worm conficker

[wjmat]

Quote:

Originariamente inviato da potino78

Bisognerebbe spiegarlo al mio collega laureato in informatica che sostiene che il virus può andarsi a conficcare nel Master Boot Record o non ho capito in quale partizione nascosta dell'hard disk che non sia C: o in qualche cavolo di record di avvio.

La spiegazione è stata parecchio cervellotica, non sono in grado di riportarvela.

in effetti qui al punto 5 juninho85 ha notato qualcosa di strano anche a livello di MBR, da verificare che comunque fosse parte di conficker

[juninho85]

Quote:

Originariamente inviato da potino78

Bisognerebbe spiegarlo al mio collega laureato in informatica che sostiene che il virus può andarsi a conficcare nel Master Boot Record o non ho capito in quale partizione nascosta dell'hard disk che non sia C: o in qualche cavolo di record di avvio.

La spiegazione è stata parecchio cervellotica, non sono in grado di riportarvela.

se avessi letto sopra avresti notato come ne ho già parlato di questa eventualità

[potino78]

La tua precisazione risale al 22 Aprile, era nella prima delle attuali 5 pagine del topic e mi era sfuggita, chiedo venia.

Stabilito che si farà come dico io, ho un solo grosso probelma.

Ai 2 server virtualizzati windows 2003 io accedo tramite VM-Ware da remoto e per tanto mi serve la connessione....

...se i cleaner vanno lanciati con i PC tutti contemporaneamente isolati dalla rete... come posso fare a rimanere connesso per agire sui server (in poche parole muovere mouse e tastiera sul server....).

[xcdegasp]

Quote:

Originariamente inviato da juninho85

se avessi letto sopra avresti notato come ne ho già parlato di questa eventualità

mi era sfuggita questa modifica all'MBR ma evidenziavi che non è stata applicata a tutti i pc...

[wjmat]

Quote:

Originariamente inviato da poffarbacco

Ecco a te

ComboFix.txt

• Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
• Apri il Blocco Note e incolla tutto il codice qui sotto

Quote:

driver::
azuhlkmrv

netsvc::
azuhlkmrv

registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\azuhlkmrv]

file::
c:\windows\system32\pilfwsjv.dll

• Salva il file sul Desktop come CFScript.txt
• Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
• al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

[poffarbacco]

Quote:

Originariamente inviato da wjmat

cut

Credo tu abbia modificato il post, intanto io ho fatto il log con gmer.

log.log

p.s.
Prima di gmer ho fatto un altro giro con il rescue cd di avira, e ora mi è stato possibile installare comodo ma ho ancora vari problemi...

[wjmat]

Quote:

Originariamente inviato da poffarbacco

Credo tu abbia modificato il post, intanto io ho fatto il log con gmer.

log.log

p.s.
Prima di gmer ho fatto un altro giro con il rescue cd di avira, e ora mi è stato possibile installare comodo ma ho ancora vari problemi...

era solo per avere una certezza, che comunque è stata confermata in questo log
segui pure quanto scritto sopra

[poffarbacco]

Quote:

Originariamente inviato da wjmat

era solo per avere una certezza, che comunque è stata confermata in questo log
segui pure quanto scritto sopra

Nonostanteabbia spuntato la casellina per l'esecuzione come amministratore, continua a darmi questo messaggio:

"impossibile accedere al dispositivo, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie."

[wjmat]

Quote:

Originariamente inviato da poffarbacco

Nonostanteabbia spuntato la casellina per l'esecuzione come amministratore, continua a darmi questo messaggio:

"impossibile accedere al dispositivo, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie."

quando trascini lo script?

[poffarbacco]

Quote:

Originariamente inviato da wjmat

quando trascini lo script?

Si esatto. Comunque ho notato che il controllo accesso di windows mi blocca l'esecuzione di combofix, nonostante nelle impostazioni sia disabilitato. Nel registro ho visto che manca la voce dword EnableLUA, l'ho ripristinata e ora sto riavviando..speriamo bene. Nel caso non vada hai altri suggerimenti?

- edit -

Ok, ha funzionato

Mi segnala però che Windows Defender è ancora attivo, quando in realtà da pannello di controllo risulta disattivo...sono andato avanti comunque. Appena finisce posto il log.

- edit2 -

Eccoti il log:
ComboFix.txt

[wjmat]

Quote:

Originariamente inviato da poffarbacco

Si esatto. Comunque ho notato che il controllo accesso di windows mi blocca l'esecuzione di combofix, nonostante nelle impostazioni sia disabilitato. Nel registro ho visto che manca la voce dword EnableLUA, l'ho ripristinata e ora sto riavviando..speriamo bene. Nel caso non vada hai altri suggerimenti?

- edit -

Ok, ha funzionato

Mi segnala però che Windows Defender è ancora attivo, quando in realtà da pannello di controllo risulta disattivo...sono andato avanti comunque. Appena finisce posto il log.

- edit2 -

Eccoti il log:
ComboFix.txt

scarica la patch http://www.microsoft.com/technet/sec.../ms08-068.mspx
disattiva il ripristino configurazione di sistema
fai pulizia con ATFCleaner
scansione completa e log di A-Squared
scansione e log di Prevx

[poffarbacco]

Quote:

Originariamente inviato da wjmat

scarica la patch http://www.microsoft.com/technet/sec.../ms08-068.mspx
disattiva il ripristino configurazione di sistema

Quando tento di installare l'aggiornamento mi dice che "L'aggiornamento non è applicabile al sistema in uso". Ho scaricato questo (ho Vista sp1).

Ma è normale che debba scaricare a mano questo aggiornamento visto che aggiorno il mio Vista praticamente ogni tre giorni?

Il rispristino configurazione invece l'ho sempre tenuto disattivato

p.s.
Quando parli di scansione completa, mi basta farla sull'hard disk c:\ dov'è installato Vista o devo farlo anche sugli altri hard disk dove tengo installati programmi e file vari?

[wjmat]

Quote:

Originariamente inviato da poffarbacco

Quando tento di installare l'aggiornamento mi dice che "L'aggiornamento non è applicabile al sistema in uso". Ho scaricato questo.

Ma è normale che debba scaricare a mano questo aggiornamento visto che aggiorno il mio Vista praticamente ogni tre giorni?

Il rispristino configurazione invece l'ho sempre tenuto disattivato

ok procedi con le restanti operazioni

[poffarbacco]

Quote:

Originariamente inviato da wjmat

ok procedi con le restanti operazioni

Dopo l'aggiornamento di A-squared la scansione prosegue in maniera parecchio lenta (è ancora al 5%, ho impostato solo il controllo di c:\ dov'è installato windows, senza euristica)...spero non sia sintomo di problemi.

- edit -

Ok..finito:

a2scan_090514-190229.txt (ho eliminato i file relativi a firefox, gli altri sono file di programmi che uso)

PrevX.log (come elimino i file? manualmente?)

- edit2 -

Per disinstallare combofix ho dovuto rilanciarlo, per l'occasione s'è aggiornato e quindi gli ho fatto fare un'altra scansione:
ComboFix.txt

Questo il nuovo log di PrevX dopo la disinstallazione di Combofix:
PrevX.log

Come elimino quel pilfwsjv.dll.xxx? Non lo vedo nella cartella system32 (nemmeno visualizzando i file nascosti)...

- edit3 -

Ho eliminato il file coi comandi:
takeowl /f c:\windows\system32\pilfwsjv.dll.xxx
icacls c:\windows\system32\pilfwsjv.dll.xxx /grant administrators:F

e il log pulito di PrevX: PrevX.log

[wjmat]

Quote:

Originariamente inviato da poffarbacco

Dopo l'aggiornamento di A-squared la scansione prosegue in maniera parecchio lenta (è ancora al 5%, ho impostato solo il controllo di c:\ dov'è installato windows, senza euristica)...spero non sia sintomo di problemi.

- edit -

Ok..finito:

a2scan_090514-190229.txt (ho eliminato i file relativi a firefox, gli altri sono file di programmi che uso)

PrevX.log (come elimino i file? manualmente?)

- edit2 -

Per disinstallare combofix ho dovuto rilanciarlo, per l'occasione s'è aggiornato e quindi gli ho fatto fare un'altra scansione:
ComboFix.txt

Questo il nuovo log di PrevX dopo la disinstallazione di Combofix:
PrevX.log

Come elimino quel pilfwsjv.dll.xxx? Non lo vedo nella cartella system32 (nemmeno visualizzando i file nascosti)...

- edit3 -

Ho eliminato il file coi comandi:
takeowl /f c:\windows\system32\pilfwsjv.dll.xxx
icacls c:\windows\system32\pilfwsjv.dll.xxx /grant administrators:F

e il log pulito di PrevX: PrevX.log

se sei ok ti consiglio il trattamento in firma per consigli vari

[poffarbacco]

Quote:

Originariamente inviato da wjmat

se sei ok ti consiglio il trattamento in firma per consigli vari

Ok, ho seguito i vari consigli post disinfezione.
Vorrei però chiederti gentilmente se esiste un modo per verificare e correggere eventuali modifiche che potessero esser state apportate al registro (come ad esempio quell' EnableLUA cancellato detto poco sopra)...

Esistono inoltre altri passaggi da fare per "resettare" impostazioni varie toccate dal worm? Te lo chiedo perchè noto ancora una lentezza nell'apertura di determinate cose, come il Centro connessioni di rete e condivisione, o la cartella Giochi che mette una vita ad aprirsi, oppure ancora Firefox che mi chiede di essere impostato come browser definitivo nonostante lo sia già (e continua a chiedermelo ad ogni suo avvio).

Scusa se continuo a disturbarti e ne approfitto per ringraziarti del gran lavoro che hai svolto, e l'ottimo aiuto che mi hai dato

[juninho85]

per le modifiche al registro basta combofix

[wjmat]

Quote:

Originariamente inviato da poffarbacco

Ok, ho seguito i vari consigli post disinfezione.
Vorrei però chiederti gentilmente se esiste un modo per verificare e correggere eventuali modifiche che potessero esser state apportate al registro (come ad esempio quell' EnableLUA cancellato detto poco sopra)...

Esistono inoltre altri passaggi da fare per "resettare" impostazioni varie toccate dal worm? Te lo chiedo perchè noto ancora una lentezza nell'apertura di determinate cose, come il Centro connessioni di rete e condivisione, o la cartella Giochi che mette una vita ad aprirsi, oppure ancora Firefox che mi chiede di essere impostato come browser definitivo nonostante lo sia già (e continua a chiedermelo ad ogni suo avvio).

Scusa se continuo a disturbarti e ne approfitto per ringraziarti del gran lavoro che hai svolto, e l'ottimo aiuto che mi hai dato

carica il log classico di HiJackThis

[poffarbacco]

Quote:

Originariamente inviato da wjmat

carica il log classico di HiJackThis

Eccolo

[wjmat]

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.24\RivaTunerWrapper.exe" /S
O4 - HKLM\..\Run: [RTSS] "C:\Program Files\RivaTuner v2.24\Tools\RTSS\RTSSWrapper.exe" /s
O4 - HKLM\..\Run: [RivaTuner] "C:\Program Files\RivaTuner v2.24\RivaTunerWrapper.exe" /T
O23 - Service: Servizio di Google Update (gupdate1c9b24e7a5c19b3) (gupdate1c9b24e7a5c19b3) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe (file missing)

se le O23 permangono segui qui sotto

Fai start → Esegui → digita o copia/incolla in sequenza

Codice:

sc stop gupdate1c9b24e7a5c19b3 (invio)
sc delete gupdate1c9b24e7a5c19b3 (invio)
sc stop CRVS  (invio)
sc delete CRVS (invio)