Guida alla rimozione Conficker (Downup - Downadup - Kido)

[leosesc]

Salve,
ho fatto formattazione verso l'inizio di ago, poi sono andato in vacanza, sono tornato oggi e al momento di andare ad aggiornare windows mi sono trovato il sito inaccessibile.
Ho spippolato e ho trovato il problema. Cornfick o come diavolo si chiama quel troiaio da delinquenti.
Credo di averlo beccato facendo backup prima del format su una memori esterna (bestemmie in turco) anche perchè su questa macchina ci sono installati WinXpSP2 originale, una cartella di dati e i driver ufficili Nvidia...

Cmq..

Ho usato il Cleaner e anche gli altri programmi. Qui vi allego i log.
Aspetto fiducioso, grazie.

BDTOOLS REMOVE Downadup
Combofix
Gmer

Leonardo

[Chill-Out]

Quote:

Originariamente inviato da leosesc

Salve,
ho fatto formattazione verso l'inizio di ago, poi sono andato in vacanza, sono tornato oggi e al momento di andare ad aggiornare windows mi sono trovato il sito inaccessibile.
Ho spippolato e ho trovato il problema. Cornfick o come diavolo si chiama quel troiaio da delinquenti.
Credo di averlo beccato facendo backup prima del format su una memori esterna (bestemmie in turco) anche perchè su questa macchina ci sono installati WinXpSP2 originale, una cartella di dati e i driver ufficili Nvidia...

Cmq..

Ho usato il Cleaner e anche gli altri programmi. Qui vi allego i log.
Aspetto fiducioso, grazie.

BDTOOLS REMOVE Downadup
Combofix
Gmer

Leonardo

Ciao Leonardo, apri il Blocco note e copia ed incolla questa righe:

Quote:

Driver::
gxahailw

Netsvc::
gxahailw

File::
C:\WINDOWS\system32\ecurk.dll

Registry::
[-HKLM\SYSTEM\CurrentControlSet\Services\gxahailw]
[-HKLM\SYSTEM\ControlSet002\Services\gxahailw]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

[Morpheus411_1]

Salve ieri mattino inspiegabilmente ho trovato il pc bloccato con le simpatiche pagine blu, ad ogni avvio di sistema riavvii automatici e nessuna possibilità di accedere al sistema operativo, ho formattato nella fase di configurazione con tutti gli applicativi necessari ho notato che il sistema microsoft update è simili mi veniva inibito ho letto il vostro articolo e ho provveduto a fare la disinfezione da voi proposta in allegato i LOG dei risultati.....fatemi avere notizie al più presto GRAZIE

BdRemTools

combofix

Gmer

[xcdegasp]

Quote:

Originariamente inviato da Morpheus411_1

Salve ieri mattino inspiegabilmente ho trovato il pc bloccato con le simpatiche pagine blu, ad ogni avvio di sistema riavvii automatici e nessuna possibilità di accedere al sistema operativo, ho formattato nella fase di configurazione con tutti gli applicativi necessari ho notato che il sistema microsoft update è simili mi veniva inibito ho letto il vostro articolo e ho provveduto a fare la disinfezione da voi proposta in allegato i LOG dei risultati.....fatemi avere notizie al più presto GRAZIE

BdRemTools

combofix

Gmer

fai la scansione con a-squared

[Morpheus411_1]

Quote:

Originariamente inviato da xcdegasp

fai la scansione con a-squared

non riesco a fare il download dal collegamento!

[xcdegasp]

mi ero dimenticato di farti fare una cosa importante, rifai la scansione con gmer ti troverà un rootkit e in particolare questo:

Quote:

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] mpholpqe <-- ROOTKIT !!!

fai tasto destro sopra a quella riga rossa e clicka su "DELETE SERVICE", poi fai la scansione dei servizi attivi:
premi sul pulsante in alto ">>>" e poi su "services" quindi pubblica il log

Quote:

Originariamente inviato da Morpheus411_1

non riesco a fare il download dal collegamento!

cambia i dns con i seguenti server dns ( guida per winXP | guida per Vista | guida per router ):
208.67.222.222
208.67.220.220

e riprova

[markenforcer]

Ciao ragazzi,

ho appena fatto gli aggiornamenti su uno dei miei due computer e incluso c'era il malware removal tool di windows. Con mio dispiacere il tool mi dice che ha rimosso conficker.b. Conoscevo già questo virus e sono subito venuto qui sul forum per vedere cosa c'era. Ho fatto i primi due test, scansione competa di nuovo col malware tool, avira in corso e bdtool e tutti mi hanno detto che non sono più infetto.

L'unico sengo che conficker ha lasciato è stato il delete dei punti di ripristino. Secondo voi sono a posto? L'ho preso così in tempo che non aveva fatto troppi danni secondo voi?

Sono andato sul microsoft update e siti di sicurezza senza problemi.
Una domanda... perchè l'aggiornamento in questione che fixa il baco non viene scaricato in automatico dal win update? Su due pc l'ho dovuto prendere in manuale anche dopo aver fatto tutti gli update dal sito ms.

Grazie


ps:

Allego log del primo pc della rete, tra poco metto l'altro.

Win32.Worm.Downladup.Gen.log
ComboFix.txt
Gmer.txt

[xcdegasp]

Quote:

Originariamente inviato da markenforcer

Ciao ragazzi,

ho appena fatto gli aggiornamenti su uno dei miei due computer e incluso c'era il malware removal tool di windows. Con mio dispiacere il tool mi dice che ha rimosso conficker.b. Conoscevo già questo virus e sono subito venuto qui sul forum per vedere cosa c'era. Ho fatto i primi due test, scansione competa di nuovo col malware tool, avira in corso e bdtool e tutti mi hanno detto che non sono più infetto.

L'unico sengo che conficker ha lasciato è stato il delete dei punti di ripristino. Secondo voi sono a posto? L'ho preso così in tempo che non aveva fatto troppi danni secondo voi?

Sono andato sul microsoft update e siti di sicurezza senza problemi.
Una domanda... perchè l'aggiornamento in questione che fixa il baco non viene scaricato in automatico dal win update? Su due pc l'ho dovuto prendere in manuale anche dopo aver fatto tutti gli update dal sito ms.

Grazie


ps:

Allego log del primo pc della rete, tra poco metto l'altro.

Win32.Worm.Downladup.Gen.log
ComboFix.txt
Gmer.txt

imposta i dns di www.opendns.com e lascia questi dns impostati anche in futuro poi vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce
della java è uscita la 1.6.0_16 che secunia e www.java.com non segnalano, la trovi qui: https://cds.sun.com/is-bin/INTERSHOP...-CDS_Developer

[markenforcer]

A parte i programmi da aggiornare il conficker non c'è vero?
Dimmi che non c'è ti prego che l'ultima volta che ho avuto a che fare con questo virus ho formattato 20 pc

[markenforcer]

Ecco i log dell'altro pc

http://www.impulsefactory.com/test/l...nladup.Gen.log
www.impulsefactory.com/test/log/ComboFix.txt
www.impulsefactory.com/test/log/Gmer.txt

[xcdegasp]

Quote:

Originariamente inviato da markenforcer

A parte i programmi da aggiornare il conficker non c'è vero?
Dimmi che non c'è ti prego che l'ultima volta che ho avuto a che fare con questo virus ho formattato 20 pc

bhè prima aggiorna come ti ho detto poi vediamo se ha ancora sintomi
per il momento sembra non avere quei comportamenti ma se è entrato da qualche parte deve esser pur entrato e non è solo questione di una patch!

gmer non è accessibile

[Kujo82]

Allora

Quote:

Originariamente inviato da Chill-Out

1. ATF Cleaner - Download - Guida all'utilizzo
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Ok

Quote:

2. BDTOOLS REMOVE Downadup - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Doppio click su bd_rem_tool.zip estraete tutti i files (importante) verrà creata una cartella denominata bd_rem_tool contenente bd_rem_tool_console.exe e bd_rem_tool_gui.exe

Doppio click su bd_rem_tool_gui.exe all'Avviso di protezione di Windows cliccate su Esegui e successivamente su Start per lanciare la scansione, attendete pazientemente in quanto la scansione può durare anche più di 15 minuti, al termine della stessa vi verrà chiesto di riavviare (restart) il PC, acconsentite cliccando su Yes

Fatto.
Mi trova tutto pulito e non mi chiede di riavviare (sono sicuro di avere il virus perchè ho fatto il test e non vedo le img a destra e sinistra in alto, quindi dovrei avere una variante).
Il file quindi è di poche righe ve lo copio:

Codice:

Ok Loading BitDefender Engines
State 0
Sleeping 3 seconds...
Found so far : 0x0 files/regs
Searching for Downadup file .... 
   - System folder 
tkown -> C:\WINDOWS\system32\phbxpdm.dll
   - Temporary folder 
   - Program Files 
   - Application Data 
Found so far : 0x0 files/regs
No Traces of Downadup Worm were found

Quote:

3. ComboFix - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

Fatto ma non sono riuscito a chiudere Avira.
Ho cliccato su "disattiva" e l'ombrellino nell'icona da aperto è diventato chiuso.
Ma ComboFix mi ha detto che lo rilevava ancora attivo e continuava a mio rischio e pericolo :/
Come diamine si chiude?
Le uniche opzioni nel menù della trayicon sono avvia, configura, aggiorna...

Cmq, ecco il log: http://wikisend.com/download/602788/ComboFix.txt

Quote:

4. Gmer - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle

Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

Ok:
http://wikisend.com/download/504696/gmer.txt
Mi ha dato un warning.

Quote:

IMPORTANTE: a questo punto allegate i log nella sequenza indicata

BDTOOLS REMOVE Downadup
ComboFix
Gmer

ed attendete una risposta da chi presta assistenza

Ok allora attendo...

[Chill-Out]

Quote:

Originariamente inviato da Kujo82

Allora


Ok




Fatto.
Mi trova tutto pulito e non mi chiede di riavviare (sono sicuro di avere il virus perchè ho fatto il test e non vedo le img a destra e sinistra in alto, quindi dovrei avere una variante).
Il file quindi è di poche righe ve lo copio:

Codice:

Ok Loading BitDefender Engines
State 0
Sleeping 3 seconds...
Found so far : 0x0 files/regs
Searching for Downadup file .... 
   - System folder 
tkown -> C:\WINDOWS\system32\phbxpdm.dll
   - Temporary folder 
   - Program Files 
   - Application Data 
Found so far : 0x0 files/regs
No Traces of Downadup Worm were found

Fatto ma non sono riuscito a chiudere Avira.
Ho cliccato su "disattiva" e l'ombrellino nell'icona da aperto è diventato chiuso.
Ma ComboFix mi ha detto che lo rilevava ancora attivo e continuava a mio rischio e pericolo :/
Come diamine si chiude?
Le uniche opzioni nel menù della trayicon sono avvia, configura, aggiorna...

Cmq, ecco il log: http://wikisend.com/download/602788/ComboFix.txt





Ok:
http://wikisend.com/download/504696/gmer.txt
Mi ha dato un warning.







Ok allora attendo...

Apri il Blocco note e copia ed incolla questa righe:

Quote:

Driver::
mmztsb

Netsvc::
mmztsb

File::
c:\windows\system32\phbxpdm.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mmztsb]
[-HKLM\SYSTEM\CurrentControlSet\Services\mmztsb]
[-HKLM\SYSTEM\ControlSet002\Services\mmztsb]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

NB: Tasto dx del mouse sull'icona di Avira vicino all'orologio e disabiliti il Guard

[Kujo82]

Quote:

Originariamente inviato da Chill-Out

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

Ok fatto (anche se non ho ben capito cosa veramente, mi dai una dritta veloce così per curiosità?), lo posto e nel frattempo scarico e scansiono con a-squared.
http://wikisend.com/download/494958/ComboFix.txt

Quote:

NB: Tasto dx del mouse sull'icona di Avira vicino all'orologio e disabiliti il Guard

Si boh l'avevo fatto anche prima così, stavolta non mi ha detto nulla.



P.S.: Ovviamente grazie mille per l'aiuto!

[Kujo82]

Ecco l'altro:
pare ci siano solo cookie traccianti
http://wikisend.com/download/439320/a2scan.txt

[Chill-Out]

Quote:

Originariamente inviato da Kujo82

Ok fatto (anche se non ho ben capito cosa veramente, mi dai una dritta veloce così per curiosità?), lo posto e nel frattempo scarico e scansiono con a-squared.
http://wikisend.com/download/494958/ComboFix.txt





Si boh l'avevo fatto anche prima così, stavolta non mi ha detto nulla.



P.S.: Ovviamente grazie mille per l'aiuto!

Adesso non ho ben capito io

Quote:

Originariamente inviato da Kujo82

Ecco l'altro:
pare ci siano solo cookie traccianti
http://wikisend.com/download/439320/a2scan.txt

Siamo ok porta a termine la Guida.

[Daigoro87]

Qui sono i miei log....Comunque ho avuto qualche problema con combofix.Durante il riavvio mi ha dato qualche errore ed io ho cliccato su ok sugli errori per completare il riavvio.Dopo il riavvio il pc era inutilizzabile e ho dovuto riavviare di nuovo il pc che fortunatamente rifunzionava.Poi ho completato la procedura con gmer.

http://www.mediafire.com/?sharekey=1...4e75f6e8ebb871

[xcdegasp]

Quote:

Originariamente inviato da Daigoro87

Qui sono i miei log....Comunque ho avuto qualche problema con combofix.Durante il riavvio mi ha dato qualche errore ed io ho cliccato su ok sugli errori per completare il riavvio.Dopo il riavvio il pc era inutilizzabile e ho dovuto riavviare di nuovo il pc che fortunatamente rifunzionava.Poi ho completato la procedura con gmer.

http://www.mediafire.com/?sharekey=1...4e75f6e8ebb871

bitdefender non ha trovato nulla mentre combofix ha eliminato:

Codice:

c:\$recycle.bin\S-1-5-21-2710247158-2569556473-2265336476-500
c:\windows\Installer\20a4d.msi
c:\windows\struct~.ini

e 2 servizi, mentre gmer ha trovato un rootkit:

Codice:

Service         C:\Windows\system32\svchost.exe (*** hidden *** )                                                   [AUTO] paefno                                                                                                                                                         <-- ROOTKIT !!!

quindi rifai la scansione e clickando sopra questa voce scegli "delete service" poi riavvia il pc

[Chill-Out]

Apri il Blocco note e copia ed incolla questa righe:

Quote:

Driver::
paefno

Netsvc::
paefno

File::
c:\windows\system32\imfrw.dll

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\paefno]
[-HKLM\SYSTEM\CurrentControlSet\Services\paefno]
[-HKLM\SYSTEM\ControlSet014\Services\paefno]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Edit: ops....ci siamo sovrapposti

@daigoro87

puoi seguire i suggerimenti in sequenza

[Daigoro87]

Quote:

Originariamente inviato da xcdegasp

gmer ha trovato un rootkit:

Codice:

Service         C:\Windows\system32\svchost.exe (*** hidden *** )                                                   [AUTO] paefno                                                                                                                                                         <-- ROOTKIT !!!

quindi rifai la scansione e clickando sopra questa voce scegli "delete service" poi riavvia il pc

Ho cancellato il servizio e dopo aver riavviato il pc non riparet più!!!L'impressione è che sia riavviato e sia alla schermata del desktop ma non si vede nulla!!Adesso che faccio??