Il Norton Antivirus del pc dell'ufficio ha appena rilevato la presenza di un virus nella cartella WINNT\system32, nel file identificato come NetServices.exe
il virus in questione è W32.HLLW.Lovgate.G@mm, ed il Norton avvisa che è impossibile riparare il file.
Due domande: posso eliminare direttamente il file? come ha fatto il pc ad infettarsi se la LAN è protetta da un robusto firewall, il Norton è sempre aggiornatissimo e non navigo in siti strani (giuro!!)?
Ho trovato più informazioni sul virus
http://www.sye.it/tuttovirus/VirusWorm/Lovgate.html
assurdo... ho fatto fare al Norton una scansione approfondita di C e non ha trovato alcun virus
perchè mai, se prima mi ha allertata con una popup? :master:
Ciao Berenicebisbisbis,
è un worm che si prende via mail, ma la sua propagazione la si può avere anche via LAN. Sono molti i files che copia nel disco
Ravmond.exe
WinGate.exe
WinDriver.exe
Winrpc.exe
Winhelp.exe
Iexplore.exe
Kernel66.dll
NetServices.exe
Ha capacità di backdoor e la sua presenza viene segnalata da questi files
111.dll
ily668.dll
reg678.dll
Task688.dll
Queste le chiavi che aggiunge nei registri
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinHelp = C:\Windows\System\WinHelp.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinGate initialize = C:\Windows\System\WinGate.exe -remoteshell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Remote Procedure Call Locator = RUNDLL32.EXE reg678.dll ondll_reg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Program In Windows = C:\Windows\system32\IEXPLORE.EXE
Mentre in questa chiave
HKEY_CLASSES_ROOT\txtfile\shell\open\command
aggiunge il valore winrpc.exe %1
questo per assicurarsi la sua esecuzione anche nel momento in cui vengono aperti file con estensione .txt
Controlla se hai la porta 20168 in ascolto.
Fai un controllo e vedi se il worm ha fatto già il danno
Nel caso devi far passar il fix su ogni macchina, non connessa e senza che abbia attiva la condivisione con le latre macchine.
Purtroppo la presenza di quel file (NetServices.exe
) è poco rassicurante.
Marco(amvinfe)
ehm... come faccio a saperlo? urlo "ehiiii... qualcuno mi sente??"?Controlla se hai la porta 20168 in ascolto.
Moderatò, c'aggia a fà?
(è appena saltata fuori una nuova popup di alert)
ok... ho scaricato FixLGate e ora seguo le istruzioni della Symantec
Il modo più veloce è quello di vederlo tramite il netstat
Dal Prompt di MS-DOS scrivi netstat -na (rispetta lo spazio fra netstat e -na) e premi invio. Vedi che ti esce.
ho anche fatto la scansione con FixLGate, che non ha riscontrato la presenza del virus (??????)codice:Connessioni attive Proto Indirizzo locale Indirizzo remoto Stato TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING TCP 0.0.0.0:1303 0.0.0.0:0 LISTENING TCP 10.236.13.145:139 0.0.0.0:0 LISTENING TCP 127.0.0.1:1028 0.0.0.0:0 LISTENING TCP 127.0.0.1:1302 0.0.0.0:0 LISTENING TCP 127.0.0.1:1302 127.0.0.1:1303 ESTABLISHED TCP 127.0.0.1:1303 127.0.0.1:1302 ESTABLISHED UDP 0.0.0.0:135 *:* UDP 0.0.0.0:445 *:* UDP 0.0.0.0:1026 *:* UDP 10.236.13.145:137 *:* UDP 10.236.13.145:138 *:* UDP 10.236.13.145:500 *:* UDP 127.0.0.1:1109 *:*
Il file NetServices.exe si riferisce a questa chiave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ Microsoft\NetWork FireWall Services DisplayName = "Microsoft NetWork
FireWall Services"
ObjectName = "LocalSystem"
vedi se è presente.
Il problema è che se sei in una LAN, le verifiche dovresti farle su tutte le macchine
Adesso informo il tecnico di rete
mi pare di capire che io, in questo momento, non possa fare molto di utile su questo singolo pc
Grazie, Marco
Permessi di invio
Rispondi quotando