Guida alla rimozione Conficker (Downup - Downadup - Kido) - Pagina 4

landany · 13-07-2009, 11:01

Quote:

Originariamente inviato da Chill-Out

http://www.microsoft.com/downloads/d...displaylang=en

Ho scaricato, provato ad installare, ma mi dice "l'aggiornamento non è applicabile al sistema in uso"

**Chill-Out** · 13-07-2009, 11:11

Quote:

Originariamente inviato da landany

Ho scaricato, provato ad installare, ma mi dice "l'aggiornamento non è applicabile al sistema in uso"

Abilita gli aggiornamenti automatici ed aggiorna ciò che ti viene proposto, così risolviamo il problema alla radice anche per eventuali problemi futuri.

landany · 13-07-2009, 18:47

Quote:

Originariamente inviato da Chill-Out

Abilita gli aggiornamenti automatici ed aggiorna ciò che ti viene proposto, così risolviamo il problema alla radice anche per eventuali problemi futuri.

abilitati da quando il pc è mio

...infatti pochissimi giorni fa ha aggiornato, ma tra gli aggiornamenti non ho notato nessun aggiornamento critico per la sicurezza...

landany · 18-07-2009, 10:49

Questi sono i due log delle scansioni (sono due perchè la prima l'ho avviata in modo smart e me ne sono accorto alla fine, e risultano alcuni oggetti che nell'altra non ci sono perchè li avevo già messi in quarantena)

LOG 1 (Scansione smart)
Scansione 2 completa

Ieri inoltre ho dovuto attaccare un'altra penna, antivir mi ha segnalato in autorun.inf il worm kido...ne ho negato l'accesso...i siti di antivirus mi sono ancora accessibili e i test non rilevano infezioni...posso stare sicuro?le scansioni sono un pò più vecchie di ieri

**Chill-Out** · 18-07-2009, 10:53

Quote:

Originariamente inviato da landany

Questi sono i due log delle scansioni (sono due perchè la prima l'ho avviata in modo smart e me ne sono accorto alla fine, e risultano alcuni oggetti che nell'altra non ci sono perchè li avevo già messi in quarantena)

LOG 1 (Scansione smart)
Scansione 2 completa

Ieri inoltre ho dovuto attaccare un'altra penna, antivir mi ha segnalato in autorun.inf il worm kido...ne ho negato l'accesso...i siti di antivirus mi sono ancora accessibili e i test non rilevano infezioni...posso stare sicuro?le scansioni sono un pò più vecchie di ieri

Direi che puoi stare tranquillo, quando inserisci supporti removibili USB tieni premuto il tasto SHIFT (freccia in alto) in modo da disabilitare l'autoplay.
Successivamente contrallali con Antivir ed A2, per il resto leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

landany · 20-07-2009, 13:51

Quote:

Originariamente inviato da Chill-Out

Direi che puoi stare tranquillo, quando inserisci supporti removibili USB tieni premuto il tasto SHIFT (freccia in alto) in modo da disabilitare l'autoplay.
Successivamente contrallali con Antivir ed A2, per il resto leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

grazie mille per l'aiuto...

ps le altre infezioni riscontrate da asquared posso tranquillarmente eliminarle?

**Chill-Out** · 20-07-2009, 14:36

Quote:

Originariamente inviato da landany

grazie mille per l'aiuto...

ps le altre infezioni riscontrate da asquared posso tranquillarmente eliminarle?

Per precauzione meglio passare tutto in quarantena, dopo un uso massivo del PC si può eliminare anche quarantena.

Ciao

barney79 · 24-07-2009, 11:17

ciao ho ultimato tutti test:
= Possibly Infected by Conficker A/B variant

Conficker (aka Downadup, Kido) is known to block access to over 100 anti-virus and security websites.

Status: System is possibly infected with Conficker.B
clean Status: There are no signs for an infection.

applicato ATF Cleaner

ecco i log di
BDTOOLS REMOVE Downadup
http://wikisend.com/download/936630/...nladup.Gen.log

gmer
http://wikisend.com/download/540272/gmer.txt

mentre combofix non mi funziona
continua a darmi questo messaggio
!!ALERT!! it is not safe to continue!
the contents of combofix package has been compromised please download a fresh copy frorm (...)
Note: you may be infected with a file patching virus "Virut"

spero di non aver combinato qualche casino
grazie della collaborazione

**Chill-Out** · 24-07-2009, 11:25

Il tuo problema non è Conficker

http://www.hwupgrade.it/forum/showpo...4&postcount=43 + Post successivi

come già indicato ad un altro utente in questo caso la soluzione migliore è il Format

barney79 · 24-07-2009, 11:27

Quote:

Originariamente inviato da Chill-Out

Il tuo problema non è Conficker

http://www.hwupgrade.it/forum/showpo...4&postcount=43 + Post successivi

come già indicato ad un altro utente in questo caso la soluzione migliore è il Format

davvero non ho altra alternativa alla formattazione?

**Chill-Out** · 24-07-2009, 11:29

Quote:

Originariamente inviato da barney79

davvero non ho altra alternativa alla formattazione?

Mio malgrado no, Virut è una brutta bestia.

barney79 · 24-07-2009, 11:33

grazie cmq dell'assisteza...gentilissimi

me ne farò una ragione...

Kukuzza · 27-07-2009, 15:16

Ciao a tutti,
premetto che sto leggendo questa sezione da una decina di giorni ormai, e dopo essere "quasi" riuscito a ripulire il mio pc mi sono deciso di scrivere, perchè vorrei eliminare quel "quasi".

Premessa:
Antivirus installato AVG free e sempre aggiornato.
Il tutto è cominciato quando notai insoliti rallentamenti nel mio pc, stava diventando insopportabile lavorarci, cosi mi sono messo ad indagare ed avevo scoperto avere tutti i sintomi del Worm Conficker, ho quindi scaricato qualche tool per la rimozione (Symantec ed Enigma Software) , ed ho potuto installare le varie patch di Microsoft che fino ad allora non mi venivano nemmeno segnalate grazie al worm.
In seguito ho disinstallato AVG free per passare ad Avira free, visto che il precedente AV non individuava il malware, ed poi ho installato come da GUIDA per PC INFETTI, A-Squared e Malware Bytes Anti Malware.

Ora il pc sembra funzionare molto meglio e l'attività virus sembra sotto controllo, in quanto persistono dei sintomi, ovvero continua a riapparire una DLL rinominata in .Y (ldrshgyk.y) legata al worm Conficker.J che avira ormai deleta di default. Ho inoltre notato che questa dll appare in concomitanza di un altro file nella cartella C:\windows\tasks il file AT1.JOB (se AT1 è presente crea AT2.job, etc...).

Quello che non ho capito è chi, o cosa, crea il file JOB, aprendo il quale si possono leggere le seguenti righe
r u n d l l 3 2 . e x e
l d r s h g y k . y , u b o z v i r x
S Y S T E M
C r e a t o d a N e t S c h e d u l e J o b A d d .

Analizzando il file AT1.JOB si nota che viene lanciato tutti i giorni alla stessa ora, e facendovi doppio click non è possibile editarne i parametri.

Scansioni con Gmer, Hijackthis, Avira Antivir, Kasperski Virus Removal Tool, A-Squared e Malware bytes Anti Malware risultano tutti puliti, ed anche eseguendo i tools dedicati al conficker mi segnalano che il malware non è stato trovato, eppure anche allo stato attuale non riesco ad accere alla pagina di Windows Update.

Allego i files di log:
BDTOOLS.log
ComboFix.txt
gmer.log

Edit: aggiunti i log di A-Squared e MBAB:
a2scan.txt
mbam-log.txt

Qualunque ulteriore chiarimento/informazione sarò lieto di fornirvela e vi ringrazio sin da ora per qualunque consiglio utile.

P.S. chiedo scusa per il post nella sezione errata.

**Chill-Out** · 27-07-2009, 15:45

Con A2 hai fatto scansione veloce, produci il log di una scansione completa (DEEP)

Kukuzza · 28-07-2009, 07:42

Quote:

Originariamente inviato da Chill-Out

Con A2 hai fatto scansione veloce, produci il log di una scansione completa (DEEP)

Hai ragione era una scansione SMART, ecco quella DEEP, non risultano ancora rimossi i 3 tracking cookies perchè ieri ero un attimo di fretta, per il resto non vedo nulla di anomalo a2scan_deep.txt

**Chill-Out** · 28-07-2009, 08:08

Quote:

Originariamente inviato da Kukuzza

Hai ragione era una scansione SMART, ecco quella DEEP, non risultano ancora rimossi i 3 tracking cookies perchè ieri ero un attimo di fretta, per il resto non vedo nulla di anomalo a2scan_deep.txt

Infatti, dai log non risultano anomalie.

Kukuzza · 28-07-2009, 08:36

ho anche provato a cercare nel web informazioni relative a questo file ATx.JOB (x = numero intero) ma con scarsi risultati, ed ho notato che ogni volta che mi appare il messaggio di Avira che ha messo in quarantena la DLL legata a conficker nella cartella TASKS trovo un nuovo ATx.JOB.

**Chill-Out** · 28-07-2009, 08:38

Quote:

Originariamente inviato da Kukuzza

ho anche provato a cercare nel web informazioni relative a questo file ATx.JOB (x = numero intero) ma con scarsi risultati, ed ho notato che ogni volta che mi appare il messaggio di Avira che ha messo in quarantena la DLL legata a conficker nella cartella TASKS trovo un nuovo ATx.JOB.

Infatti mi domandavo quanti AV sono presenti sul PC, Avira o AVG?

Alleag il log di Avira

Kukuzza · 28-07-2009, 11:13

Quote:

Originariamente inviato da Chill-Out

Infatti mi domandavo quanti AV sono presenti sul PC, Avira o AVG?

Alleag il log di Avira

AVG lo avevo, poi visto che non mi riconosceva la dll infetta lo ho sostituito con Avira

che puntualmente lo mette in quarantena.
Ecco lo scan di Avira: AVSCAN-completo.LOG

Secondo il mio modesto parere ci sono un po troppi svchost.exe tra i processi attivi...

Allego anche uno shot dei files che sono sicuramente coinvolti: Files Coinvolti.JPG

**Chill-Out** · 28-07-2009, 11:42

Il log di Avira è pulito, sarebbe opportuno configuralo come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

24-07-2009, 11:25	#69
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Il tuo problema non è Conficker http://www.hwupgrade.it/forum/showpo...4&postcount=43 + Post successivi come già indicato ad un altro utente in questo caso la soluzione migliore è il Format __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

27-07-2009, 15:16	#73
Kukuzza Senior Member Iscritto dal: Nov 2002 Città: Busto Arsizio (VA) Messaggi: 940	[Win XP] Conficker & co. Ciao a tutti, premetto che sto leggendo questa sezione da una decina di giorni ormai, e dopo essere "quasi" riuscito a ripulire il mio pc mi sono deciso di scrivere, perchè vorrei eliminare quel "quasi". Premessa: Antivirus installato AVG free e sempre aggiornato. Il tutto è cominciato quando notai insoliti rallentamenti nel mio pc, stava diventando insopportabile lavorarci, cosi mi sono messo ad indagare ed avevo scoperto avere tutti i sintomi del Worm Conficker, ho quindi scaricato qualche tool per la rimozione (Symantec ed Enigma Software) , ed ho potuto installare le varie patch di Microsoft che fino ad allora non mi venivano nemmeno segnalate grazie al worm. In seguito ho disinstallato AVG free per passare ad Avira free, visto che il precedente AV non individuava il malware, ed poi ho installato come da GUIDA per PC INFETTI, A-Squared e Malware Bytes Anti Malware. Ora il pc sembra funzionare molto meglio e l'attività virus sembra sotto controllo, in quanto persistono dei sintomi, ovvero continua a riapparire una DLL rinominata in .Y (ldrshgyk.y) legata al worm Conficker.J che avira ormai deleta di default. Ho inoltre notato che questa dll appare in concomitanza di un altro file nella cartella C:\windows\tasks il file AT1.JOB (se AT1 è presente crea AT2.job, etc...). Quello che non ho capito è chi, o cosa, crea il file JOB, aprendo il quale si possono leggere le seguenti righe r u n d l l 3 2 . e x e l d r s h g y k . y , u b o z v i r x S Y S T E M C r e a t o d a N e t S c h e d u l e J o b A d d . Analizzando il file AT1.JOB si nota che viene lanciato tutti i giorni alla stessa ora, e facendovi doppio click non è possibile editarne i parametri. Scansioni con Gmer, Hijackthis, Avira Antivir, Kasperski Virus Removal Tool, A-Squared e Malware bytes Anti Malware risultano tutti puliti, ed anche eseguendo i tools dedicati al conficker mi segnalano che il malware non è stato trovato, eppure anche allo stato attuale non riesco ad accere alla pagina di Windows Update. Allego i files di log: BDTOOLS.log ComboFix.txt gmer.log Edit: aggiunti i log di A-Squared e MBAB: a2scan.txt mbam-log.txt Qualunque ulteriore chiarimento/informazione sarò lieto di fornirvela e vi ringrazio sin da ora per qualunque consiglio utile. P.S. chiedo scusa per il post nella sezione errata. __________________ XPS 1730 Sapphire Blue Vendo case full tower Chieftech nero: 50€ Ultima modifica di Kukuzza : 27-07-2009 alle 15:46.

27-07-2009, 15:45	#74
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Con A2 hai fatto scansione veloce, produci il log di una scansione completa (DEEP) __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 27-07-2009 alle 15:48.

28-07-2009, 08:36	#77
Kukuzza Senior Member Iscritto dal: Nov 2002 Città: Busto Arsizio (VA) Messaggi: 940	ho anche provato a cercare nel web informazioni relative a questo file ATx.JOB (x = numero intero) ma con scarsi risultati, ed ho notato che ogni volta che mi appare il messaggio di Avira che ha messo in quarantena la DLL legata a conficker nella cartella TASKS trovo un nuovo ATx.JOB. __________________ XPS 1730 Sapphire Blue Vendo case full tower Chieftech nero: 50€

28-07-2009, 11:42	#80
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Il log di Avira è pulito, sarebbe opportuno configuralo come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

18-07-2009, 10:49	#64
landany Junior Member Iscritto dal: Jul 2009 Messaggi: 8	Questi sono i due log delle scansioni (sono due perchè la prima l'ho avviata in modo smart e me ne sono accorto alla fine, e risultano alcuni oggetti che nell'altra non ci sono perchè li avevo già messi in quarantena) LOG 1 (Scansione smart) Scansione 2 completa Ieri inoltre ho dovuto attaccare un'altra penna, antivir mi ha segnalato in autorun.inf il worm kido...ne ho negato l'accesso...i siti di antivirus mi sono ancora accessibili e i test non rilevano infezioni...posso stare sicuro?le scansioni sono un pò più vecchie di ieri

24-07-2009, 11:17	#68
barney79 Junior Member Iscritto dal: Jul 2009 Messaggi: 16	ciao ho ultimato tutti test: = Possibly Infected by Conficker A/B variant Conficker (aka Downadup, Kido) is known to block access to over 100 anti-virus and security websites. Status: System is possibly infected with Conficker.B clean Status: There are no signs for an infection. applicato ATF Cleaner ecco i log di BDTOOLS REMOVE Downadup http://wikisend.com/download/936630/...nladup.Gen.log gmer http://wikisend.com/download/540272/gmer.txt mentre combofix non mi funziona continua a darmi questo messaggio !!ALERT!! it is not safe to continue! the contents of combofix package has been compromised please download a fresh copy frorm (...) Note: you may be infected with a file patching virus "Virut" spero di non aver combinato qualche casino grazie della collaborazione

24-07-2009, 11:33	#72
barney79 Junior Member Iscritto dal: Jul 2009 Messaggi: 16	grazie cmq dell'assisteza...gentilissimi me ne farò una ragione...

Strumenti
Mostra una versione stampabile Invia questa pagina per email