w32/confick-A e Troj/DWNLDR-HKW

[tesys]

Ciao a tutti, qualcuno conosce queste due schifezze che stanno impestando i PC dell'azienda dove lavoro??? se qualcuno ha notizie gli sarei grato se mi da una dritta su come risolvere questo problema... il primo dei due soprattutto anche se viene undividuato da SophosAntivirus e spostato in quarantena si ripropone immediatamente....
Grazie

w32/confick-A e Troj/DWNLDR-HKW

[Deifobe]

intanto, se analizzi il file che si ricrea su Virustotal potresti sapere se è riconosciuto da altri antivirus e con quali nomi (su w32/confick-A sembra che ci sia solo sophos).

Trattandosi di pc aziendali... vedi se riesci, puoi fare una scansione on line con Kaspersky_virusscanner

[tesys]

Grazie Deifobe,
a quanto ho capito è porprio una bella seccatura questo virus (o worm) dato che è molto recente e si propaga facilmente e velocemente (scusa il gioco di parole)... ma per fortuna ho trovato nel sito della Sophos un support per rimuovere il virus:


Worms infect computers, but do not infect files. They can simply be identified and deleted. However, they often make registry or startup file changes so that they are executed on boot-up. Check the threat analysis for details of such behavior.
1. Using Enterprise Console

You can remove worms over a network using Enterprise Console.
2. Sophos Anti-Virus for Windows, version 7

To remove a worm:

* Close down all programs.
* Go to Start|Programs|Sophos|Sophos Anti-Virus and run the 'Sophos Anti-Virus' program.
* In the 'Available scans' list, select the scan for which you want to enable removal, or use 'Setup a new scan' to scan your local disks. (Do not select a scheduled scan, as you will not be able to run this manually.)
* Click Edit|Configure this Scan.
* Select the Cleanup tab and select 'Automatically clean up items that contain virus/spyware'. Click Apply|OK.
* Click 'Save and Start' to save the scan, and run it immediately.
* At the end of the scan, click the link in 'Items passed to Quarantine' to open Quarantine manager.
* Select any items needing removal.
* From the 'Perform action' dropdown, select 'Delete'.
* Select 'Yes' or 'Yes to all' to delete files.
* Run another scan to ensure that the file has been removed.
* Click Edit|Configure this Scan.
* Select the Cleanup tab and deselect 'Automatically clean up items that contain virus/spyware'. Click Apply|OK.

If Sophos Anti-Virus cannot delete files because they are held open by the operating system, make a note of the names of the files, then do as follows.

1. Download an emergency copy of SAV32CLI. On an uninfected Windows computer, run this file to extract the contents into a SAV32CLI folder on a medium that can be write-protected. Copy the SAV32CLI folder produced onto a medium that can be write-protected. Add any relevant IDEs to this folder and write-protect the disk (on a CD/R or CD/RW close the session).
2. Restart the computer in Safe Mode. Go to Start|Shut Down. Select 'Restart' from the dropdown list and click 'OK'. Windows will restart. Press F8 when you see the following text at the bottom of the screen "For troubleshooting and advanced startup options for Windows 2000, press F8". In the Windows 2000 Advanced Options Menu, select the third option 'Safe Mode with Command Prompt'.
3. At the affected computer, place the CD in the CD drive (D: in this example). At the command prompt type

D:
to access the CD drive. Type:

CD SAV32CLI
Then type:

SAV32CLI -REMOVE -P=C:\LOGFILE.TXT
to remove the file.
4. Before leaving Safe Mode, edit any registry entries mentioned in the analysis recovery instructions. If problems persist, contact support.


Domattina proverò subito a mettere in pratica queste istruzioni e vediamo cosa succede... per il momento grazie Deifobe... facciamo gli scongiuri .... ti faccio sapere

[Deifobe]

ok.
... e speriamo bene davvero..

[tesys]

Gent.ma Deifobe
Aiutoooooo...... scherzi a parte c'è un pò di panico nel senso che ormai i PC dell'azienda sono tutti infetti. La procedura che ho scritto in precedenza (quella consigliata dal sito della Sophos) non ha avuto l'esito sperato... Stessa cosa con la procedura della Symantec... Sembra che temporaneamente il viurus venga debellato ma dopo qualche ora/giorno si ripropone... penso che le procedure consigliate (benchè laboriose) possono portare alla temporanea eliminazione del virus... ma tenendo conto anche del fatto che si tratta di una rete, l'antivirus non riesce a bloccarne la circolazione quindi sono in un circolo vizioso...

Hai qualche suggerimento, tipo coniglio dal cilindro??
Grazie

[Deifobe]

ok ascolta..

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto zippato che trovi sul desktop (nella cartella SuspectFile) su Savefile e inviami il link ottenuto con un messaggio privato.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

per ora testa un solo pc

ti ricordo di non postare il link sul forum (già che sono aziendali, evitiamo)