Guida alla rimozione Conficker (Downup - Downadup - Kido)

[Chill-Out]

Quote:

Originariamente inviato da TheFedex

Salve, anchio ho questo spiacevole problema.
Ho fatto come dice la guida ed ecco i log (li ho messi tutti in un .rar)

http://www.megaupload.com/?d=DTZY6XWA

(se mi sono sbagliato nel upparli spero che così vada bene
http://wikisend.com/download/485804/...nladup.Gen.log Win32.worm.downlaup.gen.log
http://wikisend.com/download/935522/GMER.txt gmer log
http://wikisend.com/download/497192/Immagine.JPG immagine di errore combofix

(Quello di combofix non ho potuto farlo perchè mi ha dato un messaggio di errore, trovate lo screen dentro il .rar)

Per favore aiutatemi a liberarmi di questo virus, mi sta facendo impazzire.

Non mi sembra che il tuo problema sia Conficker, risulti percaso positivo ai Test?

[TheFedex]

Quote:

Originariamente inviato da Chill-Out

Non mi sembra che il tuo problema sia Conficker, risulti percaso positivo ai Test?

Si, i due test mi danno:
1- Possibly Infected by Conficker A/B variant
2- Status: System is possibly infected with Conficker.B

[Chill-Out]

Quote:

Originariamente inviato da TheFedex

Si, i due test mi danno:
1- Possibly Infected by Conficker A/B variant
2- Status: System is possibly infected with Conficker.B

Lo screenshot inerente Combofix non è edificante in quanto segnala che il file è stato compromesso dal Virus Virut il quale corrompe tutti gli .exe, il tuo Av residente cosa ti segnala?

[TheFedex]

Quote:

Originariamente inviato da Chill-Out

Lo screenshot inerente Combofix non è edificante in quanto segnala che il file è stato compromesso dal Virus Virut il quale corrompe tutti gli .exe, il tuo Av residente cosa ti segnala?

Ho notato infatti quel nome, però non mi sembra che l'abbia segnalato l'av (ho norton internet security), è meglio se provo con un altro av? Mi puoi consigliare al volo un buon av che possa scaricare da quache mirror e che probabilmente mi vede questo virut? (purtroppo non posso accedere a siti av e microsoft).
PS:Ieri quando mi è uscito furori sto virus ho formattato ben due volte ma ce l'ho ancora, non so perchè.

[Chill-Out]

Quote:

Originariamente inviato da TheFedex

Ho notato infatti quel nome, però non mi sembra che l'abbia segnalato l'av (ho norton internet security), è meglio se provo con un altro av? Mi puoi consigliare al volo un buon av che possa scaricare da quache mirror e che probabilmente mi vede questo virut? (purtroppo non posso accedere a siti av e microsoft).

Fai una scansione completa col Norton ed allega il log

PS: se si tratta di Virut come sembra, mio malgrado la soluzione migliore è quella di formattare

[TheFedex]

Quote:

Originariamente inviato da Chill-Out

Fai una scansione completa col Norton ed allega il log

PS: se si tratta di Virut come sembra, mio malgrado la soluzione migliore è quella di formattare

MI sta impazzendo anche l'av ora :|
Mi sa che riformatto.
Ma formattando sto Conficker non dovrebbe sparire? o si può annidare anche negli altri HD?

[TheFedex]

Ho formattato il pc e ora sembra che il problema si sia risolto.
Questa volta però sono stato attento a non commettere passi falsi.
Ho formattato,reinstallato windows e senza toccare nient'altro ho aspettato gli aggiornamenti automatici, ho aggiornato e post riavvio ho installato avira facendo l'aggiornamento e uno scan completo.
Ecco il log http://wikisend.com/download/468104/...9-84046B96.LOG

Che ne pensi? posso stare tranquillo ora?

[Chill-Out]

Quote:

Originariamente inviato da TheFedex

Ho formattato il pc e ora sembra che il problema si sia risolto.
Questa volta però sono stato attento a non commettere passi falsi.
Ho formattato,reinstallato windows e senza toccare nient'altro ho aspettato gli aggiornamenti automatici, ho aggiornato e post riavvio ho installato avira facendo l'aggiornamento e uno scan completo.
Ecco il log http://wikisend.com/download/468104/...9-84046B96.LOG

Che ne pensi? posso stare tranquillo ora?

Come volevasi dimostrare il problema era W32/Virut.Gen, configura Avira antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 successivamente leggi questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 dove troverai indicazioni utili su come proteggere il tuo PC.

[TheFedex]

Quote:

Originariamente inviato da Chill-Out

Come volevasi dimostrare il problema era W32/Virut.Gen, configura Avira antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 successivamente leggi questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 dove troverai indicazioni utili su come proteggere il tuo PC.

Già avevi ragione, c'era anche questo maledetto Virut (cmq penso che c'era anche l'altro dato che avevo tutti i sintomi ).
Comunque grazie delle info, mi saranno molto utili.

[Chill-Out]

Quote:

Originariamente inviato da TheFedex

Già avevi ragione, c'era anche questo maledetto Virut (cmq penso che c'era anche l'altro dato che avevo tutti i sintomi ).
Comunque grazie delle info, mi saranno molto utili.

Prego

[SimTN]

Buon giorno a tutti, sono un umile assistente di laboratorio che lavora su 6 scuole tra medie ed elementari, essendo da solo mi è difficile spesso far fronte alla totale sicurezza di tutte le reti.

Sono appena tornato dalle ferie e ho trovato un disastro totale e sono completamente in panne. E mi han detto che risultano problemi su tutte le scuole. Ho quasi la certezza che siano tutti causati dalla gente che porta la propria chiavetta USB da casa

In questo momento mi trovo su una rete composta in questo modo

1 server Windows Server 2003
1 server con ISA Server
1 server con Symantec AntiVirus

1 parco macchine di circa 50 pc

Dando un occhiata su 1 solo PC e mi viene da sorridere per non piangere aprendo solo il Visualizzatore eventi mi trovo con quest problemi che ritengo siano i più gravi tra tanti e più presenti:

1 - Trovato rischio per la sicurezza!Rischio: W32.Downadup!autorun in file: E:\autorun.inf

2 - Trovato rischio per la sicurezza!Rischio: W32.SillyFDC in file: Non disponibile da: Scansione Non valido : (15). Azione: Elimina non riuscito : Non intervenire non riuscito.

3 - Applicazione [svchost.exe]. Autenticazione non riuscita. Credenziali utente non accettate da ISA Server. Verificare che l'account utente che esegue l'applicazione disponga delle autorizzazioni richieste.

4 - Continui avvisi dell'Antivirus causa di errori di estrazione incontrati dai motori di decompressione.


Installando Wireshark sul server vedo un ingente traffico con qualsiasi pc accendo, compreso protocollo kerberos relativo al conficker.

Sfortunatamente non mi è possibile effettuare i test della guida poichè utilizzo il proxy anche se credo di avere l'intera rete infetta per via dell'utilizzo delle share di condivisione.

Nell'ansia mi son perso a causa della troppa mole di lavoro da affrontare e non so più da che punto partire. HELP!!

[Chill-Out]

Ciao e benvenuto, comprendo perfettamente il tuo stato d'animo in considerazione del fatto che hai 50 macchine da verificare, ma non ce altra soluzione che isolarle e procedere con la disinfezione.

[landany]

Buonasera a tutti.
Inserendo una penna usb infetta, mi sono ritrovato molto probabilmente con il Conficker.B, almeno questo sostengono i test che sono linkati in prima pagina....
ho svolto tutto ciò che richiedeva il primo post, vi allego i log...
BDTOOLS
Combofix
Gmer
Dopo questi scan ho provato ad accedere a qualche sito di antivirus, ma non ci sono riuscito...
Cosa devo fare?
Grazie mille per l'aiuto...

[Chill-Out]

Ciao e benvenuto!

Apri il Blocco note e copia ed incolla questa righe:

Quote:

Driver::
sryjmli

Netsvc::
sryjmli

File::
c:\windows\system32\ynkhbr.dll

Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\sryjmli]
[-HKLM\SYSTEM\CurrentControlSet\Services\sryjmli]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

[landany]

Quote:

Originariamente inviato da Chill-Out

Ciao e benvenuto!

Apri il Blocco note e copia ed incolla questa righe:




Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

ho fatto quello che mi hai detto: il computer ora si collega a microsoft e a siti di case di antivirus...
ti posto il log di combofix
Combofix
grazie mille per l'aiuto...
un'ultima cosa: se volessi debellare il virus dalla penna, come posso fare?

[Chill-Out]

Quote:

Originariamente inviato da landany

ho fatto quello che mi hai detto: il computer ora si collega a microsoft e a siti di case di antivirus...
ti posto il log di combofix
Combofix
grazie mille per l'aiuto...
un'ultima cosa: se volessi debellare il virus dalla penna, come posso fare?

Prima porta a termine la Guida

[landany]

Quote:

Originariamente inviato da Chill-Out

Prima porta a termine la Guida

ti riferisci alla scansione con asquared? è proprio necessaria??il mio hdd è pienissimo ci metterebbe un'eternità...
perchè per il resto mi pare di aver fatto tutto...
inoltre se può essere utile ho risvolto i test, ed entrambi non rilevano infezioni da conficker

[Chill-Out]

Quote:

Originariamente inviato da landany

ti riferisci alla scansione con asquared? è proprio necessaria??il mio hdd è pienissimo ci metterebbe un'eternità...
perchè per il resto mi pare di aver fatto tutto...
inoltre se può essere utile ho risvolto i test, ed entrambi non rilevano infezioni da conficker

Si mi riferisco alla scansione con A2 e relativa installazione dellla Patch correttiva altrimenti tutto il lavoro viene vanificato.

[landany]

Quote:

Originariamente inviato da Chill-Out

Si mi riferisco alla scansione con A2 e relativa installazione dellla Patch correttiva altrimenti tutto il lavoro viene vanificato.

va bene, la scansione la faccio partire ora, dovrebbe finire sta notte o domani mattina...per la patch correttiva ho seguito il link del bollettino, ma alla voce "windows vista sp1" non vedo nessun file...dov'è?sono proprio imbranato...

[Chill-Out]

Quote:

Originariamente inviato da landany

va bene, la scansione la faccio partire ora, dovrebbe finire sta notte o domani mattina...per la patch correttiva ho seguito il link del bollettino, ma alla voce "windows vista sp1" non vedo nessun file...dov'è?sono proprio imbranato...

http://www.microsoft.com/downloads/d...displaylang=en