worm conficker

[juninho85]

Quote:

Originariamente inviato da Chill-Out

Ovvio ma la vedi solo nel log di Gmer

dipende...nei casi in cui non riuscivo a trovare ads su svchost potevo vedere(anche se comunque rimaneva bloccata)la dll...in questo caso era sufficiente sbloccarla con unlocker a questo punto anche avira la rilevava
in presenza di ads non era possibile vederla

[Chill-Out]

Quote:

Originariamente inviato da juninho85

dipende...nei casi in cui non riuscivo a trovare ads su svchost potevo vedere(anche se comunque rimaneva bloccata)la dll...in questo caso era sufficiente sbloccarla con unlocker a questo punto anche avira la rilevava
in presenza di ads non era possibile vederla

Infatti, mi sono riguardato i tuoi log a ritroso ed era li bella bella che ci guardava

[potino78]

La cosa più snervante di questo worm è che non capisco dove risiede...ad oggi ancora non ho risolto!!!

La domanda è: i tool proposti dalla guida di Chill-Out vanno fatti girare sulle macchine che sono state attaccate (e cioè su quelle dove l'antivirus segnala la presenza del worm), sul server windows 2003 o su quale altra macchina della rete?

Oltre al log di combofix quale altro log devo allegarvi?

[juninho85]

su TUTTE le macchine collegate facenti parte della rete

[potino78]

Ho 110 macchine collegate sulla rete, di cui 100 sono frizzate su disco C: anche se hanno una partizione D: non frizzata...

2 di quelle palesemente attaccate non sono frizzate (ovviamente aggiungerei...).

Devo fermarmi la notte allora?

[juninho85]

beh...sarebbe il giusto pegno da pagare per avere una lan di 110 macchine non aggiornate

[potino78]

Le 100 frizzate sono macchine per la clientela esterna e sono rigorosamente Xp Sp3...

Le 10 degli uffici, corrispondenti al nuemero del personale interno, se le gestiscono questi ultimi.

Io non ho nessuna responsabilità, di fatto la responsabilità è della sede centrale che non viene mai.... io sono solo l'unico "informatico" dei 10 qui presenti... e la piglio sempre.....

Ma seriamente devo passarmi tutte le macchine... pure quelle frizzate!?!?!?!?

[juninho85]

frizzate sta per...?

[potino78]

C'è un software che crea un'immagine del disco C: e la ricarica ad ogni avvio.

http://www.faronics.com/

Siccome sono macchine aperte al pubblico da aula-corsi e che usa chiunque, qualsiasi impostazione modificata viene persa, anche nel registro di sistema ovviamente.

Formatti C:, carichi sistema operativo drive e programmi, decidi che il PC è OK così, e frizzi. Ad ogni avvio della macchina viene caricata sempre quella configurazione "congelata" che avevi deciso essere "OK".

Se:
cambi lo sfondo desktop --> riavvii e torn lo sfondo originale
salvi da qualche parte su C --> al riavvio perdi quel file
prendi un virus locale perchè scarichi schifezze --> al riavvio quel virus non c'è più.....

E' un sistema eccellente per avere macchine pulite e uguali per tutti...

[juninho85]

beh allora è evidente come saranno da controllare solo quelle altre 10 macchine,no?

[potino78]

Mah... mica tanto sai.....? Io sto confiker o come diavolo si scrive mica ho capito dove e cosa attacca.... ok..... quelle macchine sono "pulite" su C: ma intanto vengono "attaccate" regolarmente come le altre e si bloccano tant'è che è necessario riavviarle.....

Tra l'altro sono certo al 99% che il virus sia stato portato via chiavetta USB da un "cliente" che ha usato una delle 100 macchine frizzate....

Va detto che delle 10 non-frizzate sempre e solo 2 macchine, che non avevano Sp3, presentano il problema e creano vari contrattempi sulla rete, le altre 8 non mi sembrano siano state mai attaccate nè infettate....

Insomma, l'istinto mi dice che il problema è solo su quei 2 PC che purtroppo non posso spegnere per varie ore per vedere se è veramente così poichè sono fondamentali per l'azienda ed hanno software esclusivi..... (tra l'altro abbastanza un macello da re-installare....).

[juninho85]

per le 100 macchine interrompi la connessione di rete ...il tempo di ripulire le altre 10 e puoi riavviare tutto quanto.
dove attacca l'ho scritto sopra

[potino78]

Farò così (non so bene quando e come) se dovesse ripresentarsi il problema..... da questa mattina l'amico "conf" ancora non si è fatto vedere dopo una settimana, quella precedente, di cleaner e tool vari....

Grazie mille per il tuo interessamento.

[juninho85]

figurati,se noti qualcosa di anomalo rispetto a quanto già constatato rencidici partecipi

[wjmat]

Quote:

Originariamente inviato da deepdark

Ho sempre una cartella chiamata Recycler che si crea in ogni avvio ma che mi è possibile cancellare con unlocker.
Dentro trovo i file desktop.ini e INFO2 che non riesco a vedere ma che avira mi dice esserci.
Preciso che non sono infetto da conficker (avira, gmer e il tool di bitdefender danno esito negativo), che vedo i file nascosti (tranne sti due) e che ho maneggiato il virus (ho attaccato via usb un hd infetto da tutto).

Come posso far si che non mi si creino i suddeti files?

ciao

se vuoi ripulire per bene il pc apri qui una discussione, spieghi brevemente il problema e poi segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione

[potino78]

Qualcuno mi può spiegare tecnicamente perchè non dovrei far girare il cleaner sui PC frizzati?

Per me la spiegazione è ovvia ma siccome non ho una laurea in informatica nessuno mi crede....

Riposto la situazione e chiedo scusa se ho aperto il topic nell'altra sezione di sicurezza ma credevo fosse opportuno differenziare il caso specifico.

-----------

Sulla "mia" LAN, 110 computer circa, ho beccato il confiker.

Di questi 110 PC, ben 100 sono "frizzati" appunto con:
http://www.progettoeducare.it/deepfreeze.html
che frizza tutto il disco C: ma non la partizione D: (dove gli utenti possono salvare liberamente).

I vari cleaner per la rimozione del confiker vanno fatti girare su tutti i PC che compongono la rete, con tutti gli hub spenti, e qui non ci piove.

LA DOMANDA E':

nel mio caso specifico devo secondo voi far girare questi tool anche sulle 100 macchine frizzate (e tra l'altro provviste di Sp3) ?

Io sarei più per la soluzione: spengo tutti gli hub, faccio girare i cleaner sui PC che NON sono frizzati.

Sarebbe fantastico avere una delucidazione minimamente tecnica.

[juninho85]

scusami un attimino,la spiegazione tecnica te la sei data da sola qualche post fa.
la macchina ad ogni avvio carica un immagine preconfezionata no?se questa immagine è stata creata pre-infezione sei tranquillo,diversamento no
la cosa migliore è aggiornarti questa immagine installando la patch microsoft che copre la falla sfruttata da conficker in maniera che una volta ricaricata l'infezione non abbia modo di insediarsi.
per le altre 10 già abbiamo detto come conviene agire

[xcdegasp]

Quote:

Originariamente inviato da juninho85

scusami un attimino,la spiegazione tecnica te la sei data da sola qualche post fa.
la macchina ad ogni avvio carica un immagine preconfezionata no?se questa immagine è stata creata pre-infezione sei tranquillo,diversamento no
la cosa migliore è aggiornarti questa immagine installando la patch microsoft che copre la falla sfruttata da conficker in maniera che una volta ricaricata l'infezione non abbia modo di insediarsi.
per le altre 10 già abbiamo detto come conviene agire

esatto

[potino78]

Bisognerebbe spiegarlo al mio collega laureato in informatica che sostiene che il virus può andarsi a conficcare nel Master Boot Record o non ho capito in quale partizione nascosta dell'hard disk che non sia C: o in qualche cavolo di record di avvio.

La spiegazione è stata parecchio cervellotica, non sono in grado di riportarvela.

[xcdegasp]

Quote:

Originariamente inviato da potino78

Bisognerebbe spiegarlo al mio collega laureato in informatica che sostiene che il virus può andarsi a conficcare nel Master Boot Record o non ho capito in quale partizione nascosta dell'hard disk che non sia C: o in qualche cavolo di record di avvio.

La spiegazione è stata parecchio cervellotica, non sono in grado di riportarvela.

tranquillizzalo dicendo che il conficker fa tutto ma non l'infezione del mbr