Problema persistente con Win2000Professional

Ciaoo a tutti quanti hanno seguito questo post...



Bene oggi ho delle novità:

1) Il gran capo ha portato un suo luminare che si è iniziato ad occupare della cosa(problema Rootkit e probabile infezione Server)

2)Bene fino ad oggi non ha fatto altro che fare cioò che avevo già fatto io sui pc (attenzione no sul server) infatti oggi dopo l'ennesimo nulla di fatto, e l'ennesimo scontro, io gli ho ribadito che il virus deve per forza risiedere nel server e lui ha insistito nel dire che è impossibile e che per lui il SERVER è pulito.

Motivazioni che ha addotto: Il server vive per conto suo e non va in internet, ed i PC della LAN non possono accedere al server perchè bloccati appositamente...risultato il SERVER è pulito e non ha virus perchè non può essere infettato dai PC che non possono accedere al SERVER...



Bene io ho cercato di controbattere con quel pò che so ma non c'è stato verso e comunque non volevo insistere troppo non sapendo interloquire con parole più tecniche...



Ora è diventata una questione di principio per tanto chiedo a voi esperti(di questo qua mi fido molto poco) (tra l'altro quando 2 settimane fa gli avevo proposto firefox mi ha detto che nn serviva ed era una ciofeca mentre oggi l'ha proposto lui al capo dicendo le stesse cose che avevo detto io) se è giusto ciò che dice lui o resta plausibile la nostra tesi e come controbattere alle sue parole a questo punto...



Per ora io non posso mettere mani al server ma se ce ne fosse bisogno per avere qualche certezza allora farò di tutto, per questo ho bisogno del vostro aiuto però...

Spero come in precedenza mi aiuterete

Anticipatamente ringrazio

Eliminando i virus da tutti i computer presenti nella rete lan e, dopo aver tenuto tutti questi scollegati, riconnettendone qualcuno al server, se noterai che il rootkit compare di nuovo il tecnico non potrà controbattere.

(piccolo post scriptum: se dice che firefox è una ciofeca è uno di quei tanti atteggiati esperti che alla fine non capiscono un *****)

Grazie della risposta Pierlauro....stasera ti avrei scritto che avevo intenzione di fare proprio quello che mi hai suggerito tu.

Infatti così come è stato previsto oggi effettueremo il tutto a partire da lunedì 21 fino al 23. Abbiamo suddiviso l'azienda in tre settori ovviamente quelli ripuliti rimarranno scollegati fino alla pulizia dell'ultimo PC.



Dopo questo ne atteccherò un paio per settore e aspettero qualche giorno per vedere cosa succede....



Ultimissima cosa:mi chiedevo e se riattaccando i Pc il Rootkit ritorna chi mi dice provenga dal server e non da Internet di nuovo???? E mettiamo caso provenga da Internet perchè vado a controllare ed il server è pulito, vuol dire che AVAST non è in grado di bloccarlo e continua a farmi infettare le macchine, ecco a questo punto cosa dovrei fare, far cambiare l'antivirus o cosa???



Intanto grazie appena ho novità aggiorno il post



N.B Per firefox no comment ovviamente.............condivido appieno il tuo pensiero

Semplicemente ricollega alla lan i computer senza farli navigare su internet, in quel modo solo il server potrà inviare il rootkit se lo contiene.

Certo certo hai ragione a volte le cose più scontate sfuggono hihihiihi scusa....



GRAZIE ancora

Aspetto aggiornamenti...

Ultimi aggiornamenti ad oggi...



Ciao a tutti rieccoci alle prese con il Rootkit....Premetto che è dal 21 che come avevamo pianificato ho iniziato a staccare i cavi di rete e fare le scansioni con Avast per eliminare i Rootkit.



Ricordo che il tutto è stato fatto senza staccare il server però....



Bene stamattina ho terminato le scansioni a tutti i PC. Intanto devo correggere una cosa, non tutti i pc hanno Win2000 perchè anche se solo una piccola percentuale(ai piani alti dove io non avevo mai messo piede) hanno Windows XP.



Ho potuto infatti riscontrare che il virus Rootkit che mi sta facendo impazziere nei Pc con Xp che non accedono da dominio ma sono loggati da amministratori della macchina, il virus Rootkit non c'è, mentre in quelli che accedono dal dominio si.



Conclusioni finali: il Rootkit era solo in tutti i Pc con Win2000 che accedono dal dominio e in quelli con Xp che accedono dal dominio. In tutti dove è stato rilevato Avast ha cancellato il virus.



Fatto questo stamattina ho collegato solo 2 PC di quelli che prima erano infetti. Passati 10 minuti senza andare in internet su nessuno dei due avast rilevava il Rootkit di nuovo. Allora con uno sono andato in internet e dopo 5 minuti è ricomparso il Rootkit. Ho staccato il cavo dopo una decina di minuti e riscansionato ed Avast l'ha dinuovo individuato come sempre in C:\Documents and Settings\Default User\ Impostazioni Locali\Temporary Internet Files\Content IES ecc ecc......



NB il virus è comparso su quello che ho collegato in rete e appena si è presentato ho staccato la rete e riscansionato per toglierlo. Fatto questo poi mi sono collegato in internet con l'altro Pc pure col cavo attaccato ma fin'ora nulla ancora.



Insomma da quel pò che capisco s'insinua sempre e solo attraverso file temporanei di internet o no??? e il fatto che compare appena ci si collega in internet quindi non fa escludere che possa essere a questo punto sul server?? E ammesso non sia sul server, volendo credere che i Pc non possono accedervi visto che ci sono protezioni, vuol dire che arriva da internet e che non si riesce a bloccarlo.

Cosa mi resta da fare allora???



Io ce la sto mettendo tutta e l'idea che questo Rootkit possa avere la meglio mi fa incazzare da morire....chiedo lumi a voi sicuramente più esperti e competenti di me

Se avete bisogno di altre info che magari ho omesso chiedetemi pure....



Capisco sono giorni particolari questi perciò non pretendo rispondiate subito anzi intanto faccio i migliori auguri a TUTTI di buon Natale e buon anno nuovo

Ciao odiaman....non speravo qualcuno mi rispondesse così velocemente in questo periodo poiii....



Bhè aspetto magari l'intervento anche di pierlauro.....nel frattempo invece da quanto scrivi evinco che per te il rootkit è nel server giusto???



Io invece non ne ero così convinto perchè si è presentato dopo un pò che navigavo in internet e non prima....



Se è nel server però deve comunque presentarsi col cavo di rete attaccato ma senza accedere ad internet giusto???



Purtroppo l'altro giorno non potuto fare troppi test perchè non c'era più tempo...quindi ne farò appena rientro e vi faccio sapere



Ciaooo e di nuovo auguroniiii a tutto il forum

Salve, buon Natale ad entrambi!

Penso sia oramai lampante che il virus si trova nel server, quindi sei più che autorizzato a fare il regalo di nuovo anno al tecnico facendogli ricevere le prove.

Comunque non ho capito una cosa: il virus si è ripresentato all'apertura di internet explorer o semplicemente al collegamento del cavo di rete?

Ciao Pierlauro, grazie dell'intervento speravo in un tuo post...



Dunque il mio dubbio sta proprio nel fatto che il virus si è ripresentato non dopo che ho collegato il cavo di rete bensì dopo un pò che navigavo in internet...da qui il mio dubbio in merito al fatto che possa non essere nel server...



Il guaio è che ho avuto poco tempo per accertarmi della cosa quindi dovrò fare test più lunghi il 7 appena rientro a lavoro...



Spero ora sia più chiaro

Se il rootkit agisce tramite i file temporanei di Internet Explorer significa che il server lo invia con l'utilizzo del browser; quando torni prova ad utilizzare Firefox, se il rootkit non si presenta significa che veniva iniettato in IE.

Buon giorno...e auguroni di una buona fine d'anno e di un buon inizio.....



Grazie dell'intervento Pierlauro, seguirò il tuo consiglio allora e appena rientro istallo su una macchina Firefox e terrò attaccato il cavo di rete. Poi se dovesse presentarsi il Rootkit solo su quelle con IE allora ogni dubbio sarà sciolto...



Ci sentiamo il nuovo anno allora e di nuovo auguri per un felice 2010

Qualche news??

Ciao Pierlauro rieccomi purtroppo solo oggi sono riuscito a fare qualcosa.



Dunque in breve il gg 7 il rientro al lavoro è stato una tragedia ho dovuto riattaccare tutti i cavi e alèè il Rootkit tempo 10 minuti ed era ovunque(lo dico perchè spuntavano come funghi i mess di avast di minaccia rilevata)



Detto questo solo oggi sono riuscito finalmente di nascosto "diciamo" ad accedere al servere e fare una scansione anche se non approfondita. Il punto è che nei Pc scansionati dal 21 al 23 se erano infetti avast si bloccava già solo alla scansione della memoria di sistema chiedendo di fare una scansione all'avvio.

Questo invece stamattina col server non è successo quando invece mi aspettavo accadesse.

Ma ancora più sconvolgente la scansione è finita con risultato zeroooo virus trovati.....ed io volevo morireee.



Ricapitolando quindi tutti i Pc scansionati con Win2000Prpfessional e quelli con Xp Home che accedono al dominio risultavano infetti. Quelli con Xp Professional, della sezione contabilità, devo controllare se accedono dal dominio di certo sono amministratori della macchina erano esenti dal Rootlit. Per quanto riguarda la questione dominio qualcuno mi ha detto che accedono comunque attraverso di esso ma non ne ho la certezza domani controllo.

Il fatto è che se questi ultimi non accedono al dominio allora si spiegherebbe come mai non sono infetti ma se accedono allora come si spiega non lo siano??? Solo perchè hanno Xp Professional???

Mi sembra strano però anche se così fosse perchè il maledetto server non è infetto???

Purtroppo al server potrò rimettere mano di nuovo lunedì, quando farò una scansione con HijackThis e poi rifaccio un'altra scansione.



Domani intanto ne pulisco dinuovo uno e istallo Firefox come mi avevi suggerito e facciamo anche quest'altra prova



Per ora ti ringrazio per tutto quanto hai fatto, spero insieme di venirne a capo di questa faccenda...



N.B Per quello che può servire sul server gira Windows Server2003



Saluti

Ci posterai il log di hijackthis quando riuscirai a scansionare il server. Non è che i computer con xp professional hanno la password??

Ciao Pierlauro, spero lunedì prossimo di riuscire a postare il log...In merito alla password cosa intendi?La password dell'utente? Se è quella bhè certo che ce l'hanno i Pc con Xp ma ce l'hanno anche tutti gli altri ossia quelli con Home, e 2000. Quelli con 2000 però sono gli unici ad accedere come utenti limitati mentre tutti gli altri da utente amministratore ma in ogni caso entrambi con password. Poi quelli con 2000 e Home sicuramente accedono dal dominio gli altri quelli con Professional non ne sono sicuro ma probabilmente anche quelli.



Se ti riferisci ad altra password diversa da quella degli utenti bhè non so di cosa parli, e per lo meno non so che ci siano altre generi di password...inserita quella dell'amministratore o dell'utente limitato non si immette null'altro.



Aspetto chiarimenti e comunque domani facci prova con firefox



Ciaooo e grazie sempre per l'interessamento

Ciao Pierlauro, domani è arrivato ed eccomi qui con l'ennesima delusione....ho istallato firefox su una macchina, l'ho poi ripulita staccando cavo di rete ed eliminato completamente IExplorer.



La macchina era pulita e funzionava bene sia da amministratore che da utente limitato.



Ho poi attaccato il cavo di rete una volta loggato come utente limitato e quindi tramite dominio e il tempo di girare la testa che ecco mi è ricomparso il Rootkit anche stavolta....



Spero di sentirti a breve, ora per curiosità la ripulisco e poi la tengo collegata come amministratore voglio vedere se e dopo quanto eventualmente mi ribecca il virus...



A presto

Rieccomi ancora qui.....



Ho fatto anche l'ultima prova che avevo detto cioè ripulire di nuovo il Pc con cavo staccato e poi loggarmi come amministratore della macchina senza accedere al dominio e riattaccando il cavo di rete.



Risultato stavolta il virus è ricomparso appena 2minuti dopo che con firefox mi sono collegato a google.



La cosa strana che non capisco è come mai il Pc che uso io identico agli altri con Windows 2000 al quale accedo sempre come amministratore è pulito e resta pulito.....per ora.



Se è perchè accedo come amministratore e non dal dominio perchè invece quello di cui ho psrlato sopra nonostante abbia accesso come amministratore se l'è ribeccato subito???



Spero essere stato chiaro anche se in tutta questa storia non riesco a capirci più molto...spero in vostri lumi



Intanto grazie ancora

Prova ad utilizzare Sophos anti-rootkit, puoi scaricarlo gratuitamente dopo esserti registrato al sito qua (clicchi su download e ti registri).