Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
A distanza di circa 8 mesi arriva l’importante aggiornamento dei MacBook Air: nessun cambiamento estetico, ma una revisione hardware interna con l’upgrade al processore M3. Le prestazioni migliorano rispetto alle generazioni precedenti, e questo fa sorgere una domanda spontanea: a chi è rivolto oggi questo laptop? Cerchiamo di capirlo nella nostra recensione 
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 18-05-2009, 11:43   #1
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Guida alla rimozione Conficker (Downup - Downadup - Kido)

Guida alla rimozione Conficker (Downup - Downadup - Kido)

Powered by: Hardware Upgrade Forum - Sezione Antivirus e Sicurezza


"Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5"



■ Cos'è il worm Conficker

Conficker, conosciuto anche come Downup, Downadup e Kido è un worm scoperto nell'ottobre 2008 e si diffonde sulle piattaforme Microsoft Windows 2000, XP, Vista e Server 2003/2008. Il Worm è in grado di sfruttare una grave vulnerabilità di sicurezza, corretta dalla stessa Microsoft in data 23 Ottobre 2008 con la pubblicazione del bollettino straordinario MS08-67.

Le finalità del Conficker non sono estremamente chiare, attualmente il worm dopo aver infettato milioni di computer nel mondo verrà molto probabilmente utilizzato per creare una botnet per inviare spam, rubare informazioni personali e redirigeri gli utenti su siti di pishing e truffe online.

Il worm si diffonde principalmente sulle reti, individuato un PC vulnerabile si installa in modo silente, elimina i punti di ripristino precedenti, disattiva alcuni servizi di protezione, inibisce l'accesso ai siti Web sulla sicurezza, come i siti dei maggiori produttori di software antivirus, apre il sistema infetto per consentire la ricezione di altro codice malevolo, copia se stesso nelle cartelle condivise di rete e sui supporti removibili USB.

In funzione di quanto sopra esposto gli utenti a rischio sono quelli che hanno disabilitato gli aggiornamenti automatici ma soprattutto coloro che non utilizzano una copia orignale di Windows in quanto impossibilitati a ricevere gli aggiornamenti e le patch di Microsoft.

■ Sono infetto?

Se siete impossibilitati a fare gli aggiornamenti di Windows e non riuscite a raggiungere i siti Web sulla sicurezza, è probabile che Conficker abbia fatto breccia sul vostro PC. Per determinare la presenza del Worm è sufficiente cliccare sui seguenti link, l'interpretazione dei risultati è estremamente intuitiva.

Test 1

Test 2


■ Guida alla rimozione
  • Al fine di mantenere il Thread ordinato e fruibile, hostate i log solo ed esclusivamente in formato .txt sui Server remoti indicati nelle REGOLE DI SEZIONE pubblicando per ogni singolo log il link che verrà rilasciato per il download

  • E' opportuno leggere attentamente tutta la Guida prima di intraprendere la procedura di rimozione

  • Per la rimozione del Conficker è fondamentale scollegare il PC dalla rete LAN (WI-FI-ADSL-HSDPA/UMTS) e mantenerlo scollegato, per cui si rende necessario scaricare a priori tutti i tools dedicati alla rimozione


● Rilevazione e rimozione


1. ATF Cleaner - Download - Guida all'utilizzo
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione


2. BDTOOLS REMOVE Downadup - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Doppio click su bd_rem_tool.zip estraete tutti i files (importante) verrà creata una cartella denominata bd_rem_tool contenente bd_rem_tool_console.exe e bd_rem_tool_gui.exe

Doppio click su bd_rem_tool_gui.exe all'Avviso di protezione di Windows cliccate su Esegui e successivamente su Start per lanciare la scansione, attendete pazientemente in quanto la scansione può durare anche più di 15 minuti, al termine della stessa vi verrà chiesto di riavviare (restart) il PC, acconsentite cliccando su Yes

Il file di log da allegare per il controlo si trova in C:\Win32.Worm.Downladup.Gen.log


3. ComboFix - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt


4. Gmer - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle

Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

IMPORTANTE: a questo punto allegate i log nella sequenza indicata

BDTOOLS REMOVE Downadup
ComboFix
Gmer


ed attendete una risposta da chi presta assistenza


● Scansione di controllo


1. Emsisoft Anti-Malware 5.0 - Download - Guida all'utilizzo
Compatibile: Windows XP - Vista - Seven

Doppio click su a2AntiMalwareSetup.exe per lanciare l'installazione, seguite le istruzioni a video, al termine dell'installazione vi verrà chiesto di eseguire l'update terminato il quale bisognerà riavviare per rendere effettive le modifiche apportate
Cliccare su Scansiona PC - Completa - Scansiona

Terminata la scansione cliccare su Metti in quarantena gli oggetti selezionati, successivamente su Salva rapporto per salvare il log in formato .txt da allegare per il controllo


● Trattamento post infezione


1. Installare la Patch MS08-67


2. La presente Guida vi aiuterà a verificare la configurazione di sicurezza del PC, aggiornare programmi obsoleti e vulnerabili ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.
__________________
Try again and you will be luckier.

Ultima modifica di Chill-Out : 26-09-2010 alle 21:39.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2009, 11:59   #2
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
ottima come sempre
ci voleva!
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2009, 14:33   #3
bozzato
Senior Member
 
L'Avatar di bozzato
 
Iscritto dal: Feb 2009
Messaggi: 481
L'ho preso oggi...
inserendo sul pc la chiavetta di una ma compagna, avast mi ha avvertito di 2 files infetti da conficker...

ho scansionato completamente con mbam e prevx.....posso ritenermi infetto?

Ultima modifica di bozzato : 18-05-2009 alle 15:40.
bozzato è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2009, 15:49   #4
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
Quote:
Originariamente inviato da bozzato Guarda i messaggi
L'ho preso oggi...
inserendo sul pc la chiavetta di una ma compagna, avast mi ha avvertito di 2 files infetti da conficker...

ho scansionato completamente con mbam e prevx.....posso ritenermi infetto?
nella guida ci sono indicati i 2 test da fare
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 18-05-2009, 16:05   #5
bozzato
Senior Member
 
L'Avatar di bozzato
 
Iscritto dal: Feb 2009
Messaggi: 481
la ho già fatti...risultano positivi al non-conficker!

comunque mercoledì devo rifarmi dare la chiavetta, inserirla nel pc di scuola ( ) e da lì la disinfetto, eliminando la cartella recycler...o qualcosa del genere
bozzato è offline   Rispondi citando il messaggio o parte di esso
Old 07-06-2009, 14:10   #6
Wallè
Member
 
Iscritto dal: Jun 2007
Messaggi: 88
Ciao a tt...ho eseguito la guida per la rimozione del Conficker fino al punto in cui devo inviare i log...I test effettuati dicono che sono infetto da:

Possibly Infected by Conficker A/B variant
Status: System is possibly infected with Conficker.B
clean Status: There are no signs for an infection.

detto ciò ecco a voi i log:

BDTOOLS REMOVE Downadup

ComboFix

Gmer
Wallè è offline   Rispondi citando il messaggio o parte di esso
Old 07-06-2009, 15:00   #7
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
Quote:
Originariamente inviato da Wallè Guarda i messaggi
Ciao a tt...ho eseguito la guida per la rimozione del Conficker fino al punto in cui devo inviare i log...I test effettuati dicono che sono infetto da:

Possibly Infected by Conficker A/B variant
Status: System is possibly infected with Conficker.B
clean Status: There are no signs for an infection.

detto ciò ecco a voi i log:

BDTOOLS REMOVE Downadup

ComboFix

Gmer
  • Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
  • Apri il Blocco Note e incolla tutto il codice qui sotto
Quote:
Driver::
xwkwp

Netsvc::
xwkwp
  • Salva il file sul Desktop come CFScript.txt
  • Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
  • al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 07-06-2009, 17:05   #8
Wallè
Member
 
Iscritto dal: Jun 2007
Messaggi: 88
Quote:
Originariamente inviato da wjmat Guarda i messaggi
  • Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
  • Apri il Blocco Note e incolla tutto il codice qui sotto

  • Salva il file sul Desktop come CFScript.txt
  • Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
  • al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt
ecco il log di ComboFix
Wallè è offline   Rispondi citando il messaggio o parte di esso
Old 07-06-2009, 20:22   #9
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da Wallè Guarda i messaggi
ecco il log di ComboFix
Procedi con la Scansione di controllo
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 07-06-2009, 22:12   #10
Lictor
Senior Member
 
Iscritto dal: Jun 2008
Messaggi: 457
it's out of date

Ultima modifica di Lictor : 07-06-2009 alle 22:24.
Lictor è offline   Rispondi citando il messaggio o parte di esso
Old 07-06-2009, 22:22   #11
Lictor
Senior Member
 
Iscritto dal: Jun 2008
Messaggi: 457
eccomi qua... i testi mi dicono variante b

posto alcuni log:

trend micro: <http://www.hwupgrade.it/forum/showpost.php?p=27757229&postcount=2>

tlist.exe:<http://img197.imageshack.us/i/tlistdotexe.jpg/>

bitdefender tools:<http://wikisend.com/download/758954/Win32.Worm.Downladup.Gen.log>

combofix non funzia... chiudendo ogni task non basico, avvviando l'exe compare un messaggio di errore generico e scompare l'exe... trovo un log che mi pare di esso in root:<http://wikisend.com/download/523360/Bug.txt>

GMER's log:<http://wikisend.com/download/523914/gmer.txt>

vedo che vi è un po' di lavoro... spero in bene
Lictor è offline   Rispondi citando il messaggio o parte di esso
Old 07-06-2009, 23:18   #12
Wallè
Member
 
Iscritto dal: Jun 2007
Messaggi: 88
ecco il log di a-squared
Wallè è offline   Rispondi citando il messaggio o parte di esso
Old 07-06-2009, 23:22   #13
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da Wallè Guarda i messaggi
ecco il log di a-squared
Dovremmo essere ok, procedi come indicato in Guida
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 08-06-2009, 16:37   #14
Lictor
Senior Member
 
Iscritto dal: Jun 2008
Messaggi: 457
scusa... ma se passo ad asquare sono ok? è lui stesso che si occupa della rimozione?
Lictor è offline   Rispondi citando il messaggio o parte di esso
Old 08-06-2009, 16:42   #15
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da Lictor Guarda i messaggi
scusa... ma se passo ad asquare sono ok? è lui stesso che si occupa della rimozione?
Il tuo problema non sembra Kido, segui il suggerimento dato qui http://www.hwupgrade.it/forum/showthread.php?t=1995686
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 08-06-2009, 17:43   #16
Lictor
Senior Member
 
Iscritto dal: Jun 2008
Messaggi: 457
sorry. .mi soono lasciato ingannare dai tests...
ho la iso...fatta arrivare da una amica sotto forma di file via msn.. ora masterizo.. entro dopodomani avrò il log....a dire il vero temo che le infezioni siano diverse... vaya con dios

Ultima modifica di Lictor : 09-06-2009 alle 19:12.
Lictor è offline   Rispondi citando il messaggio o parte di esso
Old 09-06-2009, 19:16   #17
Lictor
Senior Member
 
Iscritto dal: Jun 2008
Messaggi: 457
continuo con l'invasione, dato che stupidamente ho fatto chiudere il mio topic.... ho eseguito la scansione con kasp..ecco il log <http://wikisend.com/download/797370/kasplog.txt>
altri aggiornamenti.... svchost.exe, i driver del mouse trust e alwais-on-top sono stati corrotti anch'essi dall'infezione... al pari dell'antivir
Lictor è offline   Rispondi citando il messaggio o parte di esso
Old 10-06-2009, 08:38   #18
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
Quote:
Originariamente inviato da Lictor Guarda i messaggi
continuo con l'invasione, dato che stupidamente ho fatto chiudere il mio topic.... ho eseguito la scansione con kasp..ecco il log <http://wikisend.com/download/797370/kasplog.txt>
altri aggiornamenti.... svchost.exe, i driver del mouse trust e alwais-on-top sono stati corrotti anch'essi dall'infezione... al pari dell'antivir
se l'infezione è mista e c'è di mezzo anche conficker posta qui i log richiesti per la sua rimozione, poi eventualemente ci si sposta nell'altro 3d che hai aperto per le restanti operazioni
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 10-06-2009, 08:54   #19
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Il 3D è aperto http://www.hwupgrade.it/forum/showthread.php?t=1995686 e non si tratta di Conficker

Vedi Post #15
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 11-06-2009, 18:28   #20
mmilia
Junior Member
 
Iscritto dal: Jan 2009
Messaggi: 3
Miei riscontri su Conficker

Molto umilmente , vorrei sottoporvi le mie esperienze lavorative su kido/conficker e come l'ho rimosso.

Test/Trial on the field su pc della mia amministrazione con vari prodotti commerciali:

1) F-secure Client Security/Server Ed. versione enterprise:
a) release 7.x nonostante lo rilevi non lo blocca e infetta
b) release 8.x lo rileva , il controllo sistema lo blocca , ma non viene eliminato dai supporti infetti.
Questo su tutte le versioni di windows sia client che server.

2) Nod32 release 3.0xx
lo rileva , lo pone in quarantena , ma al riavvio persiste e non lo elimina

3) Norman antivirus ( ultima release , è stato gia disinstallato)
Lo rileva , lo blocca e lo elimina dai supporti NON dal sistema se è infetto, anzi peggio va in crash e la disinstallazione è un incubo.

4) Avira rescue system cd su kernel linux
Presumendo che l'utente sia in grado di modificare il boot order e configurare il software avira , lo rinomina e lo rende inoffensivo

5) Drweb livecd ,
Presumendo che l'utente sia in grado di modificare il boot order e configurare il software avira , lo elimina.
Per me è complementare a Avira rescue system perchè trova ed elimina il rinominato più qualcos'altro che possa sfuggire

6) AVG/Avast le solite versioni gratuite
Nessun risultato apprezzabile, a seconda del livello di compromissione del pc i guai peggiorano sino al blue screeen

In sintesi ho risolto con il tool di kaspersky denominato kidokiller (kk.exe) che lanciato da shell dos in modalità sia normale che provvisoria con questi switch:
kk.exe -t -a -x -v -r -f
Mi ha ripulito nella quasi totalità dei casi notebook e desktop infetti e relative chiavette.
Se uno vuole ripulire solo le chiavette USB:
KK.exe -t -a -v -r

Nella speranza di essere stato utile , faccio i comlimenti per questo forum e più specificatamente per questa sezione , per me inestimabile.
mmilia è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Apple MacBook Air M3: chi deve davvero comprarlo? La recensione Apple MacBook Air M3: chi deve davvero comprarlo...
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
TOP! Display gaming 27" 2560x1440 p...
FuryGPU: un appassionato ha creato da ze...
Regno Unito, rischio apocalisse IA: mili...
Creato un transistor che può esse...
RocketStar FireStar Drive: un propulsore...
Roscosmos: il lancio del razzo spaziale ...
Italia strategica per Oracle. Arriva la ...
Sam-Bankman Fried: 25 anni di reclusione...
Mobility Analytics di WINDTRE Business p...
Il lander lunare JAXA SLIM si è r...
Warframe conquista l'iPhone: senza soluz...
Marvel Rivals!, l'inaspettato shooter Pv...
Twitch aggiorna le linee guida sui conte...
Galaxy M55 ufficiale: la nuova fascia me...
Google corregge sette vulnerabilit&agrav...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 08:42.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www2v