Problemone Virussone

[Gig]

Aiuto, gente! Ho una filiale con un sacco di computer infettati da un malware che non riesco ad identificare!

In pratica, "blocca" l'accesso ai vari siti dei produttori di antivirus, facendo risultare negative le ricerche dns (ad esempio ping bitdefender.com risponde "host sconosciuto", mentre i siti "normali" tipo Virgilio li trova e visualizza senza problemi ). Se si utilizza nslookup, li risolve, ma dagli altri programmi, no... Non ci si accede né con IE, né con Firefox...

Ho provato anche a forzargli manualmente l'associazione dell'Ip del server nel file hosts., ma non funziona! Il malware è subdolo!

Ho tentato inutilmente di individuarlo e rimuoverlo con l'Officescan TrendMicro (e pure con il loro programma "una tantum" Sysclean), e con Spybot S&D... niente da fare!

Comincio ad essere un po' sul disperato...
Avete idea di quale virus/spyware si possa trattare?

[AirJ]

Io farei un tentativo con:

SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

o con:
VirIT eXplorer Pro Anti-Virus - Security Software - Anti worm, trojan, backdoor e dialer

Il primo e' freeware, il secondo no ma lo puoi scaricare e usare per 30gg in prova.
Di solito con questi due riesco sempre a risolvere.

[italian soldier]

E mi raccomando disabilitare il systemrestore e fare le scansioni in modalità provvisoria. Controlla che nei servizi non ci sia un processo che abbia un nome strano nella colonna connessione.

[betaxp86]

Proverei con le scansioni off line, prova questo http://www.nexthardware.com/forum/si...k-utility.html visto che è di casa...

[parsifal]

Altro tools che mi ha salvato più volte dai pasticci nei pc di amici è ComboFix, non manca mai nella mia penna USB.

[Gig]

Per ora ho passato VirIT e non rileva nulla; SuperAntiSpyware invece non riesce a scaricare gli aggiornamenti delle definizioni...

Ma Combofix che cosa fa?

[parsifal]

ComboFix è un tools stand alone. riavvii la macchina in modalità provisoria e lo lanci. Fa tutto da solo, non fa domande, dopo un backup della configurazione, blocca lo schermo..si riavvia....sistema tutto...al riavvio trovi un log con quello che ha trovato. Ho sistemato macchine che non avviavano da quanto erano infette. Distrugge soprattutto i rootkits.

[Gig]

Provato Combofix su uno dei computer. Ha fatto delle modifiche, ed ora quando si tenta di andare su uno dei siti di un'antivirus, non lo trova comunque, ma ora viene impossibile visualizzare la pagina, invece che andare sulla ricerca di Windows live search...

[parsifal]

ComboFix ha rilevato e disinfettato la macchina?
Cosa intendi con "quando si tenta di andare su uno dei siti di un'antivirus" che non va col browser?
Se si hai controllato il file hosts? (guarda qui i files di gestione hosts). Hai controllato che il virus non abbia inserito i siti degli antivirus nei "siti con restrizioni?"
Prima di lanciare in modalità provvisoria ComboFix avevi tolto la macchina dalla rete locale?

[Gig]

Il file hosts è la prima cosa che ho controllato, visto il tipo di comportamento...

Provi ad aprire un sito tipo bitdefender.com o symantec.com ed il pc si comporta come se non lo risolvesse il dns: il ping dice host sconosciuto, IE e FF ti mandano sulla ricerca di Windows Live Search (come se tu avessi "cercato" bitdefender.com nel motore di ricerca, ed ovviamente cliccando sui risultati torni sempre lì) oppure ti dicono "impossibile trovare il server"...