win32/conficker.D worm

[piroska]

Prosla sam komp sa nodom, spybotom i ad-awareom, napravila sistem restore na vrijeme kad tog nije bilo i stalno mi nod javlja da imam win32/conficker.D worm....kak da se rijesim toga?

EDIT:

svakih 10 minuta mi to iskace...sta da radim?

[WraGG]

Iskljuci system restore, idi u safe mode i od tamo preskeniraj

[piroska]

mislila sam da je rijesen problem jer mi se prestalo pojavljivati sljedeci dan nakon sto sam sve napravila. tad sam otisla kuci i spajala se na net kod kuce i otad nista. znaci, 3 tjedna se nijednom nije pojavilo, a sad sam se vratila u dom, i iste sekunde nakon sto sam se spojila na domski net opet mi je nod poceo javljati da imam te crve. u cem je fora? ocito u mrezi...al sta da radim?

[Joke]

Ajde skini za pocetak Malwarebytes pa snjim napravi scan...
http://www.malwarebytes.org/

[BigFish]

Da ista stvar kod mene. Samo .aa varijacija.. Ovaj crv je stvarno naporan. Proveo sam cijeli kur... vikend samo da ga izbacim iz svoga kompa. Zarazio sam se putem usb-a na kojeg sam presnimio neke podatke u firmi. Ono što sam uspio saznati o njemu jest sljedeće. Crva je nemoguće (nakon što se injektira) pronaći pomoću sljedećih programa: nod32, avira i ad-aware. Nadalje, crv mi blokira pristup browserom bilo kojoj stranici koja u nazivu odnosno adresi ima bilo kakve veze sa updejtom windowsa, downlodiranjem antivirusnog programa (aka. malwarebytes, spybot, panda, avg, f - secure... yu name it). Antivirusni programi mi nemogu napraviti updejte, odnosno spojiti se na svoje servere.. Isključuje mi servise na disabled: windows automatic updaite, windows security, win error reporting i još neke... Nakon startanja servisa on nakon 5 - 10 sekundi ga opet vrati na isto. Ista je situacija nakon uključivanja opcije show hidden folder u exploreru...

Crv se dakle nalazi negdje u system32 na tvrdom disku ili u skrivenoj (lažnoj) recycle datoteci. Nakon uštekavanja usb-a kopira svoju .exe datoteku te modificira autorun.inf datoteku usb-a. Nakon što uključimo zaraženi usb na neko računalo on iskopira pomoću autorun-a svoj .exe file i ako smo kojim slučajem to učini u svojoj firmi on se može proširiti nevjerojatnom brzinom po ostalim računalima u mreži. U biti mu je još i lakše se razmnožiti u lokalnoj mreži nego po internetu.

Eto tolko.. A ja sad idem isformatirati komp..

[BigFish]

Updejt...

Uspio sam se riješiti ovog crva na svojem lokalnom računalu. Kako bi provjerili da li ste zaraženi pronađite sljedeći ključ. Start - > run -> regedit. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost. Dvostruki klik na netsvcs. Na kraju popisa ako imate čudan entry poput icdwowkdm sigurno imate crva.

Cjelokupna procedura uklanjanja crva je poprilično zahtjeva i nebih ju preporučio neiskusnim korisnicima. Uglavnom:

http://support.microsoft.com/kb/962007

Kako sa i naveo. Crv blokira pristup svemu što ima veze sa microsoft ili antivirusnim rješenjima. Pa onaj tko ima toga crva neće moći pristupiti linku. Ono što može napraviti jest iskopirati link ovdje: http://www.internetproxy.net/ Sa time prevarimo popis crva.

Za one sretnike koji još nemaju crva. Preporučam isključivanje autorun opcije u vindozama. Iako sa time će ukloniti neke funkcionalnosti, kao što su pokretanje instalacije nakon ubacivanja cd-a.

Start - > run -> cmd i copy paste ovo:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f (enter naravno)

Sretno.

Što se tiče usb-a. Crv je još uvijek gore. Napravio sam formataciju ponovnim stavljanjem opet se ubacuje u sustav. Javim kada to riješim...

[Warrior]

Da malo oživim ovu temu. Kako skužiti da je USB stick zaražen tim crvom? Da li je vidljiv file na samom sticku?

[domy_os]

Da, obično se u rootu nalaze nekakvi čudni fileovi koje vidiš tek kad uključiš prikaz sistemskih i skrivenih foldera. Uglavnom se radi o inf i exe datotekama tipa wrvqwoi.exe i slično.