ATTENZIONE, VIRUS SASSER - ISTRUZIONI PER LA RIMOZIONE

cybermac78 · utente attivo Iscritto: 11 Apr 2004 Messaggi: 2868 Località: Bergamo

Sicuramente ne avete sentito parlare, ha messo a sedere intere multinazionali, non per ultima l'ENEL, ecco cosa fare:

Anzitutto se avete windows 98/me/95 non temete: se anche foste infetti non ve ne accorgereste, non agisce su tali sistemi

invece per gli utilizzatori si 2000/nt/Xp ecco cosa fare:

il virus manda in crash irreversibile il thread lsass.exe(inoltre troverete diversi file nel task manager, tutti di questo tipo 1234_up.exe), e se cio accade il sistema può diventare instabile o ri-bootarsi da solo, oppure come nel vecchio MSBlast è possibile che appaia un contatore in cui ci viene detto che il Remote Procedure Call è stato arrestato in maniera inaspettata e il pc deve riavviarsi, dandovi un conto alla rovescia di 60 sec.
Se cio accade:
START-->ESEGUI--->CMD--->INVIO-->
e al prompt di DOS digitate "SHUTDOWN -A" per interrompere il countdown.
quindi occorre disabilitare l'utility di ripristino presente in Windows XP:

tasto dx su risorse del computer-->proprieta'---> ripristino di sistema ---> disattiva il ripristino di sistema da tutti i dischi
questa operazione è necessaria in quanto il sistema potrebbe aver creato un immagine del disco al momento dell'infezione, salvo poi ravvivare il virus in caso di ripristino, volontario o accidentale.

scaricate questo tool gratuito per la rimozione del virus:

http://securityresponse.symantec.com/avcenter/FxSasser.exe

riavviate il sistema in modalità provvisoria premendo il tasto f8 durante il boot del pc e scegliendo, nel menu che comparirà:

avvia il sistema in modalità provvisoria in modo da avere facile accesso a tutti i files per poterli cancellare senza trovarci di fronte a un "accesso negato: il file è attualmente in uso e non può essere cancellato"; situazione che peraltro arresta anche la buona esecuzione degli antivirus.

A questo punto fate girare il tool di rimozione che avete scaricato poc'anzi da symantec, il quale provvederà a rimuovere i files infetti e a risistemare le voci di registro aggiunte dal virus.

a questo punto è indispensabile eseguire un windows update dal sito classico:

http://www.windowsupdate.com ----> analizza e proponi aggiornamenti --> e scaricate TUTTI gli aggiornamenti importanti! questo perchè il virus per entrare nel sistema sfrutta una falla in lsass.exe che se non viene tappata con la relativa patch di Microsozz, per cui anche dopo la rimozione del virus vi ritrovereste quasi certamete infetti alla prima connessione.

se pensate di essere al sicuro andate qui:

http://www.symantec.it/region/it/avcenter.html

in questo link trovate un test di vulnerabilità, eseguitelo e guardate il risultato che vi propone:
lasciate perdere la voce 1 e 3 e concetratevi solo sulla 2° voce: vulnerabilità di windows, se non appare una V verde significa che nn avete fatto il windows update!

spero di esservi stato utile!!

Ops

Mac

topolino · Inviato: Mar 04 Mgg, 2004 9:08 pm Oggetto:

Utilissimo, precisissimo e chiarissimo.

Intanto grazie; Io sto cercando l'autore ... mi hanno detto che c'è un premio.

Medaglia, medaglia Pallonaro

zimboart · Inviato: Mar 04 Mgg, 2004 9:09 pm Oggetto:

si....gia ha messo Ko tutta l mia azienda!...mezza giornata a girarsi i pollici!!!! LOL

......meno il mio pc(avevo gia trovato la PATCH! Very Happy

tegame · Inviato: Mar 04 Mgg, 2004 10:26 pm Oggetto:

cavolo io non sono uno che è di parte, ma c'ha ragione un mio collega iperfanatico di Linux a dire che la gente che usa Windows non deve navigare su internet Smile

Oramai è assolutamente fondamentale proteggersi adeguatamente per il proprio bene e per il bene della comunità Internet globale ...

... se la gente non prende coscenza che con poche e basiche regole tutto questo si può evitare (basta un antivirus, un personla firewall e magari un software antispam e anti ads) ... non so dove arriveremo ... certo le grandi multinazionali ne aprofiteranno di tutta questa ignoranza dilagante.

cybermac78 · Inviato: Mar 04 Mgg, 2004 11:25 pm Oggetto:

caska · Inviato: Mer 05 Mgg, 2004 11:36 am Oggetto:

molto utile... ma speriamo di nn venir infettati...

msciascia · Inviato: Mer 05 Mgg, 2004 12:16 pm Oggetto:

Io ho passato la patch ad alcuni amici perchè non riuscivano a scaricarla dal loro Windows infettato!!!
Usando computer Apple era l'unico che non fosse stato infettato Ok!

Ora ho passato il link al topic ad altri amici, così magari riescono a risolvere se venissero infettati.

cybermac78 · Inviato: Mer 05 Mgg, 2004 12:30 pm Oggetto:

caska · Inviato: Lun 10 Mgg, 2004 8:00 pm Oggetto:

ChriD · Inviato: Lun 10 Mgg, 2004 8:14 pm Oggetto:

ho trovato 6 files infetti sul mio pc!!! Surprised

Li ho potuti solo mettere in quarantena, (utilizzo Norton 2004) sapete come è possibile ripararli??? Crying or Very sad

fabio contin · Inviato: Lun 10 Mgg, 2004 8:16 pm Oggetto:

Non li ripari! Se hai preso il Sasser segui le istruzioni riportate sopra, altrimenti il discorso cambia leggermente.

ChriD · Inviato: Lun 10 Mgg, 2004 8:19 pm Oggetto:

fabio contin · Inviato: Lun 10 Mgg, 2004 8:20 pm Oggetto:

il norton li mette in quarantena, ma non serve a niente
devi partire in modalita' provvisoria e far partire questo:
http://securityresponse.symantec.com/avcenter/FxSasser.exe

se hai Xp devi disabilitare il ripristino di sistema.