Guida alla rimozione Conficker (Downup - Downadup - Kido)

[wjmat]

Quote:

Originariamente inviato da mmilia

Molto umilmente , vorrei sottoporvi le mie esperienze lavorative su kido/conficker e come l'ho rimosso.

Test/Trial on the field su pc della mia amministrazione con vari prodotti commerciali:

1) F-secure Client Security/Server Ed. versione enterprise:
a) release 7.x nonostante lo rilevi non lo blocca e infetta
b) release 8.x lo rileva , il controllo sistema lo blocca , ma non viene eliminato dai supporti infetti.
Questo su tutte le versioni di windows sia client che server.

2) Nod32 release 3.0xx
lo rileva , lo pone in quarantena , ma al riavvio persiste e non lo elimina

3) Norman antivirus ( ultima release , è stato gia disinstallato)
Lo rileva , lo blocca e lo elimina dai supporti NON dal sistema se è infetto, anzi peggio va in crash e la disinstallazione è un incubo.

4) Avira rescue system cd su kernel linux
Presumendo che l'utente sia in grado di modificare il boot order e configurare il software avira , lo rinomina e lo rende inoffensivo

5) Drweb livecd ,
Presumendo che l'utente sia in grado di modificare il boot order e configurare il software avira , lo elimina.
Per me è complementare a Avira rescue system perchè trova ed elimina il rinominato più qualcos'altro che possa sfuggire

6) AVG/Avast le solite versioni gratuite
Nessun risultato apprezzabile, a seconda del livello di compromissione del pc i guai peggiorano sino al blue screeen

In sintesi ho risolto con il tool di kaspersky denominato kidokiller (kk.exe) che lanciato da shell dos in modalità sia normale che provvisoria con questi switch:
kk.exe -t -a -x -v -r -f
Mi ha ripulito nella quasi totalità dei casi notebook e desktop infetti e relative chiavette.
Se uno vuole ripulire solo le chiavette USB:
KK.exe -t -a -v -r

Nella speranza di essere stato utile , faccio i comlimenti per questo forum e più specificatamente per questa sezione , per me inestimabile.

ciao

grazie per il tuo apporto

[mmilia]

Di niente felice di poter essere di aiuto, appena mi arrivano altre suite commerciali che ho ordinato e le testo sul campo , vi farò sapere.

[M4x87]

ecco i miei log

bd_rem_tool http://wikisend.com/download/561528/...nladup.Gen.log

combofix http://wikisend.com/download/436922/ComboFix.txt

gmer http://wikisend.com/download/968084/gmer.log

[Chill-Out]

Quote:

Originariamente inviato da M4x87

ecco i miei log

bd_rem_tool http://wikisend.com/download/561528/...nladup.Gen.log

combofix http://wikisend.com/download/436922/ComboFix.txt

gmer http://wikisend.com/download/968084/gmer.log

Apri il blocco note e copia ed incolla queste righe:

Quote:

Driver::
plgfeuxz
vipdjn

Netsvc::
plgfeuxz
vipdjn

File::
C:\WINDOWS\system32\kjjhdwls.dll

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3024:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\plgfeuxz]
[-HKLM\SYSTEM\CurrentControlSet\Services\plgfeuxz]
[-HKLM\SYSTEM\ControlSet003\Services\mougfxhh]

File::
c:\windows\system32\kjjhdwls.dll

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

Successivamente prosegui facendo scansione completa con a-squared


NB: non collegare al PC nessun supporto removibile USB

[M4x87]

ecco il log di combofix http://wikisend.com/download/544454/ComboFix.txt

poco fà ho aperto a2squared e prima di fare la scansione sono andato per aggiornarlo, ma come al solito mi dice che non si può aggiornare per problemi al proxy...ho fatto nuovamente il test del conficker e sono affetto dalla variante b...ma non lo aveva levato il combofix??

una volta tolto definitivamente per evitare che ritorni basta aggiornare l'xp al sp3 ed installare la patch che date nella guida?

grazie

[xcdegasp]

dal log di combofix si evince questa eliminazione:

Quote:

kjjhdwls.dll

quindi hai fatto cio che diceva Chill-Out.

per a-squared puoi provare in questo modo:
chiudi il programma clickando con il tasto destro sull'icona nella traybar (affianco all'orologio di windows) e clicka poi sulla voce "chiudi protezione backguard" poi riavvia il pc.
appena il pc è di nuovo attivo e in attesa di tuoi ordini entra nelle impostazioni di rete di a-squared e controlla se ha come impostazione "connessione diretta" in caso avesse impostazioni fallate modificale.
poi prova ad aggiornarlo

[Chill-Out]

Mi sembra assai strano il problema relativo all'aggiornamento di A2, dal log non emergono anomalie relative al traffico sulla porta 80 , comunque metti in pratica il consiglio di xcdegasp ed allega anche un nuovo log di Gmer.

[Albitexm]

[quote=Chill-Out;27504741]





[*]E' opportuno leggere attentamente tutta la Guida prima di intraprendere la procedura di rimozione

Sono andato in un internet point a scaricare un grosso aggiornamento, perchè io ho solo una connessione HDSPA. Quando torno a casa e infilo la chiavetta nel PC, mi esce un errore strano, e vedo la chiavetta come una cartella (non con il simbolo normale di unità rimovibile). Riesco lo stesso a scaricare i file contenuti.Installo il programma scaricato nell'internet point, e dopo qualche minuto l'antivirus incomincia a mandarmi messaggi d'infezione dal virus Downadup. Diverse cartelle sono infette dal file :huioou.dll che viene associato a Downadup.
Ho seguito la Vs procedura di rimozione e quindi ora il Pc dovrebbe essere
ok. Ma rimane il problema della chiavetta usb, da dove probabilmente ho preso l'infezione. Ora ho paura a reinserirla nel PC che ho "ripulito". Cosa dovrei fare per ripulire anche la chiavetta senza correre rischi ?
Inoltre, per collegarmi a internet, uso un BlackBerry con la usim hdspa. Potrebbe essrsi infettato anche lo smartphone? Considerate che io trasferisco sovente file da PC a telefonino e viceversa.

[wjmat]

vorremmo vedere i log per verificare che sia tutto ok

Pulizia generica di chiavette e dischi esterni

Prima di fare pulizia sulla chiavetta/e, hard disk esterni devi assicurarti che al loro inserimento non venga infettato il pc.
Tieni premuto il tasto Shift (quello con la freccia in su situato tra Ctrl e Cap Lock) prima dell'inserimento oppure disattiva la riproduzione automatica delle periferiche (USB/CD)
Una volta collegato il supporto sottoponilo a scansioni antivirus e antispyware con i programmi aggiornati.

Programmmi consigliati:

• antivirus: Antivir configurato come indicato qui, se non vuoi cambiare antivirus usa Cureit o Kaspersky removal tool
• antispyware: Malwarebytes Anti-Malware + A-squared

Per la pulizia vai su Risorse computer -> tasto destro sul supporto e scansiona con:
Antivir (o il tuo antivirus)
Malwarebytes
A-Squared

[Albitexm]

Quote:

Originariamente inviato da wjmat

vorremmo vedere i log per verificare che sia tutto ok

Questo è il report della segnalazione dell'infezione:

"F:\Documents and Settings\Administrator\Application Data\hujoou.dll";"Virus identificato Worm/Downadup";"Spostato in Quarantena virus"
"F:\Program Files (x86)\Movie Maker\hujoou.dll";"Virus identificato Worm/Downadup";"Spostato in Quarantena virus"
"F:\System Volume Information\_restore{FCAA5C87-CB47-444E-AAC8-0483BF2412E5}\RP1\A0000033.dll";"Virus identificato Worm/Downadup";"Spostato in Quarantena virus"
"F:\System Volume Information\_restore{FCAA5C87-CB47-444E-AAC8-0483BF2412E5}\RP1\A0000034.dll";"Virus identificato Worm/Downadup";"Spostato in Quarantena virus"
"F:\System Volume Information\_restore{FCAA5C87-CB47-444E-AAC8-0483BF2412E5}\RP1\A0000035.dll";"Virus identificato Worm/Downadup";"Spostato in Quarantena virus"
"F:\WINDOWS\SysWOW64\hujoou.dll";"Virus identificato Worm/Downadup";"Spostato in Quarantena virus"

Al momento non ho ancora inserito la chiavetta per la disinfezione. Il PC risulta "pulito". V'invio poi il log, dopo avere scansionato anche la chiavetta.

[wjmat]

ai test come risulti?

Quote:

IMPORTANTE: a questo punto allegate i log nella sequenza indicata

BDTOOLS REMOVE Downadup
ComboFix
Gmer

[Albitexm]

Quote:

Originariamente inviato da wjmat

ai test come risulti?

Ho eseguito i 2 test e risulto negativo a entrambi. Ho inserito dopo la chiavetta usb, tenendo premuto lo shift. Sia il mio AV che Malwarebytes mi segnalavano la presenza del virus sulla chiavetta. Inoltre Malwarbytes mi
segnalava in una scansione veloce del sistema, prima della pulizia della chiavetta, un Trojan nel Pc . Dopo la disinfezione della chiavetta ho eseguito una scansione prima della chiavetta singola con entrambi i tools e poi totale del PC, lasciando collegata la chiavetta. I risultati sono
stati negativi sia con AVG che con Malwarbytes.
Allego i log nel file compresso. I file di log contenuti nella cartella final, sono quelli a PC "pulito" , gli altri sono quelli infetti, rilevati prima dell'ultima disinfestazione.

[wjmat]

Quote:

Originariamente inviato da Albitexm

Ho eseguito i 2 test e risulto negativo a entrambi. Ho inserito dopo la chiavetta usb, tenendo premuto lo shift. Sia il mio AV che Malwarebytes mi segnalavano la presenza del virus sulla chiavetta. Inoltre Malwarbytes mi
segnalava in una scansione veloce del sistema, prima della pulizia della chiavetta, un Trojan nel Pc . Dopo la disinfezione della chiavetta ho eseguito una scansione prima della chiavetta singola con entrambi i tools e poi totale del PC, lasciando collegata la chiavetta. I risultati sono
stati negativi sia con AVG che con Malwarbytes.
Allego i log nel file compresso. I file di log contenuti nella cartella final, sono quelli a PC "pulito" , gli altri sono quelli infetti, rilevati prima dell'ultima disinfestazione.

i log non zippati ma singolarmente sui server remoti indicati nelle regole di sezione, grazie

[Albitexm]

Quote:

Originariamente inviato da wjmat

i log non zippati ma singolarmente sui server remoti indicati nelle regole di sezione, grazie

Ok , ecco :

[Chill-Out]

Quote:

Originariamente inviato da Albitexm

Ok , ecco :


http://wikisend.com/download/573840/usbvirus.csv

Cortesemente i log in formato .txt, caricati singolarmente.

[simpacpopeye]

Quote:

Originariamente inviato da Chill-Out

Guida alla rimozione Conficker (Downup - Downadup - Kido)

Powered by: Hardware Upgrade Forum - Sezione Antivirus e Sicurezza

■ Cos'è il worm Conficker

Conficker, conosciuto anche come Downup, Downadup e Kido è un worm scoperto nell'ottobre 2008 e si diffonde sulle piattaforme Microsoft Windows 2000, XP, Vista e Server 2003/2008. Il Worm è in grado di sfruttare una grave vulnerabilità di sicurezza, corretta dalla stessa Microsoft in data 23 Ottobre 2008 con la pubblicazione del bollettino straordinario MS08-67.

Le finalità del Conficker non sono estremamente chiare, attualmente il worm dopo aver infettato milioni di computer nel mondo verrà molto probabilmente utilizzato per creare una botnet per inviare spam, rubare informazioni personali e redirigeri gli utenti su siti di pishing e truffe online.

Il worm si diffonde principalmente sulle reti, individuato un PC vulnerabile si installa in modo silente, elimina i punti di ripristino precedenti, disattiva alcuni servizi di protezione, inibisce l'accesso ai siti Web sulla sicurezza, come i siti dei maggiori produttori di software antivirus, apre il sistema infetto per consentire la ricezione di altro codice malevolo, copia se stesso nelle cartelle condivise di rete e sui supporti removibili USB.

In funzione di quanto sopra esposto gli utenti a rischio sono quelli che hanno disabilitato gli aggiornamenti automatici ma soprattutto colore che non utilizzano una copia orignale di Windows in quanto impossibilitati a ricevere gli aggiornamenti e le patch di Microsoft.

■ Sono infetto?

Se siete impossibilitati a fare gli aggiornamenti di Windows e non riuscite a raggiungere i siti Web sulla sicurezza, è probabile che Conficker abbia fatto breccia sul vostro PC. Per determinare la presenza del Worm è sufficiente cliccare sui seguenti link, l'interpretazione dei risultati è estremamente intuitiva.

Test 1

Test 2


■ Guida alla rimozione

• Al fine di mantenere il Thread ordinato e fruibile, hostate i log solo ed esclusivamente in formato .txt sui Server remoti indicati nelle REGOLE DI SEZIONE pubblicando per ogni singolo log il link che verrà rilasciato per il download
  
  
• E' opportuno leggere attentamente tutta la Guida prima di intraprendere la procedura di rimozione
  
  
• Per la rimozione del Conficker è fondamentale scollegare il PC dalla rete LAN (WI-FI-ADSL-HSDPA/UMTS) e mantenerlo scollegato, per cui si rende necessario scaricare a priori tutti i tools dedicati alla rimozione

● Rilevazione e rimozione


1. ATF Cleaner - Download - Guida all'utilizzo
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione


2. BDTOOLS REMOVE Downadup - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Doppio click su bd_rem_tool.zip estraete tutti i files (importante) verrà creata una cartella denominata bd_rem_tool contenente bd_rem_tool_console.exe e bd_rem_tool_gui.exe

Doppio click su bd_rem_tool_gui.exe all'Avviso di protezione di Windows cliccate su Esegui e successivamente su Start per lanciare la scansione, attendete pazientemente in quanto la scansione può durare anche più di 15 minuti, al termine della stessa vi verrà chiesto di riavviare (restart) il PC, acconsentite cliccando su Yes

Il file di log da allegare per il controlo si trova in C:\Win32.Worm.Downladup.Gen.log


3. ComboFix - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt


4. Gmer - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle

Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

IMPORTANTE: a questo punto allegate i log nella sequenza indicata

BDTOOLS REMOVE Downadup
ComboFix
Gmer

ed attendete una risposta da chi presta assistenza


● Scansione di controllo


1. A-Squared Free - Download - Guida all'utilizzo
Compatibile: Windows XP - Vista

Doppio click su a2FreeSetup.exe per lanciare l'installazione, seguite le istruzioni a video, al termine dell'installazione vi verrà chiesto di eseguire l'update terminato il quale bisognerà riavviare per rendere effettive le modifiche apportate
Cliccare su Scansiona PC - Completa - Scansiona

Terminata la scansione cliccare su Metti in quarantena gli oggetti selezionati, successivamente su Salva rapporto per salvare il log in formato .txt da allegare per il controllo


● Trattamento post infezione


1. Installare la Patch MS08-67


2. La presente Guida vi aiuterà a verificare la configurazione di sicurezza del PC, aggiornare programmi obsoleti e vulnerabili ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.

questo è il file log dopo aver scansionato e messo in quarantena i virus e i malware. Devo procedere con la patch?

[simpacpopeye]

Quote:

Originariamente inviato da simpacpopeye

questo è il file log dopo aver scansionato e messo in quarantena i virus e i malware. Devo procedere con la patch?

questo è il file log

[wjmat]

Quote:

Originariamente inviato da simpacpopeye

questo è il file log

il ripristino conf. di sistema disattivalo
poi procedi con i punti successivi

[Chill-Out]

Quote:

Originariamente inviato da simpacpopeye

questo è il file log

Allega quel benedetto log di Gmer, inoltre dal log di A2 non si capisce se hai passato gli elementi infetti in quarantena

[TheFedex]

Salve, anchio ho questo spiacevole problema.
Ho fatto come dice la guida ed ecco i log (li ho messi tutti in un .rar)

http://www.megaupload.com/?d=DTZY6XWA

(se mi sono sbagliato nel upparli spero che così vada bene
http://wikisend.com/download/485804/...nladup.Gen.log Win32.worm.downlaup.gen.log
http://wikisend.com/download/935522/GMER.txt gmer log
http://wikisend.com/download/497192/Immagine.JPG immagine di errore combofix

(Quello di combofix non ho potuto farlo perchè mi ha dato un messaggio di errore, trovate lo screen dentro il .rar)

Per favore aiutatemi a liberarmi di questo virus, mi sta facendo impazzire.