|
|
|
|
Strumenti |
24-04-2009, 08:03 | #41 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
puoi provare a rimanere sconnesso dopo la pulizia?
le altre macchine sono ancora infette?
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
24-04-2009, 08:04 | #42 |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
|
24-04-2009, 08:20 | #43 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
scollegarsi da internet e dalla rete dovrebbe essere una delle prerogative per cominciare la disinfezione
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
24-04-2009, 08:28 | #44 |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
ovvio...quando sono intervenuto manualmente la disinfezione andava a buon fine,il problema rispuntava a lavoro fatto,quando presumibilmente il problema era risolto per cui il pc veniva ricollegato alla rete
|
24-04-2009, 08:48 | #45 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Trattandosi di una LAN è opportuno isolare le macchine, procedere con la disinfezione ed installare le relative patch, altrimenti non se ne esce più, ma il tutto mi sembra abbastanza ovvio
__________________
Try again and you will be luckier.
|
24-04-2009, 09:26 | #46 |
Member
Iscritto dal: Aug 2003
Città: Udine
Messaggi: 248
|
quindi al momento non c'è modo per rimuovere suddetto virus... anche a me lo toglie ma ritorna sempre (se devo tenerlo sconnesso tanto vale che lo tengo spento..)
__________________
bcscommunity.it - Cerchiamo amici per LAN party nella bassa friulana e per giochi online |
24-04-2009, 12:01 | #47 |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
datemi il tempo di provare e vi farò sapere
|
25-04-2009, 23:36 | #48 | |
Member
Iscritto dal: Apr 2008
Messaggi: 88
|
Quote:
credo di aver eliminato il virus con un paio di tool di rimozione specifici per il virus in questione. dico che credo di averlo eliminato dato che ora riesco ad aprire le pagine relative ai principali siti di antivirus. solo che il PC continua a riavviarsi da solo di tanto in tanto. mi consigliate di effettuare lo stesso questi passaggi oppure combinerei qualche guaio? come posso essere sicuro di aver eliminato definitivamente il virus? ps: mi consigliate di installare avira o kaspersky? |
|
25-04-2009, 23:46 | #49 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Per quanto concerne l'AV se opti per una versione commerciale (pagamento) ti suggerisco la suite del Kaspersky ovvero KIS 2009, eventualmente Avira Antivir Free solo antivirus al quale dovrai affiancare un Firewall, comunque per queste richieste esiste un 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1476319
__________________
Try again and you will be luckier.
|
|
26-04-2009, 10:14 | #50 | |
Member
Iscritto dal: Apr 2008
Messaggi: 88
|
Quote:
|
|
26-04-2009, 11:22 | #51 | |
Member
Iscritto dal: Apr 2008
Messaggi: 88
|
Quote:
accade sempre questo, anche se la prima scansione aveva rilevato un virus (con un nome tipo tookit o una cosa del genere), il PC comunque si è riavviato e non è riuscito nella scansione. tengo a precisare che ho scollegato il PC da internet ma non sono riuscito a disabilitare il mio antivirus (avira internet security 2009). qualcuno sa come disattivarlo? EDIT: googlando ho trovato qualcuno con il mio stesso problema (almeno credo). il sito è questo la procedura alternativa indicata va bene lo stesso oppure devo trovare un modo per usare combofix? Ultima modifica di darksidegi : 26-04-2009 alle 12:30. |
|
26-04-2009, 13:00 | #52 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
non conosco la versione premium, con la free tasto dx sull'ombrello nella icon tray e togli la spunta su "Antivir guard Enable"
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
29-04-2009, 21:53 | #53 |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
ne son venuto a capo,ecco come
Premessa: 1)disabilitate ripristino configurazione di sistema 2)bisogna avere gli strumenti del caso perchè è necessario operare sconnessi da qualsiasi rete lan o wan che sia 1)scansione con gmer,vi ritroverete risultati molto simili a questi: Codice:
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wvraoeh <-- ROOTKIT !!! Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@DisplayName Update Network Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@Type 32 Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@ObjectName LocalSystem Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@Description Abilita i programmi basati su Windows per creare, accedere e modificare i file basati su Internet. Se il servizio ? stato arrestato, queste funzionalit? non saranno disponibili. Se il servizio ? disabilitato, i servizi da esso dipendenti non verranno avviati. Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh\Parameters@ServiceDll C:\WINDOWS\system32\wtryc.dll Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@DisplayName Update Network Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@Type 32 Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@Start 2 Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@Description Abilita i programmi basati su Windows per creare, accedere e modificare i file basati su Internet. Se il servizio ? stato arrestato, queste funzionalit? non saranno disponibili. Se il servizio ? disabilitato, i servizi da esso dipendenti non verranno avviati. Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh\Parameters Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh\Parameters@ServiceDll C:\WINDOWS\system32\wtryc.dll Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 notare come il rootkit si carichi sotto un servizio di win(Update Network-Abilita i programmi basati su Windows per creare, accedere e modificare i file basati su Internet....)escludendone le funzionalità per cui questo è presente nel nostro sistema operativo. Nel mio caso l'input che m'ha spinto a indagare è stato il non funzionare a ogni riavvio di un qualsiasi servizio(e sempre diverso) di win(e mai di terze parti),con continuo generamente di file temporanei(file con estensione .exe cammuffati in bmp,gif,jpg o jpeg)pur senza nessuna applicazione aperta....un altro pc invece non accedeva nè ai motori di ricerca ne sul sito di una qualsiasi software house di sicurezza Dal log fondalmentalmente emergono una dll che è la causa principale di tutti i mali e un servizio...su alcuni pc mi è capitato di trovare una copia di questo file con stesso nome sotto C:\Programmi\internet explorer e sotto c:\windows\ con nome "x"...potete averne evidenza confrontando l'md5 del file incriminato,ovvero: Codice:
1ee727ac887e6a2425719ed082fbdbb5 Fate caso che tali file sono visibili solo se 1)abilitate la visualizzazione dei file nascosti 2)abilitate la visione dei file protetti di sistema Vi è però dell'altro che gmer non può rilevare,queste modifiche al registro: Codice:
REGEDIT4 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters] "NV Hostname"="Roberto" "DataBasePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\ 33,32,5c,64,72,69,76,65,72,73,5c,65,74,63,00 "ForwardBroadcasts"=dword:00000000 "IPEnableRouter"=dword:00000000 "Domain"="" "Hostname"="Roberto" "SearchList"="" "UseDomainNameDevolution"=dword:00000001 "DeadGWDetectDefault"=dword:00000001 "DontAddDefaultGatewayDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Adapters] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Adapters\NdisWanIp] "LLInterface"="WANARP" "IpConfig"=hex(7):54,63,70,69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,74,\ 65,72,66,61,63,65,73,5c,7b,34,32,34,39,44,41,32,41,2d,30,39,46,39,2d,34,38,\ 37,44,2d,39,42,33,46,2d,37,39,39,34,37,37,30,34,42,30,36,35,7d,00,54,63,70,\ 69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,74,65,72,66,61,63,65,73,5c,\ 7b,39,39,39,46,34,35,39,36,2d,45,34,35,34,2d,34,46,34,31,2d,41,45,31,42,2d,\ 41,36,32,46,35,31,42,32,37,39,32,36,7d,00,00 "NumInterfaces"=dword:00000002 "IpInterfaces"=hex:2a,da,49,42,f9,09,7d,48,9b,3f,79,94,77,04,b0,65,96,45,9f,99,\ 54,e4,41,4f,ae,1b,a6,2f,51,b2,79,26 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Adapters\{463DF0EB-5915-4AB2-93D5-8FE51DCB4C1C}] "LLInterface"="" "IpConfig"=hex(7):54,63,70,69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,74,\ 65,72,66,61,63,65,73,5c,7b,34,36,33,44,46,30,45,42,2d,35,39,31,35,2d,34,41,\ 42,32,2d,39,33,44,35,2d,38,46,45,35,31,44,43,42,34,43,31,43,7d,00,00 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\DNSRegisteredAdapters] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Interfaces] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Interfaces\{4249DA2A-09F9-487D-9B3F-79947704B065}] "UseZeroBroadcast"=dword:00000000 "EnableDHCP"=dword:00000000 "IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00 "SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00 "DefaultGateway"=hex(7):00 "EnableDeadGWDetect"=dword:00000001 "DontAddDefaultGateway"=dword:00000000 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Interfaces\{463DF0EB-5915-4AB2-93D5-8FE51DCB4C1C}] "UseZeroBroadcast"=dword:00000000 "EnableDeadGWDetect"=dword:00000001 "EnableDHCP"=dword:00000000 "IPAddress"=hex(7):31,37,32,2e,31,38,2e,36,39,2e,31,36,32,00,00 "SubnetMask"=hex(7):32,35,35,2e,32,35,35,2e,32,35,35,2e,32,32,34,00,00 "DefaultGateway"=hex(7):31,37,32,2e,31,38,2e,36,39,2e,31,36,31,00,00 "DefaultGatewayMetric"=hex(7):30,00,00 "NameServer"="208.67.222.222,208.67.220.220" "Domain"="" "RegistrationEnabled"=dword:00000001 "RegisterAdapterName"=dword:00000000 "TCPAllowedPorts"=hex(7):30,00,00 "UDPAllowedPorts"=hex(7):30,00,00 "RawIPAllowedProtocols"=hex(7):30,00,00 "NTEContextList"=hex(7):30,78,30,30,30,30,30,30,30,32,00,00 "DhcpClassIdBin"=hex: "DhcpServer"="255.255.255.255" "Lease"=dword:00000e10 "LeaseObtainedTime"=dword:475e71c3 "T1"=dword:475e78cb "T2"=dword:475e7e11 "LeaseTerminatesTime"=dword:475e7fd3 "IPAutoconfigurationAddress"="0.0.0.0" "IPAutoconfigurationMask"="255.255.0.0" "IPAutoconfigurationSeed"=dword:00000000 "AddressType"=dword:00000000 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Interfaces\{999F4596-E454-4F41-AE1B-A62F51B27926}] "UseZeroBroadcast"=dword:00000000 "EnableDHCP"=dword:00000000 "IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00 "SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00 "DefaultGateway"=hex(7):00 "EnableDeadGWDetect"=dword:00000001 "DontAddDefaultGateway"=dword:00000000 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\PersistentRoutes] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Winsock] "UseDelayedAcceptance"=dword:00000000 "HelperDllName"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,\ 6d,33,32,5c,77,73,68,74,63,70,69,70,2e,64,6c,6c,00 "MaxSockAddrLength"=dword:00000010 "MinSockAddrLength"=dword:00000010 "Mapping"=hex:0b,00,00,00,03,00,00,00,02,00,00,00,01,00,00,00,06,00,00,00,02,\ 00,00,00,01,00,00,00,00,00,00,00,02,00,00,00,00,00,00,00,06,00,00,00,00,00,\ 00,00,00,00,00,00,06,00,00,00,00,00,00,00,01,00,00,00,06,00,00,00,02,00,00,\ 00,02,00,00,00,11,00,00,00,02,00,00,00,02,00,00,00,00,00,00,00,02,00,00,00,\ 00,00,00,00,11,00,00,00,00,00,00,00,00,00,00,00,11,00,00,00,00,00,00,00,02,\ 00,00,00,11,00,00,00,02,00,00,00,03,00,00,00,00,00,00,00 Mi sto dilungando troppo dunque meglio passare a ciò che penso vi interesserà di più,anche perchè mio malgrado non ho le conoscenze per approfondire l'argomento anzi magari c'e già scappata qualche fregniaccia senza esser manco scesi nel dettaglio alura... 1)salviamo in locale gmer,avenger,combofix.mbr(tool per ripristinare il master boot record) e la patch KB958644 scaricabile da qui che corregge la vulnerabilità grazie al quale conficker si annida prima sul vostro pc dunque sul resto della rete 2)facciamo un log di gmer da cui potremmo scorgere come vi dicevo prima la dll(che chiamerò wtryc.dll sita in system32 come nel caso di cui sopra) e il servizio con nome random presente sotto HKLM\SYSTEM\CurrentControlSet\Services (parte fissa) e HKLM\SYSTEM\ControlSet00(numero che va da 1 a 9,ocio al log!)\Services 3)riavviate e andate in modalità provvisoria 4)eseguite avenger con questo comando Files to delete: C:\Windows\system32\wtryc.dll C:\Windows\X C:\Programmi\internet explorer\wtryc.dll eventuali altri file copia rilevati nel vostro hd,non dovrebbero essercene altri in ogni caso Registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh HKLM\SYSTEM\ControlSet002\Services\wvraoeh 5)il pc si sarà riavviato,andate sempre in modalità provvisoria...consiglio un esecuzione del file mbr.exe dato che in alcuni pc,una volta sbloccata la fetida dll,prima dell'elimazione,ho notato che qualcosa di strano veniva fatto sull'mbr,sicuramente si trattava di rootkit dato che gmer me ne dava evidenza ma non son riuscito a capire se fosse sempre conficker o qualche altro problema...nel dubbio comunque -copiatevi sto mbr.exe in c:\ -su esegui copiate "c:\mbr.exe --disinfect" 6)riavviate il pc,ancora una volta in modalità provvisoria,dunque installate la patch KB958644 e riavviate il pc amcora in provvisoria 7)eseguite combofix dunque riavviate e accedete in modalità normale 8se la procedura è andata a buon fine noterete che da gmer non si evincerà più nessuna riga anomala,dunque potete ricollegare il pc in rete nonostante i restanti ancora siano infetti,e passate alla macchina successiva consiglio una scansione ad eventuali pen drive/hard disk esterni collegati ai pc infetti,troverete: 1)file "jwgkvsq.vmx" nel cestino 2)file AutoRun.inf(e non autorun,quello indica solitamente svch0st che è altra roba) alla directory principale tutto ha inizio dal file .vmx ed eventuali autoplay abilitati,oltre ovviamente al sistema operativo non aggiornato Ultima modifica di juninho85 : 29-04-2009 alle 22:49. |
30-04-2009, 08:55 | #54 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
ottimo
nessuno dei tool riesce nella pulizia?
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 30-04-2009 alle 09:08. |
30-04-2009, 09:30 | #55 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
La dll. malefica non viene caricata dai processi in esecuzione
__________________
Try again and you will be luckier.
|
30-04-2009, 09:42 | #56 |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
|
30-04-2009, 09:45 | #57 |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
|
30-04-2009, 09:50 | #58 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
__________________
Try again and you will be luckier.
|
30-04-2009, 09:50 | #59 |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28864
|
|
30-04-2009, 10:02 | #60 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Ovvio ma la vedi solo nel log di Gmer
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 30-04-2009 alle 10:18. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 22:35.