Problema persistente con Win2000Professional

Salve a tutti quello che vi posto oggi è un problema(di cui ho già parlato) molto grave che a lavoro mi sta dando a me e a tutti i colleghi seri problemi, purtroppo le risorse sono quelle che sono e non possiamo permetterci nè macchiene nuove ne assistenza esterna; potete benissimo immaginare, con i tempi che corrono siamo tutti alla frutta...



Dunque il problema è il seguente: Le macchine, (i PC) circa 40, hanno tutti Windows2000 Professional, tutte sono gestite da un server e tutti gli utenti limitati delle macchine sono in un dominio mentre l'Administrator no; noi lavoriamo tutti come utenti limitati e quindi nel dominio. Tutte le macchiene hanno Avast licenziato e su tutte (sono in rete ovviamente) c'è il Rootkit.gen che si va ad infilare in diversi file temporanei di internet da come ho capito io da profano diciamo; e col passare dei giorni rallenta sempre di più la macchina impallandola addirittura appena la si avvia, quindi si apre il desktop quando va tutto bene ma la cpu è già sparata al 100% (nel task manager) rendendo impossibile lavorarci....



Fin'ora le ho provate tutte ho formattato anche diverse macchine addirittura su una ho messo un HD nuovo che avevo a casa ma dopo formattato nulla tempo 10 minuti ricompare il simpatico Rootkit.gen individuato da avast.



Altra considerazione: tutte le macchine staccando la rete e facendo la scanzione vengono pulite. Il Rootkit viene eliminato senza problemi tant'è che rifacendo la scanzione risultano pulite; le stesse vanno una meraviglia:il sitema si carica subito e all'apertura del desktop ci si lavora subito e senza problemi di rallentamento.



Purtroppo cosi come per quelle formattate, appena si riattacca il cavo di rete, tempo 10 minuti massimo e riecco il Rootkit.gen che inizia a rallentare la macchina e rende l'avvio della macchina una tragedia con impallamenti frequenti e riavviii continui con la speranza che al prossimo si possa caricare tutto e funzionare.



Altra considerazione: se faccio invece le scanzioni con il cavo di rete collegato succedono due cose 1)se la scanzione viene impostata all'avvio come prevede Avast i Rootkit.gen vengono cancellati ma appena si riavvia poi il pc subito comapare la finestra della rilevazione della minaccia; 2)se la scanzione la faccio a sistema già avviato Avast rileva i Rootkit ma non riesce ad eliminarli nè spostarli nel cestino.



Altra considerazione e finisco: ho provato anche a disistallare Avast e fare scanzioni con i software più inimmaginabili da quelli che spacciano per specifici per Rootkit ai vari: Avira, Kaspersky oltre che con Antispam Spywere ecc ecc





Capite da soli che in un ambiente di lavoro una situazione del genere è insostenibile io non so più cosa provare visto che sono anche io di persona designato ad occuparmi della piccola manutenzione dei Pc ma alla fine tutti stanno cercando di venirne a capo ma purtroppo senza esito positivo fin'ora





Stamattina mi è venuta in testa una cosa che vorrei chiedere anche a voi visto che io non ne capisco quasi nulla di reti:ma non è che sto Rootkit sia nel server e per questo appena si attacca la rete eccolo che s'infiltra?? Cosi si spiegherebbe anche perchè col cavo di rete staccato si elimina mentra se è attaccato no visto che risiende nel sever...

Non prendetevela se ho detto una sciocchezza e scusatemi per la lunghezza ma era doveroso per darvi quante più indicazioni possibili



Ringrazio anticipatamente quelli che avranno la pazienza di leggere e magari fornirmi qualche suggerimento

Appena ho cominciato a leggere ho capito subito che il rootkit si trova nel server ed è diffuso dall'administrator, dovresti disinfettare uno per uno i computer scollegando tutti i cavi di rete, dopodichè disinfettare il server magari facendo una scansione con Spybot Search & Destroy per vedere se il rootkit viene rilevato. Naturalmente non collegare tutti gli altri pc alla rete finchè non sei certo che il rootkit è debellato. Per sicurezza postaci un log di scansione di hijackthis effettuata sul server.

Grazie dell'estrema velocità Pierlauro se sei sicuro di ciò che dici allora in effetti non avevo detto una baggianata....Da domani vedo di darmi da fare per quanto riguarda il log di hijackthis puoi dirmi dove scaricarlo? si trova facilmente questo programma ma è un antivirus? l'ho sentito già altre volte ma non l'ho mai usato..

Poi saresti così gentile da dirmi cos'è il log cosa devo fare per postarlo?

Ti ringrazio intanto tantissimo e scusa per tutte ste domande ma sai non si tratta di pc miei e non voglio fare casini specie col server...

Aspetto il log.

Ok Pierlauro, so già che sarà una cosa lunga perchè mettere mani al server non è di mia competenza comunque spero che mi lascino fare...

Solo un'ultima cosa: ho notato che un Pc che ho pulito con rete staccata dopo di che sono sempre entrato come Administrator e non più dal dominio, risulta essere ancora pulito.. almeno credo perchè su quello Avast non mi esce con la finestra di avviso che dice di aver trovato questo Malaware Rootkit.gen

Possibile che il virus che risiede nel server abbia infettato solo il dominio e non l'Administrator?? è possibile mi chiedo una cosa del genere???



Grazie ancora e grazie se mi aiuti a capire anche questa cosa

Beh il virus attacca gli utenti del dominio, non gli administrator di ogni computer che non sono loggati al momento della diffusione del virus nella rete.

Ciao Pierlauro, buon giorno stamattina mi sono messo già al lavoro...

Lo so che non è tanto però al momento ho fatto la scansione con Hijackthis su uno dei pc infetti, per il server devo aspettare purtroppo...

Non so se ho fatto bene, comunque ho seguito le vostre istruzioni ed ho fatto l'operazione sia da utente Administrator sia da utente limitato non so se può cambiare anche se credo che non sia determinante la cosa...

Ora spero di allegare il tutto correttamente dopo di che aspetto una tua risposta



Grazie ancora per ora

Sembrano entrambi puliti, ho solamente dei dubbi su questa voce:

Vedi se dopo aver eliminato il rootkit ti segnala ancora questa voce.

O meglio postaci altri 2 log dopo aver eliminato il virus in modo da vederne le differenze.

Ciao Pierlauro, allora onde evitare errori ora ti posto il log di un Pc sicuramente infetto, mi è appena comparso il mess di Avast.

Ora ho staccato il cavo di rete e sto facendo la scansione e appena finisce e cancella il Rootckit ti posto di nuovo il log...



Grazie mille per quanto stai facendo....

C'è anche quel filzip.exe che non me la conta giusta...vabbè aspetto il prossimo log.

Ti informo in tempo reale Avast sta facendo il suo lavoro e cancellando i rootckit....

Il primo come tutti gli altri, cambia solo il nome finale si trova in: C:\Documents and Settings\Default User. WINNT\ Impostazioni locali\ TEmporary Internet Files\Content. IE5\QGK4BIKR\EIGHYM{1}.png



Quello in grassetto è la sola cosa che cambia per ora....



Non so se possa essere d'aiuto ma te l'ho postato dimmi tu

Beh allora il rootkit si insinua tramite i file temporanei di Internet Explorer, dovreste usare un altro browser (ad esempio Firefox) per ovviare al problema; inoltre ho visto che IE è addirittura alla versione 5, vulnerabilissima!

Odiaman non so che farmene di quello che dice l'analizzatore online dato che è spesso utilizzato da emeriti ignoranti che votano la sicurezza dei processi senza seguire una logica.

Preferisco controllarmelo io manualmente.

Inutili, basta CCleaner...

Ciaooo allora scansione finita l'ultimo Rootckit era nel System 32 e l'ho cancellato ugualmente tanto lo avevo fatto già in precedenza senza problemi ora posto il log teoricamente pulito





Aspetto vostri lumi



N.B per sicurezza sto rifacendo la scansione sempre con rete staccata e dovrebbe darmi zero ora...vi faccio sapere

Il log è lo stesso a differenza del fatto che avast non veniva rilevato. Ti consiglio di seguire la stessa procedura su tutti i computer scollegandoli dalla rete per poi disinfettare il server. Inoltre penso sia molto più indicato utilizzare Mozilal Firefox o Opera in alternativa ad Internet Explorer se non vorrai più incorrere in simili scocciature.