+ Rispondi al Thread
Visualizzazione dei risultati da 1 a 6 su 6

Discussione: Rimozione Worm "Conficker"

  1. #1
    mp4_20 non è in linea Novello
    Post
    18

    Rimozione Worm "Conficker"

    sono DISPERATO........aiutooooooooo

    una medaglia d'oro a chi mi aiutera' (credo che sia difficile)
    cerco di essere chiaro;
    ho formattato in 3 gg 20 volte il computer , e installando windows con vari cd di xp (perche credevo che il problema era il cd) ma niente;
    mi spiego;
    il mio pc sta in rete ed e' integrato da due hard disk (c: dove metto il sistema operativo e d: di supporto per i dati)
    ma capita una cosa stranissima, nel senso
    1) ho formattato ed ho disinstallato l'altro hard disk (unita d)
    2) ho formattato e' ho disinstallato la rete, scollegavo il cavo ethernet
    3) fo formattato e' ho inserito windows con vari cd
    ma, provando tutte queste strade, mi capita sempre lo stesso errore
    appena accendo il computer in qualsiasi delle condizioni sopra poste, ho gia un virus nel pc, e se l'ho vado a rimuoverlo con tools adatti , all'accendimento del pc, non appaiono le icone con un problema del usernit, e devo fare tutto daccapo
    il virus in questione e' il confikler, che non mi permetta di andare sui siti della windows ed in qualsiasi sito dei produttori di antivirus;
    Non c'e' la faccio piu; che devo fare;

    i tools che uso sono.: 1) Kill_Kido_ConfigkerDo ---- 2) cfremover

  2. #2
    L'avatar di TheTruster
    TheTruster non è in linea Moderatore Globale Ultimo blog: Mouse Wheel in Visual Basic 6 - ActiveX
    Luogo
    Messina - Italy
    Post
    7,179
    Blogs
    3
    Il titolo non è conforme al regolamento, per cui questa volta lo cambio io... la prossima volta cerca di adoperarne uno che sia descrittivo del problema che intendi trattare.
    La sezione, inoltre, è sbagliata ed avresti dovuto postare in Sicurezza e Networking, quindi sposto io il thread, pregandoti di inserire la tua prossima discussione nella sezione appropriata.

    Riguardo il tuo problema, prova uno di questi due tools:

    Eliminare il worm Conficker

    TheTruster
    Il Crossposting è vietato dalla Netiquette!




  3. #3
    L'avatar di bottomap
    bottomap non è in linea Moderatore Globale
    Post
    4,130
    Ciao,

    Se effettivamente si tratta di conficker, innanzitutto lavora assolutamente scollegato dalla rete, specialmente se in lan ci sono altre macchine (che dovrebbero essere altrettanto infette).

    Quindi una formattazione da cd di installazione di tutte le unità (elimina e ricrea anche le partizioni per sicurezza) non può riportare in funzione il conficker, a meno che la macchina non sia in rete o che il cd di installazione non sia in qualche modo compromesso.
    Dire quindi di procedere con quest sequenza:
    1) Stacca tutto dalla rete e procurati cd di installazione di tutto quello che ti serve (inutile dire che se i cd di installazione non sono originali non è da escludere che il virus sia proprio li - parli di "diversi" cd di windows... ne hai più di uno?).
    2) Procedi all'installazione del sistema operativo da cd, formattando tutte le unità e creando le partizioni primarie (elimina quelle che esistono).

    Con il sistema di base e staccato dalla lan, verifica attentamente se noti tracce di infezione. Il conficker crea una serie di file nascosti in windows32 con nome pseudocasuale (generato in base al nome della macchina - finché il nome macchina non cambia il file avrà sempre lo stesso nome).
    Puoi verificare l'esistenza di questi file caprendo una console dos e digitando:
    codice:
    cd c:\windows\system32
    dir /ah
    Normalmente dovresi avere una serie di file .manifest un desktop.ini e poca altra roba.

    Ricorda inoltre di aggiornare, se eventualmente parliamo di xp, all'SP3. Il Conficker/Kido sfrutta una falla su rpc che è stata patchata e che dovrebbe limitare i danni anche se il computer fa parte di una lan. Inoltre evita la condivisione di cartelle (share) sulla lan, almeno finché non hai arginato il problema.

    NB: L'infezione proviene presumibilmente da un'altra macchina della rete, per cui la strategia migliore è quella di isolare tutte le macchine e procedere alla pulizia di tutte una per una...

    Ciaociao
    Ultima modifica di bottomap; 02-02-2011 17:12 


    Venite a farmi un saluto su http://www.bottomap.com/

    - Come porre domande in modo intelligente
    - Hai mai dato un'occhiata al
    Regolamento del Forum? Se la risposta è no, sarebbe proprio l'ora di farlo...
    - Il Crossposting è vietato dalla Netiquette.

    "Solo Puffin ti darà forza e grinta a volontà" - Charlie O'Brian
    "I gatti sono animali verso cui ho il massimo rispetto. I gatti e i non conformisti mi sembrano davvero i soli esseri in questo mondo che abbiano una coscienza pratica e attiva" - Jerome K. Jerome
    "Dun Dun DUNNN!" - Capitan Caos
    (per chiunque se lo fosse mai chiesto, il nick Bottomap è volutamente sgrammaticato)

  4. #4
    mp4_20 non è in linea Novello
    Post
    18
    ti ripeto ho fatto una procedura completa di installazione el lavorato senza la rete; ma niente da fare;
    in oltre ci sono dei pc della rete che e' stato tolto il confiker e' adesso vanno una meraviglia, mentre altre macchine sempre in rete non hanno il conficker;
    io non ho capito perche facendo al procedura di rimozione del virus dagli altri computer gli stessi continuanao a lavorare io invece l'ho devo riformattare;

  5. #5
    L'avatar di sistemista
    sistemista non è in linea Topo di biblioteca
    Luogo
    Prato
    Post
    2,801
    Prova a montare il tuo Hard Disk sù di un' altra macchina e riformattalo con un cd diverso.
    Sono stato nella terra del terrore e dei Vampiri...la transilvania? No!..in Banca.
    A Lupara?Min***a...Tecnologia Sicula è!
    Progettista di Reti e Telecomunicazioni CISCO.

  6. #6
    L'avatar di bottomap
    bottomap non è in linea Moderatore Globale
    Post
    4,130
    Ciao,

    Ti ripeto che:
    una formattazione da cd di installazione di tutte le unità (elimina e ricrea anche le partizioni per sicurezza) non può portare in funzione il conficker, a meno che la macchina non sia in rete o che il cd di installazione non sia in qualche modo compromesso.
    Aggiungo chiaramente alla lista dischi di boot esterni, chiavette e similari. L'installazione va fatta con un pc costituito da scheda, memorie, processore, disco, mouse, tastiera, schermo e lettore cd. Nessun orpello aggiuntivo e nessuna periferica di alcun genere.
    NB: Per quanto riguarda il disco di installazione, non sta installando un'immagine disco (ghost e similari) vero?

    L'unica remotissima possibilità che una cosa del genere possa avvenire, altrimenti, è la presenza di un qualche tipo di stealth mbr rootkit che contiene la codifica virale del conficker al suo interno, ma non cerdo di aver mai nemmeno sentito parlare di una cosa del genere. In questo caso le cose sarebbero piuttosto complicate. Hai per caso modo di verificare se la cosa avviene anche con un altro disco fisso (meglio se vergine), oppure se, come dice sistemista, monti il disco su altra macchina (isolata da ogni contatto con l'esterno ovviamente)?

    Ti ricordo che la formattazione deve essere completa (non quick) e per sicurezza può essere il caso di lanciare un bel fixmbr (ma eliminare e ricreare le partizioni ha lo stesso effetto - boot record e mdr vengono sovrascritti in queso caso).

    PS: Per verificare che davvero di conficker si stia parlando... quei comandi dos che ho indicato cosa ti producono? Puoi postare la lista di file che ottieni?

    in oltre ci sono dei pc della rete che e' stato tolto il confiker
    Isola la rete... anche un solo pc infetto può reinfettare gli altri se non patchati adeguatamente (il security bulletin è il MS08-067 di cui si può trovare descrizione qui: http://technet.microsoft.com/en-us/security/dd452420 e qui: http://www.microsoft.com/technet/sec.../MS08-067.mspx - l'aggiornamento comunque è marcato critical e dovrebbe essere proposto al volo da windows update, inoltre l'MRT che microsoft distribuisce tutti i mesi assieme agli aggiornamenti dovrebbe avere la capacità di rilevare e togliere di mezzo l'ospite in questione).

    Ciaciao
    Ultima modifica di bottomap; 02-02-2011 18:48 


    Venite a farmi un saluto su http://www.bottomap.com/

    - Come porre domande in modo intelligente
    - Hai mai dato un'occhiata al
    Regolamento del Forum? Se la risposta è no, sarebbe proprio l'ora di farlo...
    - Il Crossposting è vietato dalla Netiquette.

    "Solo Puffin ti darà forza e grinta a volontà" - Charlie O'Brian
    "I gatti sono animali verso cui ho il massimo rispetto. I gatti e i non conformisti mi sembrano davvero i soli esseri in questo mondo che abbiano una coscienza pratica e attiva" - Jerome K. Jerome
    "Dun Dun DUNNN!" - Capitan Caos
    (per chiunque se lo fosse mai chiesto, il nick Bottomap è volutamente sgrammaticato)

+ Rispondi al Thread

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi