Possibile trojan non rilevato da NAV

[infinitejustice]

Innanzitutto ci tengo a precisare che penso si trattasse di un virus (trojan) ma non era rivelato da Norton aggiornato a ieri.
Ne era segnalato... cmq vi racconto

Il "coso" aveva creato in winnt/system32/ alcuni file
psexec.exe (ne esiste uno ma in un'altra cartella ed è buono credo)
psexec.bet
win32load.exe
lcb_netbios.dll

Tutti file che win 2000 non installa di suo (sull'altro pc infatti non c'erano)

Ed aveva aggiunto due righe nel registro nella cartella Run... cosi si lanciava all'avvio una era winsubsystem e una non mi ricordo

Vabbeh i sintomi...
Utilizzo massiccio della Ram (lancia una quantita immonda di net.exe e cmd.exe)
Controllando con un netstat c'erano una marea di connessioni al mio portatile ! E c'era una discreta quantita di dati in ricezione/invio

Me ne sono accorto subito proprio per quello.

Nel DB Symantec risultava un trojan simile che si prendeva da IRC win32/Bounce che anch'esso sfruttava il net.exe
Ma non era quello

Insomma... non so cosa fosse, qualcosa di buono no di certo ! Se qualcuno sa piu precisamente cosa fosse che me lo faccia sapere, giusto per curiosità. Chi nota rallentamenti drastici nel pc dia un'occhiata al taskmanager... nel caso vi siano centinaia di net.exe e cmd.exe in esecuzione...




p.s. ho rimosso i file creati e le voci nel reg aggiunte da ignoti e win va tranquillamente non ho fatto danni

[barney09]

non hai un firewall installato???

[Cinder]

Ricordavo i nomi dei file che tu avevi postato(Win32loaded.exe ecc.) e che il tuo NAV aggiornato alla data 20/1/2003 non li aveva rilevati come possibile virus....

Guarda un pò( che sfiga hai avuto )

W32.Netspree.Worm
Discovered on: January 22, 2003
Last Updated on: January 23, 2003 06:13:42 AM

Devi aggionare le definizioni del Norton e fare una scansione Completa
di tutti i file sul pc.

Vai al link: http://securityresponse.symantec.com...pree.worm.html


Per la rimozione manuale dei valori (Controlla bene sul sito)

Windows NT/2000/XP
1)Concludere il processo del Trojan:
Premere Ctrl+Alt+Delete.
Mettere in ordine alfabetico i processi in esecuzione
Cercare Win32load selezionarlo e cliccare su termina operazione

Nel registro di configurazione eliminare il valore

Windows SubSys dalle chiavi seguenti

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Runservices (tale chiave non è presente su tutti i sistemi)

Portarsi sulla seguente chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa

modificare il valore "restrictanonymous"(Ci sarà il valore Dword:0
impostarlo a 1(Dword:1))