W32 BLASTER: Difficile sconfiggerlo definitivamente...

[internet2]

Dunque, essendo stato anche io infettato dal Blaster, sono andato su:
http://www.microsoft.com/downloads/d...2-3DE40F69C074
e ho scaricato il file:
WindowsXP-KB823980-x86-ITA.exe
L'ho mandato in esecuzione e tutto sembra essere andato a buon fine
(infatti non mi scollega più da Internet, nè mi fa riavviare il computer).
Poi, per maggior sicurezza, ho fatto una scansione sul sito:
http://www.pandasoftware.com/actives...g=11&IdPais=99
ed ho seguito una scansione on-line.
Mi ha trovato e disinfettato i seguenti file:
Incidente Stato Percorso Trj/Downloader.AJ Disinfettato C:\WINDOWS\62263.exe Trj/Downloader.AJ Disinfettato C:\WINDOWS\484585.exe Trj/Downloader.AJ Disinfettato C:\WINDOWS\486710.exe Trj/Downloader.AJ Disinfettato C:\Documents and Settings\zz\Impostazioni locali\Temporary Internet Files\Content.IE5\S8Z0ZMZI\file1[1].exe Exploit/ByteVerify Disinfettato C:\Documents and Settings\zz\Impostazioni locali\Temporary Internet Files\Content.IE5\8TM7OX6F\nbb2[1].jar[Beyond.class]

Exploit/ByteVerify Disinfettato C:\Documents and Settings\zz\Impostazioni locali\Temporary Internet Files\Content.IE5\8TM7OX6F\nbb2[1].jar[counter.class] Exploit/ByteVerify Disinfettato C:\Documents and Settings\zz\Impostazioni locali\Temporary Internet Files\Content.IE5\8TM7OX6F\nbb2[1].jar[Dummy.class] Exploit/ByteVerify Disinfettato C:\Documents and Settings\zz\Impostazioni locali\Temporary Internet Files\Content.IE5\8TM7OX6F\nbb2[1].jar[VerifierBug.class] W32/Blaster.E Disinfettato C:\WINDOWS2\system32\TFTP472 W32/Blaster.C Disinfettato C:\WINDOWS2\system32\TFTP1160 W32/Blaster.E Disinfettato C:\WINDOWS2\system32\TFTP1372
---------------
Dopodichè sono riandato sul sito della Symantec, ho eseguito pure lì una scansione on line e mi ha evidenziato che il mio computer è ancora infettato da:
C:\WINDOWS2\backup\TB040125.DAT è infettato con W32.Blaster.C.Worm
C:\WINDOWS2\system32\TFTP472 è infettato con W32.Blaster.E.Worm
C:\WINDOWS2\system32\mslaugh.exe è infettato con W32.Blaster.E.Worm
C:\WINDOWS2\system32\teekids.exe è infettato con W32.Blaster.C.Worm
C:\WINDOWS2\system32\TFTP1160 è infettato con W32.Blaster.C.Worm
C:\WINDOWS2\system32\TFTP1372 è infettato con W32.Blaster.E.Worm
C:\System Volume Information\_restore{16C91B6D-1DF7-4102-982F-26ACC0669231}\RP8\A0000499.EXE è infettato con W32.Blaster.E.Worm
C:\System Volume Information\_restore{16C91B6D-1DF7-4102-982F-26ACC0669231}\RP8\A0000513.EXE è infettato con W32.Blaster.E.Worm
C:\System Volume Information\_restore{16C91B6D-1DF7-4102-982F-26ACC0669231}\RP8\A0001510.EXE è infettato con W32.Blaster.E.Worm
C:\System Volume Information\_restore{16C91B6D-1DF7-4102-982F-26ACC0669231}\RP8\A0001511.EXE è infettato con W32.Blaster.F.Worm
C:\System Volume Information\_restore{16C91B6D-1DF7-4102-982F-26ACC0669231}\RP8\A0001935.exe è infettato con W32.Blaster.C.Worm
C:\System Volume Information\_restore{16C91B6D-1DF7-4102-982F-26ACC0669231}\RP7\A0000418.exe è infettato con W32.Blaster.C.Worm

Ma, non capisco, non lo dovrei aver rimosso con WindowsXP-KB823980-x86-ITA.exe??? Tanto più che non mi sconnette più il computer...

Inoltre ho pure cercato di eseguire un'altra scansione tramite Antivirus SuperCenter by Zdnet.it ma sembra che non offra più la scansione on-line...
Sono riandato su quello della pandasoftware (non conoscendone altri...)per eseguire la scansione, e mi dice che non ho virus, eppure se effettuo invece la scansione sul sito della Symantec mi dice che ho ancora virus!!!!
Ufffa!!!!!!!!!

[Habanero]

no! la patch di microsoft serve semplicemente a correggere la vulnerabilità del servizio RPC/DCOM di windows che permette a Blaster di installarsi a tua insaputa sul tuo PC(con blaster non è necessario cliccare su un allegato! entra e non te ne accorgi quasi!)

se te lo sei preso li rimane!

Comunque esiste una patch più aggiornata che sostituisce la precedente(bollettino MS03-39 patch KB824146) per il servizio RPC/DCOM e che rimedia ad altre vulnerabilità scoperte successivamente.

http://www.microsoft.com/downloads/d...4-95D32CFC8CBA

[internet2]

Ma quindi, se ho ben capito, anche tramite questa nuova patch il virus viene reso solo reso "neutrale", ma rimane tuttavia nel computer...(ecco forse perchè Pandasoftware non me lo rivela...) e non v'è alcun modo per eliminarlo (nemmeno se formattassi?).
Grazie ancora per l'aiuto Habanero....

[Habanero]

dato per scontato che sei infetto:
1-applica la patch microsoft (per evitare che quando lo elimini rientri subito dopo)
2-scansione antivirus e/o istruzioni per eliminarlo.

qui trovi il tool per eliminarlo, leggi bene le istruzioni e disabilita prima il ripristino di sistema (system restore)

http://securityresponse.symantec.com...oval.tool.html

http://forum.html.it/forum/showthrea...hreadid=501763

[webmaster1978]

se vai nei post in rilievo, dovresti ancora trovare il collegamento a quelli in cui si è parlato ampiamente del blaster e dove ci sono tutte le informazioni per poterlo rimuovere

Oltretutto sul sito symantec, c'è un fix che serve per scovarlo e eliminarlo in parte..in ogni caso, se proprio vuoi fare piazza pulita, formattando elimini pure il worm...mi raccomando però, salvati anticipatamente la patch della microsoft e la installi dopo aver ricaricato tutto..altrimenti non appena effettui il primo collegamento..sei punto e a capo

[webmaster1978]

mi ha preceduto Habanero, come non detto

[internet2]

Premetto che ho già mandato in esecuzione la patch:
WindowsXP-KB824146-x86-ITA.exe
(e che sarà la prima operazione che farò, nel caso decidessi di formattare, non appena avrò rinstallato Windows Xp)
Sono andato a controllare sul link:
http://forum.html.it/forum/showthrea...hreadid=501763

e quando mi dice:
"Aprite la task (CTRL+SHIFT+ESC in NT, XP, 2000) (CTRL+ALT+CANC in ME)
terminate il processo MSBLAST.EXE"

Bhe', non mi trova il processo (forse, chissà, l'ho già eliminato tramite la scansione on line offerta da Pandasoftware?)

"Eliminare il file MSBLAST.EXE"
Anche qui, ho provato a cercarlo pure in tutto il Disco C (cartelle, sotttocartelle...), ma di lui nessunissima traccia....

"Portatevi in Start>Esegui => regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
ed elimate dal pannello di dx il valore
”windows auto update" = MSBLAST.EXE"

Idem, non me lo trova....

Comunque, adesso ho appena finito di scasionare il sistema tramite "Fixtool for W32.Blaster.Worm" e mi ha trovato e rimosso 9 virus di blaster

Una sola informazione a questo punto, nel caso decidessi di formattare (anche perchè il pc non mi va bene... Innanzitutto, non si riesce assolutamente di aggiornare il Norton AntiVirus; lo schermo mi dà a sinistra una banda nera verticale su cui è impossibile accedervi; I visualizzatori sono senza audio...ecc. ecc.), come si procede...? :quote:

Voglio dire, io ho provato ad inserire il disco del sistema di Windows Xp
Mi dà:
"Installazione di Windows" (sfondo Blu)
Dopo un po' poi mi appare:
1°)"Ripristinare l'installazione di Windows Xp selezionata premere R"
2°)" Per continuare l'installazione di una nuova copia di Windows Xp, senza eseguire il ripristino, premere ESC"

(tra parentesi nel mio pc sono presenti pure due copie di Windows Xp... e ciò proprio per rimediare a dei problemi di virus -non volevo correre il rischio di perdermi i miei dati reinstallandolo-... Ovviamente ora vorrei creare una sola copia di Windows Xp, com'era quando l'ho comprato...)

Scelgo la seconda ipotesi.
A questo punto mi dà:

"Per installare nella partizione evidenziata premere INVIO"
(la partizione evidenziata è: "C:PARTIZIONE1[FAT32]")

"Per creare una partizione nello spazio non partizionato premere C"

"Eliminare la partizione evidenziata, premere D"

Ma non mi domanda per formattare cosa devo fare???
Insomma, dove è che sbaglio?
Scusatemi, ma è la prima volta che formatto, mi sarebbe perciò molto utile sapere quali passi dover compiere a questo punto(anzi se esistono guide in linee, link su tale argomento, sono bene accette).
Molte grazie, e scusate l'ignoranza...

P.S.
Quest'ultima parte di discussione la sposto sull'altra sezione (software), perchè forse è più indicata....
La trovate qui:
http://forum.html.it/forum/showthrea...hreadid=592795

[internet2]

Ho appena finito di effettuare una scansione sul sito della Symantec e finalmente mi dice che ho il computer perfettamente integro.
E vai.....
Io per sconfiggerlo proprio del tutto ho usato:

http://www.microsoft.com/downloads/d...4-95D32CFC8CBA
(grazie Habenero)

Poi sul sito della Symantec ho prelevato:
"Fixtool for W32.Blaster.Worm"
(grazie webmaster 1978)

E c'è da dire che precedentemente mi ero pure recato su: www.pandasoftware.it
che, tramite una scansione on-line, mi aveva rimosso alcuni files infetti (anche se non me li aveva trovati proprio tutti, tanto è vero che ho scritto questa traccia per rimuovere definitivamente il Worm Blaster -e grazie a voi ci sono finalmente riuscito -).
Mille grazie amici, adesso vedo un po' se comunque mi conviene ugualmente formattare (sempre se ci riesco...), anche perchè, come già scritto prima, l'Antivirus di Norton adesso non mi si riesce ad aggiornare (ho provato mille volte...), i lettori multimediali uno ( Windows Media Player9) è senza audio, mentre Real One Player2 parte, ma non mi riesce a leggere i files (con estensione ram). Infine adesso tengo installate sul pc due volte Windows Xp, e ne vorrei tenere invece una sola (credo sia molto meglio.... ), perciò credo che formattare sia l'unica soluzione che mi rimane per risolvere tutti questi problemi qui....
Grazie ancora per l'aiuto ragazzi, e al prossimo dubbio.... :gren:

[webmaster1978]

di nulla, è un piacere quando ci si riesce ad aiutare fra noi e apprendere sempre cose nuove

Beh, se vuoi formattare (te lo consiglio vivamente visto che è un pò incasinato da quanto ho capito), ricordati di salvarti tutto ciò che puoi (patch anti blaster in primis ) su cd, floppy e quant'altro!!

Mi sembra che hai aperto un altro post..quindi per chiarimenti in merito ci si sente di la (anche se già ti stanno dando info utili)

[Delmak_O]

non vorrei dire una cavolata, ma se hai Windows xp ricordati comunque di disabilitare il 'ripristino configurazione sistema' prima di tentare la rimozione anche manuale di un virus e di fare una scansione antivirus (vale anche per il blaster? non so...), altrimenti il virus rimane copiato nel sistema, 'congelato' e irremovibile, pronto ad un eventuale 'ripristino'...insomma non più 'eseguito', ma comunque 'dentro'! poi terminata la scansione riabilita...forse non c'entrava, ma se ti ricapita...

OK COME NON DETTO CI AVEVA GIA' PENSATO HABANERO (e come dubitarne?)