none
Virus - connessione exchange e dominio interrotta RRS feed

  • Discussione generale

  • Salve a tutti,
    non so se sono nel posto giusto ma volevo segnalare il rilevamento di un virus che comporta le seguenti problematiche:

    - impossibile connettersi ad Exchange tramite Outlook
    - se si cerca di rimettere a dominio il client si ottiene il seguente errore: Sequenza di protocollo RPC non è supportata
    -
    Problemi di accesso ai servizi di dominio
    - se installa malwarebytes (MB), quest'ultimo rileva numerosi accessi verso siti malevoli: facendo una risoluzione dell'ip si ottengono siti .ru o .jp
    - infine se si lancia una scansione antivirus o con MB il pc si "pianta", non risponde neanche più in rete

    Visto che questa cosa mi è capitata in due giorni su 3 differenti computer di 3 società differenti per risolvere io ho utilzzato TDSSKILLER di Karspersky

    Ciao a tutti

    lunedì 23 aprile 2012 20:42

Tutte le risposte

  • puoi fornire anche il nome di identificazione di questo virus ?

    grazie.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    martedì 24 aprile 2012 06:56
    Moderatore
  • Grazie di aver condiviso la tua esperienza con gli altri membri della community, Sove!

    Magari se riesci a fornirci anche il nome del virus, per completezza del post.

    Saluti, 


    Anca Popa Follow ForumTechNetIt on Twitter

    La Conferenza Italiana sulla Virtualizzazione

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    mercoledì 25 aprile 2012 09:15
  • Ciao,

    non ho i log sottomano ma il trojan rilevato, o meglio il rootkit, era proprio della famiglia Rootkit.Win32.TDSS.

    Per dare ulteriori info,posso dirvi anche che :

    nel client vi era l'evento di sistema 4226 con origine tcpip: È stato raggiunto il limite di protezione imposto sul numero di tentativi temporanei di connessione TCPIP

    nel server l'account computer del pc infetto era stato disattivato e in eventi di sistema trovavo questo evento:

    Origine evento:    NETLOGON
    ID evento:    5722
    Autenticazione non riuscita dell'impostazione della sessione dal computer G33. Nome dell'account o degli account riportati nel database di protezione: pc$. Si è verificato il seguente errore:
    Accesso negato.

    Se trovo un altro pc con lo stesso virus vedrò di recuperare il nome esatto.

    Saluti

    giovedì 26 aprile 2012 18:13
  • Ti ho dato un voto di utilità per aver riferito ciò che hai fatto, servirà sicuramente agli altri!


    Anca Popa Follow ForumTechNetIt on Twitter

    La Conferenza Italiana sulla Virtualizzazione

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    lunedì 30 aprile 2012 07:57
  • Grazie mille!
    lunedì 30 aprile 2012 12:30