[Win XP] Conficker & co.

Kukuzza · 27-07-2009, 12:17

Ciao a tutti,
premetto che sto leggendo questa sezione da una decina di giorni ormai, e dopo essere "quasi" riuscito a ripulire il mio pc mi sono deciso di scrivere, perchè vorrei eliminare quel "quasi".

Premessa:
Antivirus installato AVG free e sempre aggiornato.
Il tutto è cominciato quando notai insoliti rallentamenti nel mio pc, stava diventando insopportabile lavorarci, cosi mi sono messo ad indagare ed avevo scoperto avere tutti i sintomi del Worm Conficker, ho quindi scaricato qualche tool per la rimozione (Symantec ed Enigma Software) , ed ho potuto installare le varie patch di Microsoft che fino ad allora non mi venivano nemmeno segnalate grazie al worm.
In seguito ho disinstallato AVG free per passare ad Avira free, visto che il precedente AV non individuava il malware, ed poi ho installato come da GUIDA per PC INFETTI, A-Squared e Malware Bytes Anti Malware.

Ora il pc sembra funzionare molto meglio e l'attività virus sembra sotto controllo, in quanto persistono dei sintomi, ovvero continua a riapparire una DLL rinominata in .Y (ldrshgyk.y) legata al worm Conficker.J che avira ormai deleta di default. Ho inoltre notato che questa dll appare in concomitanza di un altro file nella cartella C:\windows\tasks il file AT1.JOB (se AT1 è presente crea AT2.job, etc...).

Quello che non ho capito è chi, o cosa, crea il file JOB, aprendo il quale si possono leggere le seguenti righe
r u n d l l 3 2 . e x e
l d r s h g y k . y , u b o z v i r x
S Y S T E M
C r e a t o d a N e t S c h e d u l e J o b A d d .

Analizzando il file AT1.JOB si nota che viene lanciato tutti i giorni alla stessa ora, e facendovi doppio click non è possibile editarne i parametri.

Scansioni con Gmer, Hijackthis, Avira Antivir, Kasperski Virus Removal Tool, A-Squared e Malware bytes Anti Malware risultano tutti puliti, ed anche eseguendo i tools dedicati al conficker mi segnalano che il malware non è stato trovato.

Qualunque ulteriore chiarimento/informazione sarò lieto di fornirvela e vi ringrazio sin da ora per qualunque consiglio utile.

Edit: Mi ero scordato di dire che attualmente non riesco ancora ad accere alla pagina di Windows Update.

wjmat · 27-07-2009, 12:34

ciao

segui qui la guida per la rimozione di Conficker/Downadup/Kido e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità

**Chill-Out** · 27-07-2009, 14:22

Chiupo onde evitare doppione

27-07-2009, 12:17	#1
Kukuzza Senior Member Iscritto dal: Nov 2002 Città: Busto Arsizio (VA) Messaggi: 940	[Win XP] Conficker & co. Ciao a tutti, premetto che sto leggendo questa sezione da una decina di giorni ormai, e dopo essere "quasi" riuscito a ripulire il mio pc mi sono deciso di scrivere, perchè vorrei eliminare quel "quasi". Premessa: Antivirus installato AVG free e sempre aggiornato. Il tutto è cominciato quando notai insoliti rallentamenti nel mio pc, stava diventando insopportabile lavorarci, cosi mi sono messo ad indagare ed avevo scoperto avere tutti i sintomi del Worm Conficker, ho quindi scaricato qualche tool per la rimozione (Symantec ed Enigma Software) , ed ho potuto installare le varie patch di Microsoft che fino ad allora non mi venivano nemmeno segnalate grazie al worm. In seguito ho disinstallato AVG free per passare ad Avira free, visto che il precedente AV non individuava il malware, ed poi ho installato come da GUIDA per PC INFETTI, A-Squared e Malware Bytes Anti Malware. Ora il pc sembra funzionare molto meglio e l'attività virus sembra sotto controllo, in quanto persistono dei sintomi, ovvero continua a riapparire una DLL rinominata in .Y (ldrshgyk.y) legata al worm Conficker.J che avira ormai deleta di default. Ho inoltre notato che questa dll appare in concomitanza di un altro file nella cartella C:\windows\tasks il file AT1.JOB (se AT1 è presente crea AT2.job, etc...). Quello che non ho capito è chi, o cosa, crea il file JOB, aprendo il quale si possono leggere le seguenti righe r u n d l l 3 2 . e x e l d r s h g y k . y , u b o z v i r x S Y S T E M C r e a t o d a N e t S c h e d u l e J o b A d d . Analizzando il file AT1.JOB si nota che viene lanciato tutti i giorni alla stessa ora, e facendovi doppio click non è possibile editarne i parametri. Scansioni con Gmer, Hijackthis, Avira Antivir, Kasperski Virus Removal Tool, A-Squared e Malware bytes Anti Malware risultano tutti puliti, ed anche eseguendo i tools dedicati al conficker mi segnalano che il malware non è stato trovato. Qualunque ulteriore chiarimento/informazione sarò lieto di fornirvela e vi ringrazio sin da ora per qualunque consiglio utile. Edit: Mi ero scordato di dire che attualmente non riesco ancora ad accere alla pagina di Windows Update. __________________ XPS 1730 Sapphire Blue Vendo case full tower Chieftech nero: 50€ Ultima modifica di Kukuzza : 27-07-2009 alle 12:20.

27-07-2009, 12:34	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	ciao segui qui la guida per la rimozione di Conficker/Downadup/Kido e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

27-07-2009, 14:22	#3
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Chiupo onde evitare doppione __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email