|
|
|
|
Strumenti |
18-05-2009, 11:43 | #1 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Guida alla rimozione Conficker (Downup - Downadup - Kido)
Guida alla rimozione Conficker (Downup - Downadup - Kido) Powered by: Hardware Upgrade Forum - Sezione Antivirus e Sicurezza "Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5" ■ Cos'è il worm Conficker Conficker, conosciuto anche come Downup, Downadup e Kido è un worm scoperto nell'ottobre 2008 e si diffonde sulle piattaforme Microsoft Windows 2000, XP, Vista e Server 2003/2008. Il Worm è in grado di sfruttare una grave vulnerabilità di sicurezza, corretta dalla stessa Microsoft in data 23 Ottobre 2008 con la pubblicazione del bollettino straordinario MS08-67. Le finalità del Conficker non sono estremamente chiare, attualmente il worm dopo aver infettato milioni di computer nel mondo verrà molto probabilmente utilizzato per creare una botnet per inviare spam, rubare informazioni personali e redirigeri gli utenti su siti di pishing e truffe online. Il worm si diffonde principalmente sulle reti, individuato un PC vulnerabile si installa in modo silente, elimina i punti di ripristino precedenti, disattiva alcuni servizi di protezione, inibisce l'accesso ai siti Web sulla sicurezza, come i siti dei maggiori produttori di software antivirus, apre il sistema infetto per consentire la ricezione di altro codice malevolo, copia se stesso nelle cartelle condivise di rete e sui supporti removibili USB. In funzione di quanto sopra esposto gli utenti a rischio sono quelli che hanno disabilitato gli aggiornamenti automatici ma soprattutto coloro che non utilizzano una copia orignale di Windows in quanto impossibilitati a ricevere gli aggiornamenti e le patch di Microsoft. ■ Sono infetto? Se siete impossibilitati a fare gli aggiornamenti di Windows e non riuscite a raggiungere i siti Web sulla sicurezza, è probabile che Conficker abbia fatto breccia sul vostro PC. Per determinare la presenza del Worm è sufficiente cliccare sui seguenti link, l'interpretazione dei risultati è estremamente intuitiva. Test 1 Test 2 ■ Guida alla rimozione
● Rilevazione e rimozione 1. ATF Cleaner - Download - Guida all'utilizzo Compatibile: Windows XP - Vista Caratteristiche: non necessita di installazione 2. BDTOOLS REMOVE Downadup - Download Compatibile: Windows XP - Vista Caratteristiche: non necessita di installazione Doppio click su bd_rem_tool.zip estraete tutti i files (importante) verrà creata una cartella denominata bd_rem_tool contenente bd_rem_tool_console.exe e bd_rem_tool_gui.exe Doppio click su bd_rem_tool_gui.exe all'Avviso di protezione di Windows cliccate su Esegui e successivamente su Start per lanciare la scansione, attendete pazientemente in quanto la scansione può durare anche più di 15 minuti, al termine della stessa vi verrà chiesto di riavviare (restart) il PC, acconsentite cliccando su Yes Il file di log da allegare per il controlo si trova in C:\Win32.Worm.Downladup.Gen.log 3. ComboFix - Download Compatibile: Windows XP - Vista Caratteristiche: non necessita di installazione NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt 4. Gmer - Download Compatibile: Windows XP - Vista Caratteristiche: non necessita di installazione Scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log IMPORTANTE: a questo punto allegate i log nella sequenza indicata BDTOOLS REMOVE Downadup ComboFix Gmer ed attendete una risposta da chi presta assistenza ● Scansione di controllo 1. Emsisoft Anti-Malware 5.0 - Download - Guida all'utilizzo Compatibile: Windows XP - Vista - Seven Doppio click su a2AntiMalwareSetup.exe per lanciare l'installazione, seguite le istruzioni a video, al termine dell'installazione vi verrà chiesto di eseguire l'update terminato il quale bisognerà riavviare per rendere effettive le modifiche apportate Cliccare su Scansiona PC - Completa - Scansiona Terminata la scansione cliccare su Metti in quarantena gli oggetti selezionati, successivamente su Salva rapporto per salvare il log in formato .txt da allegare per il controllo ● Trattamento post infezione 1. Installare la Patch MS08-67 2. La presente Guida vi aiuterà a verificare la configurazione di sicurezza del PC, aggiornare programmi obsoleti e vulnerabili ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 26-09-2010 alle 21:39. |
18-05-2009, 11:59 | #2 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
ottima come sempre
ci voleva!
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
18-05-2009, 14:33 | #3 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 481
|
L'ho preso oggi...
inserendo sul pc la chiavetta di una ma compagna, avast mi ha avvertito di 2 files infetti da conficker... ho scansionato completamente con mbam e prevx.....posso ritenermi infetto?
__________________
Ultima modifica di bozzato : 18-05-2009 alle 15:40. |
18-05-2009, 15:49 | #4 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
nella guida ci sono indicati i 2 test da fare
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
18-05-2009, 16:05 | #5 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 481
|
la ho già fatti...risultano positivi al non-conficker!
comunque mercoledì devo rifarmi dare la chiavetta, inserirla nel pc di scuola ( ) e da lì la disinfetto, eliminando la cartella recycler...o qualcosa del genere
__________________
|
07-06-2009, 14:10 | #6 |
Member
Iscritto dal: Jun 2007
Messaggi: 88
|
Ciao a tt...ho eseguito la guida per la rimozione del Conficker fino al punto in cui devo inviare i log...I test effettuati dicono che sono infetto da:
Possibly Infected by Conficker A/B variant Status: System is possibly infected with Conficker.B clean Status: There are no signs for an infection. detto ciò ecco a voi i log: BDTOOLS REMOVE Downadup ComboFix Gmer |
07-06-2009, 15:00 | #7 | ||
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Quote:
Quote:
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
||
07-06-2009, 17:05 | #8 | |
Member
Iscritto dal: Jun 2007
Messaggi: 88
|
Quote:
|
|
07-06-2009, 22:12 | #10 |
Senior Member
Iscritto dal: Jun 2008
Messaggi: 457
|
it's out of date
Ultima modifica di Lictor : 07-06-2009 alle 22:24. |
07-06-2009, 22:22 | #11 |
Senior Member
Iscritto dal: Jun 2008
Messaggi: 457
|
eccomi qua... i testi mi dicono variante b
posto alcuni log: trend micro: <http://www.hwupgrade.it/forum/showpost.php?p=27757229&postcount=2> tlist.exe:<http://img197.imageshack.us/i/tlistdotexe.jpg/> bitdefender tools:<http://wikisend.com/download/758954/Win32.Worm.Downladup.Gen.log> combofix non funzia... chiudendo ogni task non basico, avvviando l'exe compare un messaggio di errore generico e scompare l'exe... trovo un log che mi pare di esso in root:<http://wikisend.com/download/523360/Bug.txt> GMER's log:<http://wikisend.com/download/523914/gmer.txt> vedo che vi è un po' di lavoro... spero in bene |
08-06-2009, 16:37 | #14 |
Senior Member
Iscritto dal: Jun 2008
Messaggi: 457
|
scusa... ma se passo ad asquare sono ok? è lui stesso che si occupa della rimozione?
|
08-06-2009, 16:42 | #15 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
08-06-2009, 17:43 | #16 |
Senior Member
Iscritto dal: Jun 2008
Messaggi: 457
|
sorry. .mi soono lasciato ingannare dai tests...
ho la iso...fatta arrivare da una amica sotto forma di file via msn.. ora masterizo.. entro dopodomani avrò il log....a dire il vero temo che le infezioni siano diverse... vaya con dios Ultima modifica di Lictor : 09-06-2009 alle 19:12. |
09-06-2009, 19:16 | #17 |
Senior Member
Iscritto dal: Jun 2008
Messaggi: 457
|
continuo con l'invasione, dato che stupidamente ho fatto chiudere il mio topic.... ho eseguito la scansione con kasp..ecco il log <http://wikisend.com/download/797370/kasplog.txt>
altri aggiornamenti.... svchost.exe, i driver del mouse trust e alwais-on-top sono stati corrotti anch'essi dall'infezione... al pari dell'antivir |
10-06-2009, 08:38 | #18 | |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Quote:
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
|
10-06-2009, 08:54 | #19 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Il 3D è aperto http://www.hwupgrade.it/forum/showthread.php?t=1995686 e non si tratta di Conficker
Vedi Post #15
__________________
Try again and you will be luckier.
|
11-06-2009, 18:28 | #20 |
Junior Member
Iscritto dal: Jan 2009
Messaggi: 3
|
Miei riscontri su Conficker
Molto umilmente , vorrei sottoporvi le mie esperienze lavorative su kido/conficker e come l'ho rimosso.
Test/Trial on the field su pc della mia amministrazione con vari prodotti commerciali: 1) F-secure Client Security/Server Ed. versione enterprise: a) release 7.x nonostante lo rilevi non lo blocca e infetta b) release 8.x lo rileva , il controllo sistema lo blocca , ma non viene eliminato dai supporti infetti. Questo su tutte le versioni di windows sia client che server. 2) Nod32 release 3.0xx lo rileva , lo pone in quarantena , ma al riavvio persiste e non lo elimina 3) Norman antivirus ( ultima release , è stato gia disinstallato) Lo rileva , lo blocca e lo elimina dai supporti NON dal sistema se è infetto, anzi peggio va in crash e la disinstallazione è un incubo. 4) Avira rescue system cd su kernel linux Presumendo che l'utente sia in grado di modificare il boot order e configurare il software avira , lo rinomina e lo rende inoffensivo 5) Drweb livecd , Presumendo che l'utente sia in grado di modificare il boot order e configurare il software avira , lo elimina. Per me è complementare a Avira rescue system perchè trova ed elimina il rinominato più qualcos'altro che possa sfuggire 6) AVG/Avast le solite versioni gratuite Nessun risultato apprezzabile, a seconda del livello di compromissione del pc i guai peggiorano sino al blue screeen In sintesi ho risolto con il tool di kaspersky denominato kidokiller (kk.exe) che lanciato da shell dos in modalità sia normale che provvisoria con questi switch: kk.exe -t -a -x -v -r -f Mi ha ripulito nella quasi totalità dei casi notebook e desktop infetti e relative chiavette. Se uno vuole ripulire solo le chiavette USB: KK.exe -t -a -v -r Nella speranza di essere stato utile , faccio i comlimenti per questo forum e più specificatamente per questa sezione , per me inestimabile. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 08:42.