Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Confiker

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Confiker

Messaggioda Antrhax » mer set 01, 2010 11:13 am

Buongiorno a tutti voi, spero in qualche chiarimento riguardo al virus in oggetto magari qualcuno ce ne ha già avuto a che fare.
Circa un mese mezzo fa, .. una chiavetta usb .. ha infettato la rete dell'azienda dove lavoro con questo virus anche chiamato credo downanup .. qualcosa del genere. Fatto è che in 20 minuti, parecchi computer si sono infettati e anche uno dei server di dominio, e così .. gli utenti si sono iniziati a bloccare da soli per la rete. Letto e riletto la documentazione microsoft, ritrovo, la vecchia patch che serviva per attappare la falla e praticamente in un sabato mattina, ho ripulito tramite un tool tutti i pc Windows 2000 - Xp - 7 - 2000 / 2003 server che ho riscontrato infettati. Dopo la bonifica, tutto sembrava andare bene poi un bel giorno, le macchine (n° 3) con windows 2000 mi segnala tramite il norton antivirus end point protection ancora l'esistenza del worm, .. e un utente si inizia a bloccare di nuovo sulla rete (un utente che non ha niente a che fare con le macchine 2000) .. ok, ripulisco le tre macchine ri-ri metto la patch, ... l'utente si continua a bloccare, ... a questo punto, .. blocco d'ufficio l'utente e apro un utenza nuova .. risolvendo.
... Tornato dalle ferie, ... i tre pc, .. ritornano a dare problemi .. e due utenti, .. si bloccano .. ancora due utenti che non hanno nulla a che fare con questi tre pc, ... ! ... Ripulisco, con qualsiasi tool trovo sulla rete i pc con windows 2000 ... ri ri ri ri metto .. la patch , .. e sembra che gli utenti restino sbloccati .. si , sembra .. per un giorno nessun problema .. il successivo ricominciano a bloccarsi ... e le loro macchine erano pulite sia durante l infezione quasi totale che oggi .......... (una è un XP sp 3 con tutti gli aggiornamenti possibili a bordo, l'altra un Windows 7) .. qualcuno mi puo dare un consiglio su come muovermi prima di passare alla pressa idraulica ?

:D grazie ....
... non è tempo per noi ..
Avatar utente
Antrhax
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: mar mag 11, 2010 3:35 pm

Re: Confiker

Messaggioda crazy.cat » mer set 01, 2010 12:03 pm

Hai controllato con gmer la presenza di servizi rootkit?
Qui da noi confiker ha imperversato per mesi, ogni tanto rispuntava nelle sue numerose varianti.

Su un pc avevo trovato una sessione di telnet aperta tramite il virus.

Verifica con gmer che non ti sia sfuggita qualche dll e relativi servizi e poi li cancelli sempre con gmer, oppure la dll la puoi uccidere con un cd live di linux perché è sempre nascosta e difficile da eliminare.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Confiker

Messaggioda Antrhax » mer set 01, 2010 1:35 pm

Ciao grazie, ... onestamente non ho mai usato gmer, mi sai dare delle istruzioni da tenere conto ?

intanto lo scarico e vedo cosa riesco a fare

grazie mille
... non è tempo per noi ..
Avatar utente
Antrhax
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: mar mag 11, 2010 3:35 pm


Re: Confiker

Messaggioda crazy.cat » mer set 01, 2010 1:42 pm

http://www.MegaLab.it/2675/un-indispens ... ida-a-gmer
Lo lanci e vedi se escono delle voci in rosso.
Se vedi rosso, segnati il nome del servizio e della dll collegata.
(poi vediamo come eliminare il tutto)
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Confiker

Messaggioda Antrhax » mer set 01, 2010 1:46 pm

Grazie ! ... vediamo che salta fuori ti tengo aggiornato
... non è tempo per noi ..
Avatar utente
Antrhax
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: mar mag 11, 2010 3:35 pm

Re: Confiker

Messaggioda Antrhax » mer set 01, 2010 1:52 pm

Ecco, .. questo è il primo PC con Windows 2000 Pro Sp4 ....
e a quanto pare infatti, non è stato rimosso una cippa !

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-09-01 14:55:50
Windows 5.0.2195 Service Pack 4
Running: Gmer.exe; Driver: C:\DOCUME~1\AFICIO~1\IMPOST~1\Temp\pxdcruog.sys


---- Services - GMER 1.0.15 ----

Service C:\WINNT\system32\svchost.exe (*** hidden *** ) [AUTO] xrwurxr <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwurxr@DisplayName Server Installer
Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwurxr@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwurxr@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwurxr@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwurxr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwurxr@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwurxr@Description Gestisce i supporti di memorizzazione, le unit? e le librerie.
Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwurxr\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\xrwurxr\Parameters@ServiceDll C:\WINNT\system32\pqijlhgw.dll
Reg HKLM\SYSTEM\ControlSet002\Services\xrwurxr@DisplayName Server Installer
Reg HKLM\SYSTEM\ControlSet002\Services\xrwurxr@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\xrwurxr@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\xrwurxr@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\xrwurxr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\xrwurxr@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\xrwurxr@Description Gestisce i supporti di memorizzazione, le unit? e le librerie.
Reg HKLM\SYSTEM\ControlSet002\Services\xrwurxr\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\xrwurxr\Parameters@ServiceDll C:\WINNT\system32\pqijlhgw.dll

---- EOF - GMER 1.0.15 ----
... non è tempo per noi ..
Avatar utente
Antrhax
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: mar mag 11, 2010 3:35 pm

Re: Confiker

Messaggioda crazy.cat » mer set 01, 2010 2:09 pm

Io lo rimuovevo così
http://www.wikifortio.com/748261/Rimozione%20virus.doc
Non fare caso a dove ho scritto "un file nascosto con l’icona trasparente con estensione .0ll e un nome strano, è la dll infetta che è stata rinominata dall’antivirus." ma cerca la dll nascosta con il nome che vedi nel log di gmer.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Confiker

Messaggioda Antrhax » mer set 01, 2010 2:16 pm

:P .. stavo per provarci :P ... ma mi sono fermato volevo aspettare la tua risposta.
vado provo lo ammazzo (spero) e torno
... non è tempo per noi ..
Avatar utente
Antrhax
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: mar mag 11, 2010 3:35 pm

Re: Confiker

Messaggioda Antrhax » mer set 01, 2010 2:21 pm

... dunque solo una domanda nel caso del log sopra la DLL bastarda sarebb : pqijlhgw.dll oppure ne troverò una con il nome xrwurxr ???
... non è tempo per noi ..
Avatar utente
Antrhax
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: mar mag 11, 2010 3:35 pm

Re: Confiker

Messaggioda crazy.cat » mer set 01, 2010 2:22 pm

troverai pqijlhgw.dll e poi altri nomi sempre diversi con caratteri casuali.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Confiker

Messaggioda Antrhax » mer set 01, 2010 2:25 pm

in verità ... rimosso il servizio, ... non trovo la dll .... [uhm]
... non è tempo per noi ..
Avatar utente
Antrhax
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: mar mag 11, 2010 3:35 pm

Re: Confiker

Messaggioda crazy.cat » mer set 01, 2010 2:45 pm

Antrhax ha scritto:in verità ... rimosso il servizio, ... non trovo la dll .... [uhm]

Io andrei a scaricare un live cd di ubuntu per andare a vedere i file veramente nascosti.
A volte le trovavo solo con un boot da cd, altrimenti non si vedono.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Confiker

Messaggioda Antrhax » mer set 01, 2010 2:56 pm

bene ! allora procedo in quel modo li grazie
... non è tempo per noi ..
Avatar utente
Antrhax
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: mar mag 11, 2010 3:35 pm

Re: Confiker

Messaggioda Antrhax » gio set 02, 2010 7:10 am

bene di tre macchine, una .. l'ho pulita (credo) .. sto tentando sulla seconda .. Gmer mi ha trovato 4 servizi .. uno l'ho disabilitato e rimosso .. gli altri tre .. quando tento di disabilitare .. mi si blocca tutto ! ... e alla fine mi dice che non è possibile la disabilitazione ... ho provato in modalità provvisoria, .. da un errore e si chiude gmer .... sempre meglio direi :(
... non è tempo per noi ..
Avatar utente
Antrhax
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: mar mag 11, 2010 3:35 pm

Re: Confiker

Messaggioda crazy.cat » gio set 02, 2010 7:15 am

Se proprio non vuoi formattare, puoi provare a modificare il registro da cd di boot
http://www.MegaLab.it/2936/modificare-i ... cd-di-boot
in modo da cancellare manualmente il servizio.
Io sono arrivato a 7 servizi rootkit su un pc ma me li ha sempre lasciati eliminare.

Trovi anche le dll allora?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Re: Confiker

Messaggioda Antrhax » gio set 02, 2010 7:27 am

con la live cd si, .. è proprio str***issima per non dirgli peggio.
Formattare .. e .. il problema e che son rimasti due pc, .. che gestiscono il controllo numerico di un apparecchio di scafalatura in magazzino ... se li devo formattare è meglio che mi faccio dar ... ehm .. ok ci siamo capiti :D :D ...
... non è tempo per noi ..
Avatar utente
Antrhax
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: mar mag 11, 2010 3:35 pm

Re: Confiker

Messaggioda Antrhax » gio set 02, 2010 3:19 pm

Bene, ripulito tutto .. sembra .. adesso girando il Gmer non trova nessun problema ....
su tre macchine una mi ha dato qualche problema a togliere tutto ma alla fine ci son riuscito, .. anche se è rimasta lentissima ... CPU al 100% e l'unico processo alto che sta al 50% è il system ... mmmmh ... misà che mi puzza :( [cry]
... non è tempo per noi ..
Avatar utente
Antrhax
Aficionado
Aficionado
 
Messaggi: 31
Iscritto il: mar mag 11, 2010 3:35 pm

Re: Confiker

Messaggioda crazy.cat » gio set 02, 2010 5:42 pm

Antrhax ha scritto:su tre macchine una mi ha dato qualche problema a togliere tutto ma alla fine ci son riuscito, .. anche se è rimasta lentissima ... CPU al 100% e l'unico processo alto che sta al 50% è il system ... mmmmh ... misà che mi puzza :( [cry]

Prova a vedere con Avira rescue cd a fare una scansione completa del pc partendo da cd di boot.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Google [Bot] e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising