1/19/2009

Downadup - Conficker B / Aggiornamento

Figlioli, vi ho già parlato del virus in oggetto in un post precedente. Tuttavia,sto maledetto continua a diffondersi a rotta di cul...pardon,di collo,indipercuiposcia,vado ad implementare qualche info utile alla rimozione.

In primo luogo, se avete MS Windows Xp con SP1, non dico che siete fottuti,ma quasi. MicroSoft ha smesso di fornire assistenza a questa versione vetusta dell'OS,quindi per prima cosa, dovete immediatamente passare alla Service Pack 2 o meglio ancora alla Service Pack 3.

Fatto questo, procedete come segue, prima di fare qualsiasi altra cosa.
Fate click con il tasto destro su "Risorse del Computer", quindi scegliete "Proprietà". Andate alla voce "Ripristino Configurazione di sistema" e mettete il segno di spunta accanto alla voce apposita,per disattivare tale servizio. Fate click su "Applica",quindi su "Ok".

Aggiornate le impronte virali del vostro antivirus. Fatto ciò, eseguite uno scan completo (completo,non parziale/solo voci indicate/etc), del vostro sistema. Dopodichè, procedete come sotto riportato.
Spostastevi sul sito della Symantec e prelevate qui il removal tool gratuito messo a disposizione da Norton. Il file si chiama Fixdownadup.exe. Fate doppio click su tale file, accettate il contratto di licenza e avviate la scansione cliccando su Start.Quando avrà finito, in linea teorica il virus verrà rimosso o comunque reso inoffensivo. Non basta.Adesso arriva il difficile. Aprite il registro di configurazione (start/esegui/regedit). Cercate tutte le seguenti chiavi e rimuovetele:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "rundll32.exe "[RANDOM FILE NAME].dll", ydmmgvos"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"DisplayName" = "[WORM GENERATED SERVICE NAME]"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Type" = "4"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Start" = "4"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ErrorControl" = "4"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = "%SystemRoot%\system32\svchost.exe -kHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]"

Fatto questo, occorre ripristinare alcune chiavi,cioè le seguenti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" = "00FFFFFE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"

Fatto?Bravi. Non basta.Adesso è necessario chiudere la porta usata da questo bastardo. Per farlo,occorre scaricare una patch dal sito di madre Microsoft, la KB958644. La trovate qui. Scaricate il file, installate l'aggiornamento ed il gioco è fatto. Vi consiglio l'applicazione di questa patch gratuita (purciari che non siete altro) anche se non avete avuto problemi con il virusetto in questione.

Alla prossima volta...e ficcateve.

Ale

Nessun commento:

Posta un commento