Questo forum è ora chiuso. Grazie per i vostri contributi. Se hai bisogno di maggiori informazioni su dove ottenere ulteriore aiuto, puoi visitare la pagina delle risorse.

Remove From My Forums

Virus - connessione exchange e dominio interrotta

Discussione generale
1

Registrati per votare

Salve a tutti,
non so se sono nel posto giusto ma volevo segnalare il rilevamento di un virus che comporta le seguenti problematiche:

- impossibile connettersi ad Exchange tramite Outlook
- se si cerca di rimettere a dominio il client si ottiene il seguente errore: Sequenza di protocollo RPC non è supportata
- Problemi di accesso ai servizi di dominio
- se installa malwarebytes (MB), quest'ultimo rileva numerosi accessi verso siti malevoli: facendo una risoluzione dell'ip si ottengono siti .ru o .jp
- infine se si lancia una scansione antivirus o con MB il pc si "pianta", non risponde neanche più in rete

Visto che questa cosa mi è capitata in due giorni su 3 differenti computer di 3 società differenti per risolvere io ho utilzzato TDSSKILLER di Karspersky

Ciao a tutti

lunedì 23 aprile 2012 20:42

Tutte le risposte

0

Registrati per votare

puoi fornire anche il nome di identificazione di questo virus ?

grazie.
Edoardo Benussi
Microsoft MVP - Management Infrastructure
edo[at]mvps[dot]org

martedì 24 aprile 2012 06:56

Moderatore
0

Registrati per votare

Grazie di aver condiviso la tua esperienza con gli altri membri della community, Sove!

Magari se riesci a fornirci anche il nome del virus, per completezza del post.

Saluti,
Anca Popa

La Conferenza Italiana sulla Virtualizzazione

Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

mercoledì 25 aprile 2012 09:15
1

Registrati per votare

Ciao,

non ho i log sottomano ma il trojan rilevato, o meglio il rootkit, era proprio della famiglia Rootkit.Win32.TDSS.

Per dare ulteriori info,posso dirvi anche che :

nel client vi era l'evento di sistema 4226 con origine tcpip: È stato raggiunto il limite di protezione imposto sul numero di tentativi temporanei di connessione TCPIP

nel server l'account computer del pc infetto era stato disattivato e in eventi di sistema trovavo questo evento:

Origine evento: NETLOGON
ID evento: 5722
Autenticazione non riuscita dell'impostazione della sessione dal computer G33. Nome dell'account o degli account riportati nel database di protezione: pc$. Si è verificato il seguente errore:
Accesso negato.

Se trovo un altro pc con lo stesso virus vedrò di recuperare il nome esatto.

Saluti

giovedì 26 aprile 2012 18:13
0

Registrati per votare

Ti ho dato un voto di utilità per aver riferito ciò che hai fatto, servirà sicuramente agli altri!
Anca Popa

La Conferenza Italiana sulla Virtualizzazione

Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

lunedì 30 aprile 2012 07:57
0

Registrati per votare

Grazie mille!

lunedì 30 aprile 2012 12:30