di clean, ma la cosa continuava a ripetersi giorno per giorno.

praticamente ogni giorno mi chiedeva il clean di un tot di computer. la cosa non mi pare normale.

anche oggi su una macchina che era stata passata col removal tool (un server che formattare mi viene veramente difficile) ho la segnalazione di clean di trend micro. Ora ho il server con i tre servizi (browser etc) fermi e sto rieseguendo una scansione con il tool, in quanto la segnalazione di averlo individuato e richiedermi il clean, non mi piace per nulla.

ad esempio ora il trend micro dopo mia notifica di eseguire una scansione su tutti i computer, mi ha chiesto la pulizia (sempre per WORM_DOWNAD) su un computer che venerdì sera scansionato con il tool, mi ha sempre detto che non era presente nulla...

Hai disabilitato tramite l'applet Sistema il Ripristino Configurazione di Sistema?

la versione dell'antivirus che ti chiedevo non e' quella che vedi sul pallino blu.
visto che hai la client server suite, volevo sapere se era gia' la worry free o no ( versione 5.0, 5.1 o 6.0 sp1 ). le altre ( 3.6 e giu' ) sono fuori servizio e praticamente inutili.

Ciao Ermanno. E' un server w2000... sbaglio o non ha un system restore?

Sui client windows Xp l'ho disabilitato tramite gp.

ora dopo un'intera giornata è apparsa una roba tipo questa sul trend micro console:

Date/Time Computer Name Attacker IP Victim IP Packet Direction Network Virus Name Count
2/15/2010 16:00:00 XXXXXXX 192.168.3.86 192.168.3.124 Receive MS08-067_SERVER_SERVICE_REMOTE_EXECUTION_EXPLOIT 1
2/15/2010 16:00:00 XXXXXXXX 192.168.3.85 192.168.3.124 Receive MS08-067_SERVER_SERVICE_REMOTE_EXECUTION_EXPLOIT 1

su circa 11 macchine della rete

il firewall di trend micro sta funzionando e ti sta dicendo che il computer 192.168.3.124 e' stato bersaglio da parte del 192.168.3.85 e 86 che sono infetti. fai girare in quei due pc il removal tool di trendmicro e controlla se sotto la windows\tasks ci sono degli oggetti che vengono lanciati ogni ora.

quando ci sono questi messaggi guarda sempre chi e' l'attacker e controllalo!

saluti

mp

grazie

fatto girare il tool e aggiornato quelle due macchine. qualche difficoltà in quanto sono due macchine industriali collegate a dei magazzini verticali, però ad ora sono ok.

Assicurati di avere l'aggiornamento di windows che corregge il problema su tutte le macchine

Scritto Da CC88 - on 15/02/2010 18.28
grazie

fatto girare il tool e aggiornato quelle due macchine. qualche difficoltà in quanto sono due macchine industriali collegate a dei magazzini verticali, però ad ora sono ok.

bene, non mi hai ancora detto che versione di antivirus hai, pero'.

PS: quello che ti ha suggerito ermanno e' una priorita' che ti ha anche mostrato il tool di trendmicro ( ti dovrebbe aver mostrato tutte le vulnerabilita' del pc, quando lo hai lanciato ) oltre ad averti disabilitato la possibilita' di creare nuovi job schedulati ( ma questo e' spiegato nel readme ).

Qui puoi vedere lo screenshot che compare sui client:

http://img685.imageshack.us/img685/3773/immagine2lt.png

hai la Worry free 6.0. hai messo la SP1? se non lo hai fatto ancora fallo oppure attendi un'altro mesetto che verra' rilasciata la SP2 con notevoli miglioramenti.

per la sp1, guarda qui

http://www.trendmicro.com/download/...=40&lng=it


comunque, se configurato per benino, l'antivirus in questione stronca gran parte delle minacce.


mp