worm conficker - Pagina 2

wjmat · 22-04-2009, 10:46

la rimozione manuale è quindi post combo?

juninho85 · 22-04-2009, 10:47

no,PRE-combo,è questa la cosa strana!

wjmat · 22-04-2009, 10:51

proviamo con la rimozione di combo

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto

Quote:

NetSvc::
ebhzbjapc
asrxo
dmibz
wwsdhnup
gyzcv

Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

**Chill-Out** · 22-04-2009, 10:55

Infatti ti avevo suggerito di verificare qui

Quote:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

juninho85 · 22-04-2009, 11:16

raga',non ci sono,ora pare essersene accorto pure combofix!

**Chill-Out** · 22-04-2009, 11:19

Quote:

Originariamente inviato da juninho85

raga',non ci sono,ora pare essersene accorto pure combofix!

Allega il log

juninho85 · 22-04-2009, 11:43

http://mio.discoremoto.alice.it/juninho85/log.txt

comunque mi sa che con combofix stiamo perdendo solo tempo

Mauro B. · 22-04-2009, 12:15

scusate, quali sarebbero i riscontri da cui dedurre la presenza di questo malware?

Quasti sono alcuni dettagli del malware trovati online: http://www.symantec.com/it/it/norton...conficker_worm

wjmat · 22-04-2009, 13:20

Quote:

Originariamente inviato da juninho85

http://mio.discoremoto.alice.it/juninho85/log.txt

comunque mi sa che con combofix stiamo perdendo solo tempo

prima che fosse riattivato da combo il ripristino era stato disattivato?

juninho85 · 22-04-2009, 14:40

Quote:

Originariamente inviato da wjmat

prima che fosse riattivato da combo il ripristino era stato disattivato?

il ripristino è disattivato da mesi

juninho85 · 22-04-2009, 14:51

http://www.pcalsicuro.com/main/2009/...nelle-aziende/

diciamo che torna praticamente tutto,a parte

Quote:

Carica un driver per patchare in memoria il driver tcpip.sys e sbloccare il limite delle connessioni che Microsoft ha inserito in Windows XP SP2.

che non riesco a capire quale si

juninho85 · 23-04-2009, 08:15

tutti i pc di rete(circa 20) infetti...eccetto il mio

wjmat · 23-04-2009, 08:17

Quote:

Originariamente inviato da juninho85

tutti i pc di rete(circa 20) infetti...eccetto il mio

sono soddisfazioni

alla fine come hai risolto?

juninho85 · 23-04-2009, 08:30

NON ho risolto,perchè mi manca il componente che rigenerà il tutto all'avvio

per ora ho scovato:
1)l'elemento da cui parte l'infezione(tale jwgkvsq.vmx,file presente nel cestino di un qualsiasi pennino
2)file autorun.inf
3)file svch0st.exe(anche se dovrebbe non aver nulla a che fare con conficker)
4)dll nome ram in system32
5)servizio che si esegue sotto svchost tramite la stess dll
6)ads appesi a svchost.exe ed eventualmente altri eseguibili
7)eccezione su una porta tcp con nome random aperta nel firewall di windows
8)svariate modifiche al registro di sistema

wjmat · 23-04-2009, 08:40

non ricordo o non ho letto quale sia la versione che ti ha infettato...
quali tool hai fatto girare oltre a combo? quello di fsecure e bitdefender?
quello symantec l'hai provato?
http://www.symantec.com/security_res...011316-0247-99

juninho85 · 23-04-2009, 08:42

Quote:

Originariamente inviato da wjmat

non ricordo o non ho letto quale sia la versione che ti ha infettato...
quali tool hai fatto girare oltre a combo? quello di fsecure e bitdefender?
quello symantec l'hai provato?
http://www.symantec.com/security_res...011316-0247-99

f-secure e bitdefender già li ho fatti girare,ora provo anche quello symantec

wjmat · 23-04-2009, 08:48

qui ci sono linkati un pò tutti i tool delle varie softwarehouse
http://www.sysadmindayph.com/blog/re...up-downup-wor/

**Chill-Out** · 23-04-2009, 08:49

Quote:

Originariamente inviato da juninho85

f-secure e bitdefender già li ho fatti girare,ora provo anche quello symantec

http://data2.kaspersky.com:8080/special/KK_v3.4.6.zip

juninho85 · 23-04-2009, 10:01

il tool kaspersky non rileva nulla,quello symantec rileva,ripulisce richiedendo il riavvio ma conficker riesce comunque a ripristinarsi

juninho85 · 24-04-2009, 07:49

per voi è possibile che ciò che rigenera il malware sia la rete stessa?
mi spiego...ho notato che una volta ripulito il malware e riavviato il sistema,se faccio una scansione con gmer il rootkit non viene rilevato,mentre se la faccio dopo qualche minuto si,che dite?

22-04-2009, 10:46	#21
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	la rimozione manuale è quindi post combo? __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

22-04-2009, 12:15	#28
Mauro B. Bannato Iscritto dal: Jun 2008 Città: Teramo Messaggi: 2235	scusate, quali sarebbero i riscontri da cui dedurre la presenza di questo malware? Quasti sono alcuni dettagli del malware trovati online: http://www.symantec.com/it/it/norton...conficker_worm Ultima modifica di Mauro B. : 22-04-2009 alle 12:26.

23-04-2009, 08:40	#35
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	non ricordo o non ho letto quale sia la versione che ti ha infettato... quali tool hai fatto girare oltre a combo? quello di fsecure e bitdefender? quello symantec l'hai provato? http://www.symantec.com/security_res...011316-0247-99 __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

23-04-2009, 08:48	#37
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	qui ci sono linkati un pò tutti i tool delle varie softwarehouse http://www.sysadmindayph.com/blog/re...up-downup-wor/ __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

22-04-2009, 10:47	#22
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28864	no,PRE-combo,è questa la cosa strana!

22-04-2009, 11:16	#25
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28864	raga',non ci sono,ora pare essersene accorto pure combofix!

22-04-2009, 11:43	#27
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28864	http://mio.discoremoto.alice.it/juninho85/log.txt comunque mi sa che con combofix stiamo perdendo solo tempo

23-04-2009, 08:15	#32
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28864	tutti i pc di rete(circa 20) infetti...eccetto il mio

23-04-2009, 08:30	#34
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28864	NON ho risolto,perchè mi manca il componente che rigenerà il tutto all'avvio per ora ho scovato: 1)l'elemento da cui parte l'infezione(tale jwgkvsq.vmx,file presente nel cestino di un qualsiasi pennino 2)file autorun.inf 3)file svch0st.exe(anche se dovrebbe non aver nulla a che fare con conficker) 4)dll nome ram in system32 5)servizio che si esegue sotto svchost tramite la stess dll 6)ads appesi a svchost.exe ed eventualmente altri eseguibili 7)eccezione su una porta tcp con nome random aperta nel firewall di windows 8)svariate modifiche al registro di sistema

23-04-2009, 10:01	#39
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28864	il tool kaspersky non rileva nulla,quello symantec rileva,ripulisce richiedendo il riavvio ma conficker riesce comunque a ripristinarsi

24-04-2009, 07:49	#40
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28864	per voi è possibile che ciò che rigenera il malware sia la rete stessa? mi spiego...ho notato che una volta ripulito il malware e riavviato il sistema,se faccio una scansione con gmer il rootkit non viene rilevato,mentre se la faccio dopo qualche minuto si,che dite?

Strumenti
Mostra una versione stampabile Invia questa pagina per email