http://www.paceclima.it/log/prevxCSI.txt

Scarica Avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

Files to delete:
C:\bot.exe
C:\VundoFix Backups
C:\2018966435
C:\WINDOWS\system32\dxdss.sys
C:\WINDOWS\system32\2018966435
C:\WINDOWS\SFEditorU.INI


Registry key to delete:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e072bc7a-73cf-11dc-a1ff-0011d82032f7}
clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

Hai avuto anche un infezione da una chiavetta usb ci sono le tracce ....
come ci sono tracce anche di rustock,quindi fai girare questi:


Scarica Rustock Remova tool http://www.uploads.ejvindh.net/rustbfix.exe dopodichè disabilita l'antivirus ed esegui il rustbfix.exe...se trova l'infezione ti
chiederà di riavviare il pc
Probabilmente il computer si riavvierà due volte una dopo l'altra, è normale.Dopodichè
scarica RegRun Reanimator http://greatis.com/reanimator.zip
Dezippa il contenuto della cartella Reanimator in una cartella dedicatae avvii il file reanimator.exeClicchi su "Remove Rustock Rootkit"
Il programma ti chiederà di avviare l'utility "rootkit NO"...lo Avvii ti chiederà di riavviare il pc per rimuovere il rustock.
Dopo il riavvio il Rustock sarà eliminato usando "Partizan" che è in RegRun Reanimator, Alla fine del processo di rimozione si dovrà eliminare Partizan dal
boot di windows, cliccando su Unistall Partizan.

Apri un post nella sezione "aiuto sono infetto" e lo titoli "Rustock e backdoor"

e li alleghi i log dei tool di scansione;)

Ecco il log di avenger.

Ecco il log di avenger.

bene buona parte è andata..;) però adesso fai girare il resto e poi:

Apri un post nella sezione "aiuto sono infetto" e lo titoli "Rustock e backdoor"...di che ti mando io :fiufiu:

bene buona parte è andata..;) però adesso fai girare il resto e poi:

Apri un post nella sezione "aiuto sono infetto" e lo titoli "Rustock e backdoor"...di che ti mando io :fiufiu:

Ho fatto girare il primo programma, il log mi dice:


************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
17/01/2008 17.29.51,26

No Rustock.b-rootkits found

******************************* End of Logfile ********************************

Ho fatto girare il primo programma, il log mi dice:


************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
17/01/2008 17.29.51,26

No Rustock.b-rootkits found

******************************* End of Logfile ********************************


infatti è solo per ulteriore controllo e pulizia poichè buona parte delle voci le abbiamo già zompate con avenger;)

di che ti mando io :fiufiu:

OT

ahhh raccomandiamo la gente eh? :D /OT

OT

ahhh raccomandiamo la gente eh? :D /OT

:asd:

OT

ahhh raccomandiamo la gente eh? :D /OT

:asd:

hem.....:stordita: :ops2:

OT

ahhh raccomandiamo la gente eh? :D /OT

Ma non sono mica uno qualunque... :cool:
Comunque ringrazio tutti per l'aiuto.

Anche io purtroppo sono uno delle vittime di Virtumonde, uso Kaspersky Antivirus e ad ogni avvio di windows mi si apre la schermata di Kaspersky che mi notifica che ho il trojan che fa riferimento a "system32\ddcyy.dll".
Ho provato ad eseguire tutte le procedure presenti in prima pagina ma continuo ad avere questo trojan...
Cos'è che devo postarvi i log di Combofix, Prevx CSI e Hijackthis?

:mad:

sì
log di tutti i programmi.

ho "isolato tutto" con kaspersky e adesso non mi notifica più questo virus...ho provato a riavviare più volte e sembra non esserci più o almeno messo in quarantena...oltre a "ddcyy.dll" talvolta mi notificava anche "mljjj.exe" e "update.exe"...ma adesso niente, ho quasi paura di ripetere la scansione con qualche programmino per vedere se effettivamente sono stati rimossi in via definitiva o meno..

....

beh, qui nn hai postato nessun log richiesto dalla guida, quindi nn c possiamo esprimere....:O

Ho riprovato a fare la scansione con Vundofix e Combofix e non mi dà alcun risultato trovato...a quanto pare sono riuscito a rimuovere i trojans con kaspersky e con gli svariati programmini postati in prima pagina...grazie a tutti

nel punto 4 il primo e il terzo programma sono necesssari? perche' non funziano i link

nel punto 4 il primo e il terzo programma sono necesssari? perche' non funziano i link

si sono necessari, un attimo che ti postiamo un nuovo link x entrambi

@ pino:

ecco i link

vundo fix: DOWNLOAD (http://download.softpedia.ro/dl/0a4b0e443c9f7617d6b9676946f50928/47975d7c/100033165/software/ANTIVIRUS/VundoFix.exe)
VirtumundoBeGonE: DOWNLOAD (http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe)

ok grazie

nel punto 4 il primo e il terzo programma sono necesssari? perche' non funziano i link

ho visto che il buon murack ti ha postato il link
solo una domanda il link di vundofix non andava?
(l'altro non è proprio inserito)

no non funzionava proprio. cmq ecco tutti i log del punto 4 che mi sono apparsi

riedita il tuo post ed allega i log:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1 se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2 se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP

clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il

link che verrà rilasciato per il download[/QUOTE]

comunque come và il pc? ed allega un log di hijackthis

si scusa ma non riesco ad allegare quei file: mi dice invalid file.
cmq il pc sembra andare meglio. devo fare tutti i punti o dal 4 passo direttamente a quello di hijeckthis?

si scusa ma non riesco ad allegare quei file: mi dice invalid file.
cmq il pc sembra andare meglio. devo fare tutti i punti o dal 4 passo direttamente a quello di hijeckthis?

riedita almeno il post poi se i file sono superiori a un certo peso li devi hostare su Fileup
ti consiglierei di seguirla tutta per sicurezza..poi fai te..il pc è tuo;)

si scusa ma non riesco ad allegare quei file: mi dice invalid file.
cmq il pc sembra andare meglio. devo fare tutti i punti o dal 4 passo direttamente a quello di hijeckthis?

vai al tuo post precedente,clicca su modifica e cancella tutti i log postati li

quando i log sono troppo grandi, caricali su fileup e copia qui il link x il download

nb: i log prima salvali in formato .txt e poi li carichi li,ok?

ciao

fatto.non li prendeva perche' non erano in txt. cmq ora faccio tutto il resto e poi posto l'ultimo

ecco quello di hijackthis

ecco quello di hijackthis

Manca la scansione con VirIT e relativo log
Manca il log di Prevx CSI
Manca il log di FindAWF

vedi tu!

ecco qua gli ultimi log: prevx csi non ne ha rilasciati. adesso mi sapete dire che cosa devo fare di altro e se vundo se ne andato e se devo rifare il log con hiackthis?

Prevx Csi dopo aver terminato la scansione cliccare su "Option - Save log"

ecco anche prevx csi.

http://www.fileup.itadib.com/download.php?id=WnM2uyYuJ8BlXyI0Df9E

ora che vi h postato tutto ce devo fare ?

Scarica Avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:
C:\WINDOWS\system32\mljhefe.dll.vir
C:\Documents and Settings\Compaq_Proprietario\Impostazioni locali\Temp\72D0E820.nbr
clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

Start esegui digita %temp% e cancella tutto il contenuto della cartella riposta il lgo di prevx e uno di hijack

mi da errore e mi dice che non sono script validi. che faccio?

NB: ieri sera ho fatto andare spybot search and destroy che mi ha trovato e eliminato qualcosa; possibile sia questo dello script?

mi da errore e mi dice che non sono script validi. che faccio?

NB: ieri sera ho fatto andare spybot search and destroy che mi ha trovato e eliminato qualcosa; possibile sia questo dello script?

nuovo log combofix vediamo se ci sono..;)

ecco il log di combofix. incrocio le dita...

ecco il log di combofix. incrocio le dita...

altra roba è stata eliminata..rifai ora girare i tool per il vundo
dopo prevx e dopo hijackthis...posta i log e fai tutto in quell'ordine che ti ho indicato ;)

vundofix e fixvundo non hanno dato risultati ne log. ecco invece i log di virtumundo, prevxcsi e hijackthis.

link prevx csi

http://www.fileup.itadib.com/download.php?id=XmYbExovVWFshHkpw1DS

@pino92

allega un nuovo log di ComboFix

ecco anche combofix

Ciao, un aiuto per risolvere questa e credo altre infezioni.

Quello che so: tutto è iniziato quando sul pc infetto è stato eseguito un file di nome "Crack.exe" scaricato con Limewire. Tra i sintomi, Explorer.exe spesso prende il 99% del tempo cpu impallando tutto, comapre tra i task un processo "windows" che anch'esso impalla tutto, ci sono pop-up che indicano messaggi di errore e suggeriscono di contattare il sito "storageprotector.com", l'icona del disco C: in risorse del computer ora è una grande "X" rossa, ed altro ancora...

Ho letto gli aiuti generici e allego i logs e vi chiedo: quando si procede con i tools VundoFix, FixVundo e gli altri, si può tranquillamente eseguire la rimozione di Vundo come i tools suggeriscono oppure si deve valutare file per file? Come comportarsi quando vengono segnalati file di sistema come C:\WINDOWS\system32\ctfmon.exe? Posso certo eliminare i files infetti di Nero Backitup, reinstallandolo in seguito, ma per quanto riguarda i files di sistema? E se dovesse segnalarmi C:\WINDOWS\explorer.exe come infetto?

Come procedo quindi?
Grazie molte per l'aiuto.

Kaspersky on-line AV scan
http://www.fileup.itadib.com/download.php?id=OVa0S7zT8HKGvJgZ7B9h
http://www.fileup.itadib.com/download.php?id=5ckkuHLP3Ym7S1ffVHby
ASquaredFree
http://www.fileup.itadib.com/download.php?id=cpcUzSC8HZGekIxmx4Sm
PrevxCSI
http://www.fileup.itadib.com/download.php?id=Xp9s4KlpMV44gDSiGW01
Hijackthis
http://www.fileup.itadib.com/download.php?id=6YVEuoLTPTwiA1LxuSs2
Gmer
http://www.fileup.itadib.com/download.php?id=XG9QXjC65bh7OdCumJyq

Finora credo che nessuno abbia dovuto reinstallare windows per colpa del Vundo.
Ti consiglio di seguire la guida e solo dopo con i vari log ti verrà detto se c'è qualche traccia da rimuovere.

Salve Anche io SOno affetto da Vundo e vorrei sapere come devo fare per eliminarlo per prima cosa seguo la guida ll'inizio e poi posto tutti i log... va bene aiutatemi vi prego

ecco anche combofix

bene pino son saltate fuori un pò di cose...adesso in avenger copiaincolla
Files to delete:
C:\WINDOWS\system32\mnnmp.ini2.vir
C:\WINDOWS\system32\mnnmp.ini.vir
C:\WINDOWS\system32\mljhefe.dll.vir
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\oqfvpbpd.dll
C:\WINDOWS\system32\wunauclt.exe[QUOTE]

poi su virustotal fai analizzare[QUOTE]C:\WINDOWS\wininit.ini QUI (http://www.virustotal.com/en/indexf.html)

naturalmente posta il log di avenger e facci sapere se virustotal ha trovato qualcosa ;)

ecco il log di avanger. la scansione del file con virustotal ha dato risultati negativi.

ecco il log di avanger. la scansione del file con virustotal ha dato risultati negativi.

bene sembra che sia tutto a posto alcuni cancellati ed altri non ci sono più
una pulizia con questo CCleaner( QUI (http://www.filehippo.com/download/9838386a743262a2d7aaedfb3b432ae2/download/))disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore" non installare la toolbar di yahoo e lo usi anche ogni tanto ottimo programma free......
il pc come và?

ho fatto la scansione con ccleaner che ha cancellato qualche file; devo fare qualcosa per avere un log da postare? comunque il pc va molto meglio grazie al vostro aiuto. un'altra domanda: vundo è sparito dal mio computer ho c'è qualcosaltro da fare?

ho fatto la scansione con ccleaner che ha cancellato qualche file; devo fare qualcosa per avere un log da postare? comunque il pc va molto meglio grazie al vostro aiuto. un'altra domanda: vundo è sparito dal mio computer ho c'è qualcosaltro da fare?

ccleaner è solo per pulizia dei temporanei (che possono ospitare schifezze) ed index dat (altri temporanei inutili).....non serve log postami solo un log hijackthis ma direi che sei pulito;)

ecco anche il log di hijackthis. spero di essere veramente pulito.

ecco anche il log di hijackthis. spero di essere veramente pulito.

vedo che hai tracce del norton ancora che rompono
leggi qui..però cautela chiedi consigli http://www.hwupgrade.it/forum/showthread.php?t=1630445

poi vedo Airport (un soft di gestione wireless) lo hai messo tu?

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
voce inutile per il resto sei pulito ;)

bene finalmente sono pulito.grazie ancora.cmq airport è il software del mio wi-fi;cosa devo fare con quel codice che dici è inutile? e poi un'altra cosa:norton non eliminato al 100 per cento cosa fa? mi rallenta o danneggia il computer?

bene finalmente sono pulito.grazie ancora.cmq airport è il software del mio wi-fi;cosa devo fare con quel codice che dici è inutile? e poi un'altra cosa:norton non eliminato al 100 per cento cosa fa? mi rallenta o danneggia il computer?

quella voce la puoi fixare
il norton ti rallenta il pc e potrebbe creare conflitti con antivir

quale programma posso usare per fixarla? quindi mi consigli di eliminare definitivamente norton?

quale programma posso usare per fixarla? quindi mi consigli di eliminare definitivamente norton?

per fixarla devi usare lo stesso hijackthis apri hijackthis e nella schermata clicchi su "do a system scan only" nella schermata che si apre hai tutto il log del programma con le voci e delle caselline a fianco ogni voce,clicchi sulla casellina in corrispondenza della voce da fixare mettendo così la spunta e dopodichè clicchi su "fix cheked"....hai appena fixato
per il norton in quel link che ti ho indicato c'è tutto al limite usa
questo della symantec stessa http://service1.symantec.com/support/inter/tsgeninfointl.nsf/it_docid/20050407160511924
per il resto sei a posto ciao:cool:

ciao e grazie di tutto ancora

Salve A Tutti ho seguito la guida per rimuovere vundo dal mio pc e vorrei avere la conferma di avere il pc pulito e quindi vi allego tutti i log che mi sn venuti... Spero in una vostra risposta...
Grazie

Vundo Fix:
http://www.zshare.net/download/706345358bd91d/

Fix Vundo:
http://www.zshare.net/download/7063519a39cea0/

ComboFix:
http://www.zshare.net/download/7063535901ef4a/

VirtuMundoBeGone:
http://www.zshare.net/download/7063578136fd7c/

Hijackthis:
http://www.zshare.net/download/7063664868ba80/

Mancano le scansioni con VirIt e Prevx CSI e ralativi log, se è stata redatta una Guida bisogna seguire i passagg indicati, se no perdiamo tempo noi e tu, grazie per la collaborazione.

Prevx CSI Ha trovato un file ma nn lo toglie perchè nn ho la key per rigistrarlo virit l'ho fatta la scansione ha tolto tre file ma nn so dove è il log... grazie

Prevx Csi è solo un tool diagnostico per salvare ilog fai così dopo aver terminato la scansione cliccare su "Option - Save log"

Il log di VirIt lo trovi qui: C:\VIRITLITE\VIRITEXP.log

Finora credo che nessuno abbia dovuto reinstallare windows per colpa del Vundo.
Ti consiglio di seguire la guida e solo dopo con i vari log ti verrà detto se c'è qualche traccia da rimuovere.
Ok ecco i logs. Ho fatto girare VundoFix più di una volta all'inizio perchè mi ero accorto che non cancellava i files indicati.

vundofix http://www.fileup.itadib.com/download.php?id=sBI1h5BYYMYJuXNg0qo4
virit http://www.fileup.itadib.com/download.php?id=7uvg2IttqLHENZ8B6CYw
virtumundobegone http://www.fileup.itadib.com/download.php?id=86DtZpsH73E9Mu2NNCmK
prevxcsi http://www.fileup.itadib.com/download.php?id=IzRLdouIgzr67fnp09zc
hijackthis http://www.fileup.itadib.com/download.php?id=xJ47rpSNg387XTjqN5MI
Combofix http://www.fileup.itadib.com/download.php?id=KnBTlOgxaKJq5GnWN7ey
renv http://www.fileup.itadib.com/download.php?id=5ELrVFWVIlmXYoYDjszr

FixVundo e awf non hanno trovato nulla.

Due problemi:
- "nTrayFw .exe" penso faccia parte dei drivers della sk madre; ora cerco al riguardo, voi che ne pensate? Ma è stato Vundo a rinominare l'originale (che ora pare chiamarsi "nTrayFw.exe.manifest") e mettere quello con lo spazio al suo posto? Ho anche questi altri nella stessa dir:

Directory di C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin

30/11/2004 10.09 659 app_popup.exe.manifest
30/11/2004 10.09 658 fw_watch.exe.manifest
30/11/2004 10.09 660 nSvcAppFlt.exe.manifest
30/11/2004 10.10 657 nTrayFw.exe.manifest

- credo che c:\windows\Explorer.exe mi stia creando problemi: ho notato per caso che se creo un file in una dir qualsiasi e lo rinomino .exe, dopo non posso cestinarlo perchè risulta usato da explorer.exe. L'unica è uccidere il processo della shell e cancellarlo... Che ne pensate?

Ecco gli altri due:
PrevxCSI
http://www.zshare.net/download/70643989b72aaf/

VirIT
http://www.zshare.net/download/7064429cc0da9b/

Scusa se li metto ora
Grazie

Ok ecco i logs. Ho fatto girare VundoFix più di una volta all'inizio perchè mi ero accorto che non cancellava i files indicati.

vundofix http://www.fileup.itadib.com/download.php?id=sBI1h5BYYMYJuXNg0qo4
virit http://www.fileup.itadib.com/download.php?id=7uvg2IttqLHENZ8B6CYw
virtumundobegone http://www.fileup.itadib.com/download.php?id=86DtZpsH73E9Mu2NNCmK
prevxcsi http://www.fileup.itadib.com/download.php?id=IzRLdouIgzr67fnp09zc
hijackthis http://www.fileup.itadib.com/download.php?id=xJ47rpSNg387XTjqN5MI
Combofix http://www.fileup.itadib.com/download.php?id=KnBTlOgxaKJq5GnWN7ey
renv http://www.fileup.itadib.com/download.php?id=5ELrVFWVIlmXYoYDjszr

FixVundo e awf non hanno trovato nulla.

Due problemi:
- "nTrayFw .exe" penso faccia parte dei drivers della sk madre; ora cerco al riguardo, voi che ne pensate? Ma è stato Vundo a rinominare l'originale (che ora pare chiamarsi "nTrayFw.exe.manifest") e mettere quello con lo spazio al suo posto? Ho anche questi altri nella stessa dir:

Directory di C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin

30/11/2004 10.09 659 app_popup.exe.manifest
30/11/2004 10.09 658 fw_watch.exe.manifest
30/11/2004 10.09 660 nSvcAppFlt.exe.manifest
30/11/2004 10.10 657 nTrayFw.exe.manifest

- credo che c:\windows\Explorer.exe mi stia creando problemi: ho notato per caso che se creo un file in una dir qualsiasi e lo rinomino .exe, dopo non posso cestinarlo perchè risulta usato da explorer.exe. L'unica è uccidere il processo della shell e cancellarlo... Che ne pensate?

trascina il file Log txt che ti ha rilasciato RenV su RenV.exe riesegui e se ti chiede di riavviare fallo tranquillamente e posta qui il log dei risultati

Ecco gli altri due:
PrevxCSI
http://www.zshare.net/download/70643989b72aaf/

VirIT
http://www.zshare.net/download/7064429cc0da9b/

Scusa se li metto ora
Grazie

Allega anche il log di Renv ed un nuovo log di HijackThis

trascina il file Log txt che ti ha rilasciato RenV su RenV.exe riesegui e se ti chiede di riavviare fallo tranquillamente e posta qui il log dei risultati

Eccolo (vuoto), mi dice che non trova il file... In effetti, il file è sparito.

http://www.fileup.itadib.com/download.php?id=mHP7t6fXdIwqsjBBI9S8

Eccolo (vuoto), mi dice che non trova il file... In effetti, il file è sparito.

http://www.fileup.itadib.com/download.php?id=mHP7t6fXdIwqsjBBI9S8

infatti così deve essere ;)
solo che ora ti devo dà na brutta notizia..devi rifar girare tutti i tool (tranne Renv naturalmente)

infatti così deve essere ;)
solo che ora ti devo dà na brutta notizia..devi rifar girare tutti i tool (tranne Renv naturalmente)

Ok, pensavo lo scrivesse "ho ammazzato coso qui..." ;)
Faccio il giro e poi posto. Ma poi, brutta notizia... perchè? Non farmi preoccupà :)

Grazie.

Stessa cosa temo la dovrà fare anche TeamMMR visto che ha seguito un'ordine tutto suo

Ok, pensavo lo scrivesse "ho ammazzato coso qui..." ;)
Faccio il giro e poi posto. Ma poi, brutta notizia... perchè? Non farmi preoccupà :)

Grazie.

perchè si poteva evitare un giro inutile di scansioni (però male non fà tranquillo..anzi direi quasi che è meglio;) :D )

Secondo giro di scansioni:

combofix http://www.fileup.itadib.com/download.php?id=LMHHDAgfd4jWzBpbRab0
hijackthis http://www.fileup.itadib.com/download.php?id=8gbHAJN7oaQEtAdOszvl
prevxcsi http://www.fileup.itadib.com/download.php?id=f81HVPYBDTHHwvXYoWiT
virtumundobegone http://www.fileup.itadib.com/download.php?id=82y12PXeAqXz65Hbrpsm
virit http://www.fileup.itadib.com/download.php?id=64Mz0UpBTYaEGVbCbeCg

scan online con Kaspersky http://www.fileup.itadib.com/download.php?id=IUiZHK3aTpHZFangiQBX

Ok, da quello che capisco:

- swreg.exe è un falso positivo (ho letto in un vecchio post di Lancetta di rinominarlo per sicurezza)
- fixare hqtjiwub.dll
- fixare il servizio SGLFDC
- fixare servizio C:\WINDOWS\system32\windows
- NBJ.exe (Ahead Nero) va eliminato -> reinstallare Nero
- mi sono perso per strada nTrayFw.exe (Nvidia) e come detto prima trovo questi .manifest che... boh!
- i files infetti di restore tipo 00000044.exe posso eliminarli?
- files java in cache da eliminare...

Ah, ma sarà stato Vundo a cambiare l'icona di C: in Risorse del Computer?

Lancetta (o altri ;)), che mi dici? E grazie davvero per tutto!

AllorA Chill-Out io nn ho segiuto un ordine mio ho seguito la giuda lettera per lettera solo che i due log mancanti nn li ho messi perchè nn li trovavo però le scansioni le avevo già fatte...
Mi potresti dire il log di renV dove si trova perchè a me nn ha fatto niente stava fermo e nn succedeva niente...
Grazie

AllorA Chill-Out io nn ho segiuto un ordine mio ho seguito la giuda lettera per lettera solo che i due log mancanti nn li ho messi perchè nn li trovavo però le scansioni le avevo già fatte...
Mi potresti dire il log di renV dove si trova perchè a me nn ha fatto niente stava fermo e nn succedeva niente...
Grazie

Una volta lanciato Renv.exe (per praticità eseguilo dal DeskTop) produce un log in formato .txt ovvero Log.txt, allega anche un nuovo log di HijackThis

Ecco Gli ultimi due log:

RenV:
http://www.zshare.net/download/7089749adc4fab/

Hijackthis:
http://www.zshare.net/download/7089771950659f/


Grazie di tutto e scusa ma nn sn molto pratico aspetto una tua risposta...
Grazie
Ciauzzzzzzzz

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download: http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/


1) Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle voci sottoindicate:

O2 - BHO: (no name) - {16C4CC4D-559A-40CA-927A-F59BD019E904} - C:\WINDOWS\system32\dbgbrfcu.dll
O2 - BHO: (no name) - {D4C56930-7EB8-4643-920E-B59F14891004} - C:\WINDOWS\system32\awtst.dll (file missing)
O2 - BHO: (no name) - {D5B75695-C656-4945-9792-851682E68D73} - C:\WINDOWS\system32\vtutq.dll (file missing)
O20 - Winlogon Notify: xxywwxx - C:\WINDOWS\
O21 - SSODL: rdihost - {2F543712-A5A8-4D34-8381-A8E5967646C0} - rdihost.dll (file missing)

clicca su Fix cheked

2) Apri il Blocco Note copia e incolla queste righe:

File::
C:\WINDOWS\system32\dbgbrfcu.dll
C:\WINDOWS\system32\awtst.dll
C:\WINDOWS\system32\vtutq.dll
C:\WINDOWS\system32\swreg.exe

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{16C4CC4D-559A-40CA-927A-F59BD019E904}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91262C60-DD10-46FA-A09B-AE14902ECA11}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CAF22F75-08E5-448B-A88B-BE7083D35077}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4C56930-7EB8-4643-920E-B59F14891004}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D5B75695-C656-4945-9792-851682E68D73}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxywwxx]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt + nuovo log di HJT, ciao.

NB: i log per il controllo li hosti qui: http://www.fileup.itadib.com grazie

Armati di pazienza dobbiamo fare ulteriori controlli

Ecco i due Log che mi hai chiesto:

ComboFix:
http://www.fileup.itadib.com/download.php?id=0XOQ8iryLLnlkaXyLMEd

HJT:
http://www.fileup.itadib.com/download.php?id=KGQNjNms615PkVHfaVxp

Grazie per l'aiuto che mi stai dando...
Grazie tanto

è maledetto sto virus....sono riuscito, forse, a toglierlo con ComboFix........

Ecco i due Log che mi hai chiesto:

ComboFix:
http://www.fileup.itadib.com/download.php?id=0XOQ8iryLLnlkaXyLMEd

HJT:
http://www.fileup.itadib.com/download.php?id=KGQNjNms615PkVHfaVxp

1) Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx della voce sottoindicata:

O20 - Winlogon Notify: xxywwxx - C:\WINDOWS\

2) Scarica Avenger http://swandog46.geekstogo.com/avenger.zip
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che ti indico cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da allegare per il controllo


registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxywwxx

Scarica A-Squared Free http://download5.emsisoft.com/a2FreeSetup.exe installalo aggiornalo e lancia una Deep Scan gli eventulai malware rilevati vanno messi in quarantena allega il log per il controllo

Ciao

ecco i due log che avevi chiesto:

Avenger:
http://fileup.itadib.com/download.php?id=UuS5DxMgl9umWN7cStRZ

A2F:
http://fileup.itadib.com/download.php?id=CgqyLURljkUNQWzoUK8c

Grazie Tanto

Cosa hai fatto delle tracce rilevate da A-Squared? Perchè dal log non si capisce che azione hai intrapreso, nel senso che questi:

C:\Documents and Settings\Mirco\Cookies\mirco@atdmt[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Mirco\Cookies\mirco@doubleclick[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Mirco\Cookies\mirco@tradedoubler[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Mirco\Dati applicazioni\Mozilla\Firefox\Profiles\97b1drwx.default\cookies.txt:39 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Mirco\Dati applicazioni\Mozilla\Firefox\Profiles\97b1drwx.default\cookies.txt:50 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Mirco\Dati applicazioni\Mozilla\Firefox\Profiles\97b1drwx.default\cookies.txt:60 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Mirco\Dati applicazioni\Mozilla\Firefox\Profiles\97b1drwx.default\cookies.txt:61 rilevati: Trace.TrackingCookie


li puoi eliminare

questo:

c:\windows\system\cat.dll rilevati: Trace.File.MiniSpy

sarebbe opportuno controllarlo su www.virustotal.com, indica il link dove visualizzare i risultati, per il resto il PC come và dovremmo aver risolto.

sono infetto sto facendo le varie scansioni ma ho win vista e avenger nn và:(
con HJT riusciamo a rimuoverlo completamente?:( :(

sono infetto sto facendo le varie scansioni ma ho win vista e avenger nn và:(
con HJT riusciamo a rimuoverlo completamente?:( :(

c sono un bel po di programmi prima di un eventuale utilizzo di avenger...

utilizzali nell'ordine indicato e posta i log, grazie

ok ho fatto tutte le scansioni tranne quella di FindAWF: nn so usarlo
RenV niente
VundoFix in modalità provv ha trovato ed eliminati 4 files
FixVundo niente
ComboFix mi dà un errore e nn si avvia
prevx CSi si blocca a metà dicendo che non ho connessione
VirIT nn si aggiorna x lo stesso motivo si prev

posto il log di HJT

EDIT: dopo aver eliminati i files con VundoFix quando avvio appare un messaggio che dice nn ha potuto caricare un file:che faccio?

allora:

posta i log di renv, vundofix, fixvundo, virtumundobegone

che errore ti dà combo? dovrebbe cmq generare un log, postato qui

prevx csi lo devi fare girare in modalità normale, come spiegato nella guida....posta il log (a fine scansione,clicca su options e poi save log)

cosi come virit,in mod normale (posta il log)

rifai una nuova scansione con hijackthis (dopo prevx e virit) e fermati qui e attendi ulteriori iori isistruzioni

allora:

posta i log di renv, vundofix, fixvundo, virtumundobegone


che errore ti dà combo? dovrebbe cmq generare un log, postato qui

prevx csi lo devi fare girare in modalità normale, come spiegato nella guida....posta il log (a fine scansione,clicca su options e poi save log)

cosi come virit,in mod normale (posta il log)

rifai una nuova scansione con hijackthis (dopo prevx e virit) e fermati qui e attendi ulteriori iori isistruzioni
il link di virtumundobegone è stato rimosso
combofix mi fa apparire un errore del tipo "si è riscontrato un errore premere ok x terminare il processo ma in inglese
log di renv allegato



riguardo a PrevX CSI e VirIT:
ho eseguito lo scan in modalità normale prev mi dice a metà che la connessione è assente e nn può lavorare
con VirIT mi dice che la connessione è assente (ma è attiva) e nn si aggiorna ma ho eseguito lo stesso la scansione ma come fixvundo il log è in formato .log e nn lo allega


ciao e fammi sapere!

modifica il tuo post...dovresti sapere il motivo

e dovresti sapare come postare i log......c sono 2 alternative, spiegate in guida....

scusa..ecco il link del file .rar con dentro i log di virit e fixvundo
http://www.fileup.itadib.com/download.php?id=DT15isJ2UdboOandPvWK
edit ora vado ci vediamo dmn

scusa..ecco il link del file .rar con dentro i log di virit e fixvundo
http://www.fileup.itadib.com/download.php?id=DT15isJ2UdboOandPvWK
edit ora vado ci vediamo dmn

:muro: :muro: :muro:

niente file rar o zip: è esplicitamente specificato log in formato txt :rolleyes:

:muro: :muro: :muro:

niente file rar o zip: è esplicitamente specificato log in formato txt :rolleyes:
Log di FixVundo: http://www.fileup.itadib.com/download.php?id=AO3DmQFss4dDgL0ta3o1
Log di VirIT :
http://www.fileup.itadib.com/download.php?id=9afQiw5lueFIt58KkYGp
sono in formato txt ma cmq quel rar funzionava

Log di FixVundo: http://www.fileup.itadib.com/download.php?id=AO3DmQFss4dDgL0ta3o1
Log di VirIT :
http://www.fileup.itadib.com/download.php?id=9afQiw5lueFIt58KkYGp
sono in formato txt ma cmq quel rar funzionava

rifai nuovamente il giro delle scansioni, rispettando l'ordine e le modalità


VirtumundoBeGonE : DOWNLOAD (http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe)

posta tutti i log

il fatto che la connessione nn va nn è un buon segno

rifai nuovamente il giro delle scansioni, rispettando l'ordine e le modalità


VirtumundoBeGonE : DOWNLOAD (http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe)

posta tutti i log

il fatto che la connessione nn va nn è un buon segno
ok sto rifacendo ma come faccio a salvare il log di vundofix?
il fatto che la connessione nn va nn è un buon segno
:eek:che puo succedere?

aaaaaaaaaaaaaaaaaaaaaaaa un file infetto fa Worm.Beagle.DM e rimosso da VirIT
mi sto preoccupando fortemente :(:(:(
ma dove ca**o li ho presi tutti sti virus???
attendo istruzioni

aaaaaaaaaaaaaaaaaaaaaaaa un file infetto fa Worm.Beagle.DM e rimosso da VirIT
mi sto preoccupando fortemente :(:(:(
ma dove ca**o li ho presi tutti sti virus???
attendo istruzioni

fai tutte le scansioni previste dalla guida e posta tutti i log...
nn capisco cosa c sia di difficile

ecco i log

ecco il log di hjt

nn c siamo capiti....:rolleyes:
servono tutti i log di questi programmi:

1-renv
2-VundoFix
3-FixVundo
4-VirtumundoBeGone
5-ComboFix

io ne vedo solo alcuni..gli altri? combofix? fixvundo? vundofix?

visto che virit all'improvviso ha trovato tracia di vundo, rifai quelle scansioni e fermati li, in modalità provvissoria

posta i log in un unico post, se leggi bene la guida, sono indicate le varie modalità di pubblicazione dei log....oltre alla funzione allegati, puoi caricare i log su fileup

fermati a queste scansioni, una volta superate queste, eventualmente passiamo avanti....

nn c siamo capiti....:rolleyes:
servono tutti i log di questi programmi:

1-renv
2-VundoFix

3-FixVundo
4-VirtumundoBeGone
5-ComboFix

io ne vedo solo alcuni..gli altri? combofix? fixvundo? vundofix?

visto che virit all'improvviso ha trovato tracia di vundo, rifai quelle scansioni e fermati li, in modalità provvissoria

posta i log in un unico post, se leggi bene la guida, sono indicate le varie modalità di pubblicazione dei log....oltre alla funzione allegati, puoi caricare i log su fileup

fermati a queste scansioni, una volta superate queste, eventualmente passiamo avanti....

le scansione che si dovevano fare in mod provv le ho fatte tutte 2 volte tranne combofix e solo la 1a volta vundofix ne ha trovati 4
-renv ha rilasciato un log vuoto
-il log di fixvundo nn so dv trovarlo
-vundofix me l'ero dimenticato ora te lo allego:muro:
-virtumundobegone te lo dato nel 1° post si chiama VBG5.txt
-combofix non funziona niente da fare appena lo apro mi esce una finestra dos e la segnalazione errori microsoft

cmq ti faccio un rieplogo delle scan che ho fatto:

1a volta
-renv log vuoto
-VundoFix 4 rilevati e rimossi (vedi log)
-FixVundo niente
-VBG nn avevo il link
-ComboFix nn funzia
-Prevx CSi si blocca a metà dicendo che nn cè connessione
-VirIT nn si aggiorna per lo stesso motivo di prev solo che lo scan lo fatto 0 files trovati

2a volta
-renv log vuoto
-VundoFix niente
-FixVundo niente
-VBG niente
-ComboFix nn funzia
-Prevx CSi si blocca a 3/4 dicendo che nn cè connessione
-VirIT nn si aggiorna per lo stesso motivo di prev solo che lo scan lo fatto 1 file trovato

EDIT: potresti guardarmi un pò il log di HJT?, vorrei sapere se se n'è andato definitivamente
EDIT2:ohmmerda nei miei processi cè lsass.exe ,ho letto che è un worm che faccio?

certo che le hai tutte tu: prima vundo, e ora virit scopre un file infetto da bagle....:rolleyes:

1-cancella tutti i crack che hai, tutti, se no è inutile

2-fixa queste voci in hijackthis:

O2 - BHO: (no name) - {27333590-F4FE-4820-9AA9-4220F8A52EDC} - C:\Windows\system32\urspp.dll (file missing)
O2 - BHO: (no name) - {BE26370A-BB2F-4905-9632-1041AE82DB4B} - C:\Windows\system32\khhge.dll (file missing)
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\byvsq.dll,#1
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dlleNetHook.dll
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)


hai ancora un dll riferita a vundo.....:mad:

e vedo che hai avast... :muro: :muro:

disinstalla completamente avast, pulisci il pc e il registro di windows con ccleaner e riavvia il pc:
Scarica CCLEANER: DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui


installati il trial della kaspersky, lascia stare x il momento avira

fai una scansione completa con kaspersky e posta il report

dopo aver fatto ciò, riprova in modalità provvissoria combofix e vediamo se riesce a funzionare: combo fix deve essere lasciato lavarare in pace, disconnessi da internt, senza fare niente al pc, potrà sembrare che nn succede niente, invece sta lavorando

dimmi che problemi presenti al pc

certo che le hai tutte tu: prima vundo, e ora virit scopre un file infetto da bagle....:rolleyes:

1-cancella tutti i crack che hai, tutti, se no è inutile

2-fixa queste voci in hijackthis:


hai ancora un dll riferita a vundo.....:mad:

e vedo che hai avast... :muro: :muro:

disinstalla completamente avast, pulisci il pc e il registro di windows con ccleaner e riavvia il pc:
Scarica CCLEANER: DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui


installati il trial della kaspersky, lascia stare x il momento avira

fai una scansione completa con kaspersky e posta il report

dopo aver fatto ciò, riprova in modalità provvissoria combofix e vediamo se riesce a funzionare: combo fix deve essere lasciato lavarare in pace, disconnessi da internt, senza fare niente al pc, potrà sembrare che nn succede niente, invece sta lavorando

dimmi che problemi presenti al pc
ma BAGLE e BEAGLE sn la stessa cosa? VirIT ha trovato BEAGLE..

ok ora faccio tutto
certo che sono proprio sfigato... :muro: :mad:
mah... di problemi nn ne vedo molti
solo che la ricerca dei file nn trova mai niente di valido (me lo trova in una vecchia posizione)e esce il mess come se l'avessi eliminato
e poi qualche rallentamento all'avvio e allo spegnimento..
ah e poi il probl di prev e virit che nn rilevano connessione
tramite HJT la dll se na và?

ma BAGLE e BEAGLE sn la stessa cosa? VirIT ha trovato BEAGLE..

ok ora faccio tutto
certo che sono proprio sfigato... :muro: :mad:
mah... di problemi nn ne vedo molti
solo che la ricerca dei file nn trova mai niente di valido (me lo trova in una vecchia posizione)e esce il mess come se l'avessi eliminato
e poi qualche rallentamento all'avvio e allo spegnimento..
ah e poi il probl di prev e virit che nn rilevano connessione
tramite HJT la dll se na và?

ragione hai....nn sono la stessa cosa, avevo letto male

cmq fai quello che ti ho suggerito e vediamo se le cose migliorino...

mi raccomando disinstalla avast e installati x il momento kaspersky....poi al termine di tutto, lo potrai rimuovere se nn ti trovi bene, ed installarti avira

ok sto a fa lo scan con kaspersky
mi ha trovato Heur.Invadier dentro a combofix è un falso positivo o lo elimino?

ok sto a fa lo scan con kaspersky
mi ha trovato Heur.Invadier dentro a combofix è un falso positivo o lo elimino?

dovrebbe essere un falso positivo, xò tu mettilo in quarantena insieme alle altre cose che trova, posta qui il report

nn fare nulla mentre scansiona...

Fatta scansione con Kaspersky
dove trovo il log?

Fatta scansione con Kaspersky
dove trovo il log?

dovrebbe esserci una voce "rapporti" o "report", vedi li....

nn la trovo...:muro: :muro: mi potresti dire il percorso esatto?

Gentilemte mi puoi dire dove trovo l'host remoto per inviare dei file di scansioni?

Gentilemte mi puoi dire dove trovo l'host remoto per inviare dei file di scansioni?

caricare il log su FileUp (http://www.fileup.itadib.com/index.php), copiando qui i link x il download

specificare x ciascun link il programma

grsie

scusami ma a chi invio la mail ovvero l'indirizzo del destinatario ?
grazie

scusami ma a chi invio la mail ovvero l'indirizzo del destinatario ?
grazie

nn è necessario: è un opzione...c'è scritto ;)

Salve a tutti.
Premetto di essere un mero utente di computer quindi molto poco esperto e chiedo scusa fin da ora se commetterò degli errori nell'eseguire le procedure o nel rispondere alla discussione. Ho un virus del tipo trojan vundo. Il mio antivirus (Norton) lo segnala ma non lo rimuove. Ho provato la rimozione con altri programmi ma credo di non essere riuscito nell'impresa. Come segnalato nella prima pagina della discussione ho scaricato i vari programmi consigliati ed ho fatto eseguire le scansioni (in alcuni casi la scansione era talmente lenta che l'ho eseguita in modalità normale e non in provvisoria). Se riesco allego al messaggio i log delle scansioni eseguite, e cioè:
log renV, log VundoFix, log FixVundo, log VirtumundoBeGone, log ComboFix, log PrevxCSI, log Virit, log Hijackthis.
Vi ringrazio fin da ora dell'aiuto che protrete prestarmi.

Continuo l'invio dei i log.

Continuo l'invio dei log.

@ARISTOGITONE:

Apri HiJackThis e fixa queste voci:

O2 - BHO: {287d6caa-a1b2-aa2a-f2c4-90a74c4610a5} - {5a0164c4-7a09-4c2f-a2aa-2b1aaac6d782} - C:\WINDOWS\system32\qbskfwtm.dll (file missing)

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [BMa79d9657] Rundll32.exe "C:\WINDOWS\system32\hneuykop.dll",s

O4 - HKLM\..\Run: [a4aea5cb] rundll32.exe "C:\WINDOWS\system32\luqtfqhl.dll",b

O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe

O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe

O20 - Winlogon Notify: byxutss - byxutss.dll (file missing)

O20 - Winlogon Notify: opnliif - opnliif.dll (file missing)

Poi scarica Avenger (http://swandog46.geekstogo.com/avenger.zip). Eseguilo e seleziona Input Script Manually, clicca sulla lente e inserisci:

Files to delete:
C:\WINDOWS\system32\hneuykop.dll
C:\WINDOWS\system32\luqtfqhl.dll

Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.txt, un nuovo log di HiJackThis e un log di PrevxCSI.

Allega un nuovo log di Combofix quello precedentemente allegato è incompleto

Fixate le voci suggerite. Lanciato Avenger che però da un messaggio di errore "error: selected file does not appear to be a valid script".
Allego il lo di combofix rieseguto dopo il fix.

Fixate le voci suggerite. Lanciato Avenger che però da un messaggio di errore "error: selected file does not appear to be a valid script".
Allego il lo di combofix rieseguto dopo il fix.

Adesso andiamo un pò meglio, allega un nuovo log di HJT

Allego il nuovo log di HiJackThis.

Allego il nuovo log di HiJackThis.

Dovresti essere OK, riscontri altri problemi?

Sembra tutto ok. Non ci sono più i tentativi di collegarsi alle rete come prima.
Non sapete quale grande aiuto mi avete dato.
Un sentitissimo grazie a tutti voi.

Sembra tutto ok. Non ci sono più i tentativi di collegarsi alle rete come prima.
Non sapete quale grande aiuto mi avete dato.
Un sentitissimo grazie a tutti voi.

Fai una passata con Ccleaner

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

Ciao

Ok...siccome ho trovato questo maledetto virus allora mi sono sparato tutte queste scansioni e ora vi allego i log.. qualcuno riesce a capirci qualcosa?
Non riesco ad allegare il log di hijackthis (mi dice invalid file) e siccome lo trovo importante lo riporto qui sotto anche se so che non si potrebbe.Scusate.

modifica il tuo messaggio e allega il log di hijack qui: www.fileup.itadib.com

Questo è il link del mio log di hijackthis... che? me ce date una guardata?
GRAZIE:help:

Questo è il link del mio log di hijackthis... che? me ce date una guardata?
GRAZIE:help:
http://www.fileup.itadib.com/download.php?id=cLa4gSIlfIeZKWNSC96T

Questo è il link del mio log di hijackthis... che? me ce date una guardata?
GRAZIE:help:
http://www.fileup.itadib.com/download.php?id=cLa4gSIlfIeZKWNSC96T


ciao, gentilmente modifica il tuo post precedente, cancellando l'intero log di hijackthis

gli altri log? mancano:

fixvundo
vundofix
VirtumundoBeGone
Prevx CSI

i primi 3 li hai fatti girare in modalità provvissoria?

attendiamo gli altri log....:)

Shiao belli Qualcuno ci capisce qualcosa?
Il computer gira ma ho dovuto riparare windows e ora si presentano 2 problemi:
1:va piano, è un po' inchiodato..
2:ad ogni accensione mi parte l'installazione di Windows Installer e di un "Photogallery" che non mi tornano..
Avevo il virus Virtumonde
Ecco i miei log in ordine..ho fatto tutto in modalità provvisoria.
Ecco fixvundo :
http://www.fileup.itadib.com/download.php?id=kzifnJwf4zTfm0PkC4F3
Poi, VundoFix non mi ha trovato niente.
E ancora: quelli di VundoBeGone è allegato e questo è il link di quello di Prevxvcsifree che mi ha trovato qualcosa ma non me lo fa togliere: http://www.fileup.itadib.com/download.php?id=fuTgPH3mCO4N9FICyy9y
E infine quello di hijackthis nuovamente:
http://www.fileup.itadib.com/download.php?id=NAGFtk7Nf7rp6wfqK0kL.
Spero che possa bastare.
Vi ringrazio per la milionesima volta.. Un abbraccio a tutti..

O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe


Sicuramente sospetto
Applicazione sconosciuta. Questa voce è stata classificata dai nostri visitatori come infetta.
Voto dei visitatori Analyzerdetails

O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe
Da eliminare! Affilred.B adware
posso andare sicuro e cancellare queste 2 voci?
power86 è offline Rispondi citando il messaggio o parte di esso



Quote:
Originariamente inviato da deneb87 Guarda i messaggi
quelle voci sono spesso relative al trojan vundo, quindi ti consiglio di seguire la guida alla disinfezione per quel trojan
boh io non ho i problemi che si ahnno normalmente con vundo
so che mi si è disattivato e riattivato kis7 ed emule e la cartella incoming conteneva 800 archivi di 1.90mb ciascuno riportanto i nomi dei più comuni software che si trovano in giro

ho fixato le 2 voci

svuotato incoming e i file condivisi di emule, riavviato
e sembra essere tutto ok
ho rifatto un scan con hijackthis e pare essere tutto ok

si accettano suggerimenti

ho trovato il file winsecure e l'ho cancellato (anche da win\prefetch) e lo stesso dicasi per ntspool

kis7 mi vede combofix come un virus

cmq ho disattivato il ripristino
da mod provvisoria ho fatto 1 scansione con combofix e nn ha trovato nulla,
avenger e idem


fixvundo's log: http://www.zshare.net/download/7816406866975a/

hijackthis log: http://www.zshare.net/download/781654314e4600/

aiutatemi a capire se sono infetto o no

edit ho fatto la scansione con prev csi free e mi ha trovato in system 32 il file swreg.exe (generic malware) che cosa è e cosa devo fare?

Ciao Power86 non capisco se hai risposto a me o cosa?
Io aspettavo una risposta da Murack ma penso che continuerò ad aspettare..
Altrimenti: qualcuno può darmi un'occhiata ai log che ho allegato?:cry:

Ciao Power86 non capisco se hai risposto a me o cosa?
Io aspettavo una risposta da Murack ma penso che continuerò ad aspettare..
Altrimenti: qualcuno può darmi un'occhiata ai log che ho allegato?:cry:

scusami, un attimo e ricontrollo tutta la tua procedura....

Andre22000:

facciamo cosi:

1-controlla che il ripristino configurazione sistema sia disattivato

2-disinstalla combofix cosi:

start -> esegui -> digita "combofix /u" e premi invio

3-riavvia il pc

4-Scarica CCLEANER: DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui


5-scarica la nuova versione di prevx csi e fai la scansione e posta il log

6-fai la scansione con virit....già l'avevi fatta? ti aveva trovato qualkosa? il log posta

7-fai la scansione con hijackthis in modalità normale e posta il log

8-fai la scansione con findawf e posta il log

quel ca##o di combofix mi ha sballato tutto il sistema:ncomment:

quel ca##o di combofix mi ha sballato tutto il sistema:ncomment:

ne dubito, quali sarebbero i problemi riscontrati?

spero di aver azzeccato il thread giusto:fagiano:
volevo segnalare questo tool per Virtumonde,il tool è della nod,autore Paolo Monti.

http://www.nod32.it/tools/undll.php

http://img01.picoodle.com/img/img01/4/2/20/f_undllscreenm_00e9599.jpg (http://www.picoodle.com/view.php?img=/4/2/20/f_undllscreenm_00e9599.jpg&srv=img01)

che ne pensate,potrebbe esservi utile?
se è già stato segnalato,mi scuso:stordita:

quel ca##o di combofix mi ha sballato tutto il sistema:ncomment:

non credo Combo non ha eliminato nulla

spero di aver azzeccato il thread giusto:fagiano:
volevo segnalare questo tool per Virtumonde,il tool è della nod,autore Paolo Monti.

http://www.nod32.it/tools/undll.php

http://img01.picoodle.com/img/img01/4/2/20/f_undllscreenm_00e9599.jpg (http://www.picoodle.com/view.php?img=/4/2/20/f_undllscreenm_00e9599.jpg&srv=img01)

che ne pensate,potrebbe esservi utile?
se è già stato segnalato,mi scuso:stordita:
era per le prime varianti socio...terminava il processo e sganciava le dll...ma con questa variante bastardissima completa di rootkit......:mad: :incazzed:
non ci fai nulla....in quanto il rootkit se non zompato in contemporanea ricrea le dll....:rolleyes: :nera: :grrr:
quel ca##o di combofix mi ha sballato tutto il sistema:ncomment:
Quoto i soci...combo ha solo fatto scan senza eliminazioni...se ci riporti i problemi riscontrati......:read:

ok socio,sarà per il prossimo tool allora...:D
sull'affidabilità di questo,a differenza di un,due,tre ti spio il pc....(:sbonk:),non ci sono dubbi:sofico:

come ho tetto al primo post dopo l'eliminazione di qiei 2 file mi sembrava di non avere più problemi
per scrupolo ho seguito la guida e adesso mi ritrovo con la scheda di rete che non me riconosceva proprio (ho dovuto riavviare 2 volte per farmela riconoscere)
e il pc per andare in sleep ci mette troppo (per come lo inendo io dato ke prima il pc era davvero una scheggia)

come ho tetto al primo post dopo l'eliminazione di qiei 2 file mi sembrava di non avere più problemi
per scrupolo ho seguito la guida e adesso mi ritrovo con la scheda di rete che non me riconosceva proprio (ho dovuto riavviare 2 volte per farmela riconoscere)
e il pc per andare in sleep ci mette troppo (per come lo inendo io dato ke prima il pc era davvero una scheggia)

Sleep? :D Chi ha detto sleep? Mai usato ne Sleep/Standby,Sospensione ecc... (anzi sempre disattivata ancora prima di toccare qualsiasi cosa)

per i tuoi problemi non saprei cosa dirti, non credo che possano essere legati in nessun modo a combofix

beh a me torna utile come funzione:D
e poi lo stesso problemi di rallentamento li da anche in fase di shutdown (considerando che ieri mattina si spegneva in 1 lampo, mo ce ne occorrono minimo 3)

(senza parlare che come browser predefinito mi era ritornato ie)

beh a me torna utile come funzione:D
e poi lo stesso problemi di rallentamento li da anche in fase di shutdown (considerando che ieri mattina si spegneva in 1 lampo, mo ce ne occorrono minimo 3)

(senza parlare che come browser predefinito mi era ritornato ie)

combofix infatti provvede a ripristinare gran parte delle configurazioni di base di windows

ok ok ma dai log che ho postato nella pagina precedente si evince qualcosa?;)

allora:
Ho tolto il ripristino di sistema, ho cercato di cancellare combofix come hai detto ma non me lo toglie (dice di non trovare il percorso richiesto)..
ho fatto girare cc cleaner come si deve..
ora ti metto i log a disposizione..
Prevcsifree (ultima versione aggiornata) : http://fileup.itadib.com/download.php?id=nkf3r2iqbXjHY7eDYRtp
Virit in allegato..
Link per il log di Hijackthis:
http://fileup.itadib.com/download.php?id=grwNcML3JxURVQKKB1hh
e Findawf in allegato.
Ho fatto tutto per benino ehm ;)
Aspetto tue notizie Murack83!!
CIAO E GRAZIE MILLE PER TUTTO QUESTO SBATTIMENTO!!!!:stordita:

ok, ben fatto

allora per prima cosa fai cosi:

scarica avenger (avira lo potrebbe rilevare come malware,disattiva avira momentaneamente): DOWNLOAD (http://swandog46.geekstogo.com/avenger.zip)
lo scompatti in una sua cartella dedicata,
avvia avenger,
seleziona input script manually,
clicca sulla lente d'ingrandimento,
inserisci il seguente script (tutto quello che è compreso nel quote):


files to move:

C:\Programmi\Microsoft LifeCam\bak\LifeExp.exe | C:\Programmi\Microsoft LifeCam\LifeExp.exe
C:\Programmi\QuickTime\bak\QTTask.exe | C:\Programmi\QuickTime\QTTask.exe
C:\Program Files\Hamlet\Adsl\bak\dslagent.exe | C:\Program Files\Hamlet\Adsl\dslagent.exe
C:\Program Files\Hamlet\Adsl\bak\dslstat.exe | C:\Program Files\Hamlet\Adsl\dslstat.exe



Cliccare su done, Cliccare sul semaforo, Rispondere sì 2 volte;il pc dovrebbe riavviarsi, casomai lo riavvii manualmente

fatto questo, scaricati nuovamente combofix dalla guida, fai la scansione con antivirus disattivato, disconnesso da internet e con tuttti i probgrammi chiusi (emule,msn,ie,ecc),

forse scomparirà il desktop, nn ti preocuppare

a fine scansione, apparirà il log, chiudi pure la finetra, xchè il log viene salvato automaticamente in C:\

quindi prendi il log e lo posti qui e attendi :)

Ho fatto quello che mi hai detto con Avenger e anche con combofix
e ora ti allego il log!
Eccotelo..
ancora grazie Murack..

Ho fatto quello che mi hai detto con Avenger e anche con combofix
e ora ti allego il log!
Eccotelo..
ancora grazie Murack..

ok, disinstalla combofix come ti avevo detto prima:

start -> esegui -> digita "combofix /u" e premi invio

riavvia il pc

utilizza nuovamente ccleaner

nuovo log di hijackthis + nuovo log di prevx csi

dimmi se presenti ancora problemi

ok, disinstalla combofix come ti avevo detto prima:

start -> esegui -> digita "combofix /u" e premi invio

riavvia il pc

utilizza nuovamente ccleaner

nuovo log di hijackthis + nuovo log di prevx csi

dimmi se presenti ancora problemi


ed eccomi!!! A quanto pare Prevx CSI non trova nulla...
Questo è il link per il log di hijackthis : http://fileup.itadib.com/download.php?id=CmWWJTXDezTNkYSflxtb
E questo è quello di Prevx Csi:
http://fileup.itadib.com/download.php?id=sCSlwz4Ob2djB8SihtHn
a me sembra sia tutto a posto....
E per la centocinquantasettesima volta ti ringrazio..

......

ok, sembra tutto pulito :)

hai solo ancora traccie di norton, quindi fixa in hijackthis questa voce:



O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)


dopodicchè segui con attenzione questa guida alla completa rimozione di norton (occhio che alcuni passaggi sono molto delicati):
http://www.hwupgrade.it/forum/showthread.php?goto=newpost&t=1630445


xil resto, tutto ok :D

abbiamo concluso

ciao

CIAO MURACK!!!!



MA QUANTE NE SAI???? ;)

CIAO MURACK!!!!



MA QUANTE NE SAI???? ;)

ciao :)

credimi: molto poco rispetto a tanti altri di questo forum

finita la rimozione del virus norton? :sbonk:

ciao

Ciao Murack sono di nuovo dei casini, non ci posso credere..
Sai cos'è successo?
Ho eseguito dustbuster, poi regseeker e infine l'altro jw16power (o qualcosa del genere)...
Ho riavviato e tadadaaaa....il pc si è impallato completamente..
Ora riesco a entrare in Windows ma non mi appaiono le icone del desktop e anche usando taskmanager i programmi non mi vanno in esecuzione..
e questa volta più delle altre non so proprio cosa fare..
Per task manager i processi in esecuzione ci sono, peccato che oltre allo sfondo e alla freccia non si vede nada..:help: :help: :help:
Cosa faccio adesso?

....


uhmm....quella guida incomincia a dare piu problemi che altro....

dopo la rimozione di vundo, nn avevi riattivato il ripristino?

controlla....

altrimenti, riguardo il desktop, prova cosi e vediamo come va:
http://www.hwupgrade.it/forum/showthread.php?t=1555416&highlight=explorer

Ho eseguito dustbuster, poi regseeker e infine l'altro jw16power (o qualcosa del genere)...

ciao, io so cosa probabilemnte è successo
però eri anche stato avvisato che la parte con regseeker era molto delicata

hai percaso... selezionato tutte le voci e cliccato su scan.. o hai selezionato solo quella indicata nella guida ?

Ora spuntate tra le opzioni l'unica non spuntata (Servizi Non Validi)

se hai fatto la prima cosa e hai cancellato tutto (immagino piu di 1000 correzioni?) .... hai incasinato molto molto molto molto il registro
purtroppo, o riesci ad avviare da task manager regseeker e ripristinare tutti i backup, o ti tocca ripristinare windows da cd :doh:

....

nn è la prima volta, ed evidentemente quella guida risulta essere fin troppo complicata e pericolosa x le persone nn esperte

x quanto mi riguarda, la prox volta darò mie specifiche indicazioni sulla rimozione di norton....

ah..quindi era da interpretare così..:cry: :cry:
io ho pensato : spuntare anche l'unica non spuntata.. e lasciare le altre, non spuntare solo quella e togliere le altre..:doh: :doh: :doh:
ca..o..
ora mi si è incasinato tutto..
ho cancellato almeno mille valori..
:doh: :doh: :doh:

@ Murack, quando fate disinstallare i residui di Norton, facendo utlizzare il relativo tool, poi è sufficente fare girare DustBuster e, per la pulizia del Registro, CCleaner (con la configurazione ed modalità sia pulizia che registro, come facciamo di solito).
Mettere in mano ad utenti poco esperti o disattenti (come in questo caso) un software come Regseeker, significa creare solo problemi: i pulitori di registro (tutti, che sia Regseeker, Clean My Registry, Registry Buster, ecc.) se utilizzati male, fanno solo danni.
quella guida incomincia a dare piu problemi che altro....
La guida, tutto sommato è fatta bene: solo che l'autore ha un tantino esagerato in fatto di ...... estirpazione totale :)

io sono distratto dalla nascita quindi niente da ridire sulla guida..:p
solo che a quanto pare a forza di darci con la gomma ho bucato il foglio:doh: :doh:
adesso sto cancellando todo..
ciao raga:ciapet:

Buonasera a tutti.
Ho seguito, spero im modo esatto, la guida per cercare di eliminare Vundo da mio PC. Allego come richiesto i log dei vari programmi utilizzati. Mi resta da eseguire il punto 10 (avenger) in quanto mi occorre lo script da inserire. Mi scuso in anticipo se la modalità non è quella corretta ma non ho molta dimestichezza con i forum. Resto comunque in attesa di consigli e indicazioni sull'esito della procedura eseguita e su eventuali ulteriori azioni da intraprendere per la soluzione del problema.
Grazie per l'aiuto

Buonasera a tutti.
Ho seguito, spero im modo esatto, la guida per cercare di eliminare Vundo da mio PC. Allego come richiesto i log dei vari programmi utilizzati. Mi resta da eseguire il punto 10 (avenger) in quanto mi occorre lo script da inserire. Mi scuso in anticipo se la modalità non è quella corretta ma non ho molta dimestichezza con i forum. Resto comunque in attesa di consigli e indicazioni sull'esito della procedura eseguita e su eventuali ulteriori azioni da intraprendere per la soluzione del problema.
Grazie per l'aiuto

I log vanno allegati solo ed esclusivamente in formato .txt, quindi non compressi, grazie.

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

perferibilmente tutti i log in un unico post, grazie.

solo che a quanto pare a forza di darci con la gomma ho bucato il foglio:doh: :doh:

qui ci vuole un oscar :D




@Mizzika58

i log non vanno mai zippati
utilizza il servizio www.fileup.itadib.com per hostare i vari log e pubblica il link per il download

Ho eseguito le istruzioni per allegare tutti i log con la procedura indicata.

Saluti

Ho eseguito le istruzioni per allegare tutti i log con la procedura indicata.

Saluti

ma i link dove sono? :D

posto i log fatti seguendo la guida:

http://www.fileup.itadib.com/download.php?id=0F4cOmxnge855Jq33HwC

http://www.fileup.itadib.com/download.php?id=hVAJ6VoD0e1bzyIB5Ij7

http://www.fileup.itadib.com/download.php?id=qwZbNdl5vlSaxd1wv31j

http://www.fileup.itadib.com/download.php?id=QkilkXLugvmOYXEYojHa

http://www.fileup.itadib.com/download.php?id=1Z4a1mEVcgc9gwph86KY

http://www.fileup.itadib.com/download.php?id=R014s7gabtJbRvP3lAP8

http://www.fileup.itadib.com/download.php?id=UuKzItI5e4TRyeDAdbOw

Fai girare questo tool ed allega il log
http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe

http://www.fileup.itadib.com/download.php?id=lw4YOeZCe1D6mdYqJIBo

Esegui HJT clicca su Do a system scan only - metti il segno di spunta nella caella bianca sx della sottoindicata voce - clicca su Fix cheked:

O4 - HKLM\..\Run: [devenv] C:\Windows\system\smvss.exe /w

Scarica questo tool sul Desktop http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
doppio click su OTMoveIT2.exe
Copia/incolla queste righe nella finestra "Paste List of Files/Folders to be moved"

C:\Windows\system\smvss.exe
C:\Program Files\Jasc Software Inc\Paint Shop Pro 8\Plug-in\Xenofex 2\LS_Alien_Skin_Xenofex_v2.0.0_Demo .exe

clicca su MoveIT
se ti viene chiesto di riavviare clicca su YES e alla fine allega il log C:\_OTMoveIt\MovedFiles

oltre al log di OtMoveIt allega un nuovo log di Prevx CSI e HJT

http://www.fileup.itadib.com/download.php?id=XOp7bQillm52o7m3682v

http://www.fileup.itadib.com/download.php?id=Hvg4tD64qh3A6h7tspMv

Fixa questa voce:

O16 - DPF: ˜
üÞ -

nuovo log di HJT e log di Prevx Csi come chiesto in precedenza

http://www.fileup.itadib.com/download.php?id=JC7fYSneyxGbaxMKhLpf

http://www.fileup.itadib.com/download.php?id=EyP5vDiyodlPONteSgA9

Dovresti essere OK

Ringrazio tutti tantissimo per l'aiuto grande che mi avete dato per risolvere il problema del Vundo.

Ma ho un altro problema... le famose connessioni che si creano nella cartella con percorso C:/Utenti/User/AppData/Local/Temp con nome *exgmrgml*.exe dove * sono numeri.
Che cosa sono? come si toglono definitivamente? Io le cancello ma sembrano ricomparire da sole.

Alice

Questo è un'altro problema, allega un log di questo tool http://noahdfear.geekstogo.com/FindAWF.exe

Edit: anche un nuovo log di ComboFix

Ringrazio tutti per le indicazioni avute e anche se il punto 10 non è stato eseguito sembra che tutto funzioni correttamente. Vorrei fare i miei complimenti a Bugs Bunny ed a coloro che hanno collaborato alla realizzazione della guida.
Saluti

allego i log richiesti

http://www.fileup.itadib.com/download.php?id=xiGjYH68UZLHUAYH4W99

http://www.fileup.itadib.com/download.php?id=MuCPS3Yk736M4G9qhZ31

Ovviamente il ripristino configurazione sistema deve essere disabilitato, poi fai puilizia con Ccleaner seguendo queste istruzioni http://www.hwupgrade.it/forum/showthread.php?t=1589984 (Punto 2) dopodichè segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando i log per il controlllo

Per la scansione online utilizza F-Secure http://support.f-secure.it/ita/home/ols.shtml

Per gli ##exgmrgml##.exe c'è anche questo thread:

[risolto][win XP] exgmrgml.exe (http://www.hwupgrade.it/forum/showthread.php?t=1678061&highlight=exgmrgml)

Per gli ##exgmrgml##.exe c'è anche questo thread:

[risolto][win XP] exgmrgml.exe (http://www.hwupgrade.it/forum/showthread.php?t=1678061&highlight=exgmrgml)

Grazie l'avevo visto ;)

http://www.fileup.itadib.com/download.php?id=F0WrS2qtkgDOBKaMckCe

http://www.fileup.itadib.com/download.php?id=Qe6sGcz1yqDNuISXxRoa

http://www.fileup.itadib.com/download.php?id=xlgiQyMFTOWbk7S8jeVS

http://www.fileup.itadib.com/download.php?id=l8WfkHFAYzZghjLGGxIy

http://www.fileup.itadib.com/download.php?id=cf6GplrqdPxjKtaNLXrY

Hai fatto pulizia con Ccleaner? Magari se oltre ad inserire i log scrivessi due righe su i vari ed aventuali problemi che ancora riscontri, sarebbe utile, grazie.

il problema sono le connessioni exgmrgml.exe che si rifanno continuamente nella cartella temp anche se le cancello e quando accendo il pc cercano di connettersi a internet.

Prova così, scarica Avenger (http://swandog46.geekstogo.com/avenger2/download.php) e inserisci questo script:

Files to delete:
C:\WINDOWS\system\smvss.exe


Poi inserisci il log avenger.txt e un log di HJT.

Nuz ha Win Svista comunque smvss.exe è già stato falciato , ti ho chiesto se hai fatto pulizia con Ccleaner tra l'altro C:/Utenti/User/AppData/Local/Temp....sono scomparse

Edit: la scansione online con F-Secure non è completa bisogna fare la scansione di tutto il sistema

Salve, credo di aver preso vundo ankio. tempo fa è stato rimosso (o cosi credevo) con vundofix ma da alcuni giorni parte una dll all'avvio con nomi strani tipo adpcklk.dll. volevo sapere se l'avvio di dll strani all'avvio possa imputarsi a vundo.
stasera (prima non posso) faccio scansione e pulizia con i vari prog della guida poi vi faccio sapere

Salve, credo di aver preso vundo ankio. tempo fa è stato rimosso (o cosi credevo) con vundofix ma da alcuni giorni parte una dll all'avvio con nomi strani tipo adpcklk.dll. volevo sapere se l'avvio di dll strani all'avvio possa imputarsi a vundo.
stasera (prima non posso) faccio scansione e pulizia con i vari prog della guida poi vi faccio sapere

segui la guida in prima pagina.... con tutti i programmi indicati riusciremo ad estirpare completamente questo virus :)

posta qui i log, cosi possiamo aiutarti nella sua rimozione

stai attento a come posti i log, scegliendo tra:
1)la funzione allegati, rinominando i log in formato txt
2)caricare il log su FileUp (http://www.fileup.itadib.com/index.php), copiando qui i link x il download
è preferibile l'ultima opzione

ciao

fatta tutta la parte in modalità provvisoria e non ha trovato niente nessun prog. ora passo al resto anke se già l'avevo fatta quest'altra parte.

fatta anke la 2 parte ma non trova niente nessuno.
unika cosa quando apro ie7 (x down agg xp e basta) appare un mex di allerta

questo qui

http://img85.imageshack.us/img85/2153/im2zf0.th.gif (http://img85.imageshack.us/my.php?image=im2zf0.gif)

e poi apre questa pagina

http://img85.imageshack.us/img85/2531/im1vd0.th.gif (http://img85.imageshack.us/my.php?image=im1vd0.gif)

ke in teoria viene da hxxp://www.avsystemcare.com/
ora come è possibile ke riesca a fare questo sto sito maledetto???

rimane comunque il problema di un *.dll con nome sempre diverso ke parte all'avvio e sito in system32. idee in merito all'autore?

quest è il log di hijacks

cmq ho appena ucciso mljjg.dll
e da una brevissima ricerka in rete sembra sia di una variante di vundo.
trovato grazie a security task manager girando a mano tra i procssi

edit

Magari se ci alleghi i log oltre a quello di HJT, partecipiamo anche noi.
Edit: edita quel link infetto

gli altri log dei vundo non ci sono +. c'era solo skritto no infected file has been found o simili, ma il senso era sempre questo.

gli altri log dei vundo non ci sono +. c'era solo skritto no infected file has been found o simili, ma il senso era sempre questo.

Servono i seguenti log:
ComboFix
VirIt
Prevx CSI
FindAWF
Nuovo log di HJT

ti avevo chiesto di rimuovere il link a quel sito farlocco

@ NECRONOMICON:
ti ho editato il link editato :)
se un'utente ti muove una richiesta più che lecita, come in questo caso di editare il link, è buona cortesia avallare la richiesta ;)

@ NECRONOMICON:
ti ho editato il link editato :)
se un'utente ti muove una richiesta più che lecita, come in questo caso di editare il link, è buona cortesia avallare la richiesta ;)

kiedo scusa, non avevo capito il senso. pensavo fosse sbagliato il link o simili e ho uppato di nuovo il file e messo un nuovo link. pensavo non fosse il sito una fonte di malware xke sopra lo avevano linkato.

cmq x ora sembra non ci siano strani processi all'avvio o altro di strano tranne quel messaggio dopo poco ke apro ie7 e poi l'apertura della nuova finestra con quell'img.

vedendo solo il log di hijacks avete qualke consiglio?

si, questo:

Servono i seguenti log:
ComboFix
VirIt
Prevx CSI
FindAWF
Nuovo log di HJT

Salve a tutti!!
ualcuno può darmi una mano ho seguito i punti della guida e i risultati sono i seguenti.
Non sono riuscito a capire se ho eliminato il problema o no!!
Grazie in anticipo per l'aiuto
(questi sono i primi tre)

ecco gli altri:

@ big_luca:
i tool non mostrano tracce di infezione, che sinto riscontri?

per quanto riguarda hijackthis:
rifai la scansione scegliendo "only scan", finita la scansione il tasto in basso a sinistra verrà identificato dal nome "Fix IT" quindi selezionare le voci desiderate e premere "Fix IT", le voci da fixare sono:

O2 - BHO: (no name) - {036AEDD7-9D70-466F-89A2-C43A46019022} - C:\WINDOWS\system32\ddayx.dll (file missing)
O2 - BHO: (no name) - {4EB7C46D-6DA6-4A3A-BADE-22DEE1337B6E} - C:\WINDOWS\system32\mljji.dll (file missing)
O2 - BHO: (no name) - {8BB34CD2-1650-4A04-A379-39EECBB2E410} - C:\WINDOWS\system32\mllmk.dll (file missing)
O2 - BHO: (no name) - {8E1D3652-C83D-4962-ACE7-5795892E1685} - C:\WINDOWS\system32\pmnno.dll (file missing)
O2 - BHO: (no name) - {972761D2-C30C-4EAA-A05D-2E5A895A3A3C} - C:\WINDOWS\system32\mljgh.dll (file missing)
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

io fixerei anche queste:
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

Io uso avast come antiviruse durante la navigazione con IE mi aveva segnalato un virs.
Poi sul desktop mi è apparsa un'icona di un'applicazione di cui non ricordo il nome che avviava da sola una procedura di scaricamento di file per l'installazione.
Effettuando una scansione con Spybot ha rilevato la presenza del virus vitumonde e facendo una ricerca su google sono arrivato qui.
Ora però dopo aver seguito la guida sembra risolto come anche tu gentilmente mi hai confermato.
Ti volevo chiedere un consiglio dato che avast non sembra tanto affidabile quale alternativa potrei utilizzare per essere più sicuro?
Ti ringrazio per l'attenzione.

potresti sostituire Avast con Avira Antivir Classic e installare OnlineArmor-free che è un firewall semplicissimo da usare e in italiano :)

per la guida su Avira -> http://www.hwupgrade.it/forum/showthread.php?t=1514684

per la guida su Online Armor -> http://www.hwupgrade.it/forum/showthread.php?t=1597881

altriementi un altro buon firewall è Comodo-Firewall però è un po' più complicatino da usare e trovi le due guide qui:
Comdo-Firewall v2.4 http://www.hwupgrade.it/forum/showthread.php?t=1181836

Comodo-Firewall 3.0 http://www.hwupgrade.it/forum/showthread.php?t=1598794

:p

Fixa anche questa O20 - Winlogon Notify: khfgeeb - khfgeeb.dll (file missing)

al termine nuovo log di HijackThis e ComboFix

giusto, mi era sfuggita quella voce ;)

Fixa anche questa O20 - Winlogon Notify: khfgeeb - khfgeeb.dll (file missing)

al termine nuovo log di HijackThis e ComboFix

ho fatto come hai detto e i log sono i seguenti

ho risolto ogni problema :D

ho fatto come hai detto e i log sono i seguenti

non conosco queste voci:
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe

non conosco queste voci:
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe

Dovresti essere OK, riscontri problemi? Le voci indicate dal Mod. dovrebbero essere relative ala stampante Brother

buono a sapersi, infatti non ho mai avuto niente di quella marca :p

ok grazie a tutti per la collaborazione:D

allora stasera credo di aver beccato anche io il virus...
e grazie a voi forse ho risolto

descrivo il procedimento e allego i files...
1. vundofix
2. fixvundo
3. combofix
4. prevcx http://www.zshare.net/download/90499349807536/
5 vir it non ha trovato nulla
6 hijackthis ed ecco il log http://www.zshare.net/download/9050796eafc77e/

solo che anche se ho un pò di dubbi
cosa devo fare con avenger?


e ancora una domanda:cosa ne faccio dei file e delle cartelle che tutti i programmi hanno creato? (per esempio prvcx posso disinstallarlo?

grazie,
d.

non capisco perchè non ha messo gli allegati
li riallego e faccio un'altra domanda che è sicuramente off topic

mi stanno comparendo nella cartella dei downloads tutta una serie di file zippati di vari programmi. roba che non ho mai scaricato da nessuna parte, ma che non so se nemmeno siano eseguibili.

PrevxCSI:

C:\Documents and Settings\David\Desktop\AVSVideoTools.exe InMem: 0 Det [U] PX5: 14A6205A384CA605CB65824453270B03DD5587C9


C:\Programmi\doubleTwist\doubleTwist.exe InMem: 0 Det [U] PX5: 8DAEB70F0041C9B206FE3C313BDF2500AC96B4DA


C:\WINDOWS\Nircmd.exe InMem: 0 Det [UP] MD5: 1D56C98258B6D70F56BAA32380DEA992 PX5: C1C9B84A00BA65586E6A00C9BB6313000CC2D7B7


C:\WINDOWS\system32\swreg.exe InMem: 0 Det [BP] MD5: 01D95A1F8CF13D07CC564AABB36BCC0B PX5: F583C28B008EFEE4785C023A5217460062E7F95F Malware Group: Generic.Malware


C:\WINDOWS\system32\WinSpooler.exe InMem: 0 Det [BP] MD5: 8F47AD57F731572678DBD93531476935 PX5: 58B5BBE100C00B7460D816F1613CF400E110A0A7 Malware Group: Dropper.Generic.VLP


Winspooler non è un falso positivo, i primi due dell'elenco che ho fatto sai dirmi cosa siano? :)

mi stanno comparendo nella cartella dei downloads tutta una serie di file zippati di vari programmi. roba che non ho mai scaricato da nessuna parte, ma che non so se nemmeno siano eseguibili.


perchè hai un Trojan -> WinSpooler.exe

Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx della sottoindicata voce e clicca su Fix checked

O2 - BHO: (no name) - {B6FE7AAF-46F5-4622-81AA-50E98E56EDA3} - C:\WINDOWS\system32\ssqrq.dll (file missing)

Scarica SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt

Al termine oltre al log di SDFix allega un nuovo log di HijackThis e Prevx CSI

Come evidenziato dal Mod. è opportuno controllare su www.virustotal.com i seguenti file:

C:\Documents and Settings\David\Desktop\AVSVideoTools.exe
C:\Programmi\doubleTwist\doubleTwist.exe

indica il link dove visualizzare i risultati delle analisi

buongiorno e grazie per la prima risposta.
ma quindi con il vundo ho risolto?
come ho già chiesto: file e programmi? cosa me ne faccio?

allora ho eseguito hjack e ho fixato la voce che mi avete indicato
poi ho scaricato e eseguito sdfix e il suo report è allegato

e hijackthis adesso non me lo fa più aprire (Runtime error 50003)

mentre prevxcsi trova qualcosa. posto il log http://www.zshare.net/download/9068223fcc55c8/

i 2 file sono 2 programmi per conversione di file audio e video.
grazie.

buongiorno e grazie per la prima risposta.
ma quindi con il vundo ho risolto?
come ho già chiesto: file e programmi? cosa me ne faccio?

prima terminiamo la procedura di disinfezione poi rimuoviamo il superfluo

allora ho eseguito hjack e ho fixato la voce che mi avete indicato
poi ho scaricato e eseguito sdfix e il suo report è allegato

e hijackthis adesso non me lo fa più aprire (Runtime error 50003)

questo è strano, disinstalla HijackThis da Pannello di controllo - Installazione applicazioni, riscaricalo da questo indirizzo Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
e fammi sapere se funziona

mentre prevxcsi trova qualcosa. posto il log

nulla di chè è ComboFix

i 2 file sono 2 programmi per conversione di file audio e video.
grazie.

Ok

attendo il log di HijackThis ci sono altre cose da fare

ho riavviato il pc e mi ha fatto eseguire hijack.
ecco il log


grazie

Apri il Blocco Note copia e incolla queste righe:

File::
C:\WINDOWS\system32\KGyGaAvL.sys

Filelook::
C:\WINDOWS\system32\rar.exe

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

per scrupolo questo file C:\WINDOWS\system32\rar.exe (mi puzza di virus) lo controlli su VirusTotal www.virustotal.com e mi indichi il link dove visualizzare i risultati

ecco i 2 log:
http://www.virustotal.com/it/analisis/d648d047487206474d7a4ebf8fe0e033 questo è quello di virus total

e giù c'è quello di combofix

---- C:\WINDOWS\system32\rar.exe ----

Company: Microsoft Corporation
File Description: Microsoft© Cabinet Tool
File Version: 5.00.2147.1
Product Name: Microsoft(R) Windows (R) 2000 Operating System
Copyright: Copyright (C) Microsoft Corp. 1981-1999
Original file name: cabarc.exe

1d5a7020465c89a816a7510ed6db1c9c l'MD5 hash non corrisponde

questo non è un file di Microsoft anche perchè è stato creato in data 2008-11-03, per caso su questo PC hai installato/disinstallato Visual Studio

a dire la verità non so cosa sia visual studio

domanda: ma rar.exe non è il file exe di winrar?

come stava il log di hijack?

a dire la verità non so cosa sia visual studio

domanda: ma rar.exe non è il file exe di winrar?

come stava il log di hijack?

No non ha a che vedere con WinRar, dunque provvedi a svuotare il contenuto della cartella Prefetch da Start - Tutti i programmi - Accessori - Esplora risorse il percorso è il seguente C:\WINDOWS\Prefetch mi raccomando devi eliminare SOLO il contenuto NON LA CARTELLA



Apri il Blocco Note copia e incolla queste righe:

File::
C:\WINDOWS\system32\rar.exe

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Il log di hijackThis và bene, dimme come và il PC e se si è risolto il problema dei file mi stanno comparendo nella cartella dei downloads tutta una serie di file zippati di vari programmi. roba che non ho mai scaricato da nessuna parte, ma che non so se nemmeno siano eseguibili. secondo me si, poi disinstalliamo i tool non necessari e mettiamo in sicurezza il PC.

combofix eseguito, log allegato

parlavi di mettere in sicurezza il pc:
ho installato avast e Ad-Aware
insomma che altro devo fare? mi consigli una guida da leggere?

quali tool devo disinstallare?

davvero, grazie gfrazie per il preziosissimo aiuto.

Puoi rimuovere i seguenti tool e relative cartelle:

VundoFix
FixVundo
VirtumundoBeGone
SDFix

Disinstalla:
VirIt

Puoi riattivare il ripristino configurazione sistema e creare un nuovo punto di ripristino, fai anche puliza con Ccleaner le istruzioni le trovi al punto 2 http://www.hwupgrade.it/forum/showthread.php?t=1589984

Per quanto riguarda Combofix lo disinstalli così Start - Esegui - digita Combofix /u e premi invio, ti consiglio di farlo tra qualche giorno dopo un uso massivo del PC

Prevx CSI io lo terrei ed ogni tanto almeno una volta alla settimana una scansione di controllo è un'ottimo tool diagnostico

Per quanto riguarda la messa in sicurezza del PC provvederei a sostituire Avast con Antivir http://www.hwupgrade.it/forum/showthread.php?t=1514684
per il resto leggi qui: http://www.hwupgrade.it/forum/showthread.php?t=1476319, dimenticavo Ad-Aware è praticamente inutile, ciao.

in c ho una cartella
VEXPLITE
cosa faccio? posso cancellarla?

Programmi -> VirIT eXplorer Lite -> Disinstallazione VirIT eXplorer Lite

ecco i 2 log:
http://www.virustotal.com/it/analisis/d648d047487206474d7a4ebf8fe0e033 questo è quello di virus total

e giù c'è quello di combofix

perchè non lo hai fatto riscansionare? la sansione è del 10 marzo...

Salve a tutti.
Formattare o fare il ripristino config iniziale acer sul mio portatile bastera' per rimuovere il virus vundo?
ho due partizioni , devo formattarle entrambe?
se rimetto i dati che salvo prima di formattare mika mi si ripresentera' il virus?
Grazie per l'attenzione

Qualcuno potrebbe rispondermi? e' importante.
Il virus mi ha anche bloccato la modalita provvisoria.

fare il ripristino config iniziale acer sul mio portatile bastera' per rimuovere il virus vundo

Si

grazie chill
Ma se adesso salvo i dati (cartella utente e file firefox) e dopo il ripristino li rimetto al loro posto mica ritorna questo maledetto virus?

grazie chill
Ma se adesso salvo i dati (cartella utente e file firefox) e dopo il ripristino li rimetto al loro posto mica ritorna questo maledetto virus?

Come rispondo con certezza ovvero con un SI o con un NO a questa domanda?

nel senso, e' un virus che infetta solo i file di sistema o anche i file in documenti?
grazie in anticipo

nel senso, e' un virus che infetta solo i file di sistema o anche i file in documenti?
grazie in anticipo

Ho visto file infetti anche nella cartella Documenti
C:\Documents and Settings

maledizione!!
Cmq io ci sto provando solo che non mi da piu' la modalita' provvisoria.
riavvio, premo f8 e mi da solo avvia windows normalmente e avvia ripristino.
ho win vista home premium.
Ora?

Se devi fare il ripristino configurazione iniziale "Acer" dovrebbe essere sufficente inserire il disco/dischi se non ricordo male sono 2 in sequenza e fare il boot

FINALMENTE!!!!!
Primaditutto buona pasqua.
Sono riuscito ad eliminare il virus vundo.
Purtroppo avevo modalita' provvisoria bloccata e quindi ho cercato di procedere in altri modi....
Ho eliminato manualmente la dll che mi dava errore,
poi ho effettuato diverse scensioni con virIT (ottimo) eliminando i file infetti.
in seguito ho usato vundofix (trovati file infetti), Fixvundo (niente), e combofix (mi ha risolto il problema):D .
Infine ho usato hjthis per fixare le chiavi sospette (ne ho trovate diverse) che non si sono piu' ripresentate.
Ora sono tre giorni che non riscontro piu' alcun problema.

Ringrazio hwupgrade per l'ottima guida e il materiale e in particolare ringrazio l'utente chill-out per l'aiuto.

Amici mi potete dare una mano a finire di ripulire un pc infettato dal vundo?

Ho seguito le istruzioni del primo post, ho eseguito da modalità provvisoria vundofix, combofix e il csi. Vundofix non trova più nulla, mentre csi mi dice che ci sono ancora dei file infetti dal vundo, ditemi voi come devo procedere adesso. Qui trovate i log delle scansioni: http://www.boincitaly.org/temp/log.zip

Grazie in anticipo, ciao,
GHz

Uppino :help:

guarda te chi viene a fare visita, ti davo per disperso :asd:

dal log di CSI vedo queste cose:

C:\Programmi\AVS4YOU\AVSVideoConverter\AVSVideoConverter.exe InMem: 0 Det [UP] PX5: 0A541B9A009DA4A0DA2B3E3AFCAAC8007EDCBCEB


C:\WINDOWS\system32\dwdlyiap.dll InMem: 0 Det [BN] MD5: 1CEE79D05E1196B6E8289BC65A5833C9 PX5: 5CE4EA72409F6020669A019886EDC2003F9B9B4F Malware Group: Trojan.Vundo


C:\WINDOWS\system32\hhcwynhj.dll InMem: 0 Det [BN] MD5: DF6E499A53AC10B35B3661B043170193 PX5: F9A0027A40E7ED49665B01DF66FE4A00D7170693 Malware Group: Trojan.Vundo


C:\WINDOWS\system32\hxqduhfo.dll InMem: 0 Det [BN] MD5: FB23113D247445D19AE4403C11E532EA PX5: 6F0EB5CD400853F77CA601EA52171000F2180233 Malware Group: Trojan.Vundo


C:\WINDOWS\system32\lmplrprd.dll InMem: 0 Det [BN] MD5: FB2843EFF8160EEE41009175D0B63E37 PX5: 6FC6B60840829FAC640F0146A4BC2300F6B644C1 Malware Group: Trojan.Vundo



C:\WINDOWS\system32\ltwroppx.dll InMem: 0 Det [BN] MD5: 37A5009F19071317A02E2B55BE5D0C7B PX5: E4DE7751409AF4E66C1C01E117BBEC0097D0F2B0 Malware Group: Trojan.Vundo


C:\WINDOWS\system32\snwpiajs.dll InMem: 0 Det [BN] MD5: 7F0989768EED4390BF04C8FA90F011BE PX5: CE0CCC1C40FA90E06E2601D9B4D7A80053FD8876 Malware Group: Trojan.Vundo


C:\WINDOWS\system32\yjflhsih.dll InMem: 0 Det [BN] MD5: 422626731C39E4B947C99DEF77EF982F PX5: CB20F03A40EA84A666C101739057BA00E16D2D85 Malware Group: Adware.Lop

Il file contrassegnato da UP significa solo che per prevx è sconosciuto quind non per forza malevolo, gli altri file invece vanno assolutamente cancellati tramite avenger:
download -> http://swandog46.geekstogo.com/avenger.zip
(scompattalo in una cartella che sia esclusiva per avenger così ti crea il backup)

poi devi caricare questo script:

Files to delete:
C:\WINDOWS\system32\dwdlyiap.dll
C:\WINDOWS\system32\hhcwynhj.dll
C:\WINDOWS\system32\hxqduhfo.dll
C:\WINDOWS\system32\lmplrprd.dll
C:\WINDOWS\system32\ltwroppx.dll
C:\WINDOWS\system32\snwpiajs.dll
C:\WINDOWS\system32\yjflhsih.dll

poi rifai la scansione con Prex CSI :)

salve a tutti
ho la vaga sensazione di essere stato infettato da Vundo (e forse non solo). sono su xp
i log in allegato (quello di findawf è pulito)
quello di prevx non stava e l'ho messo qui: http://www.mediafire.com/?mymxthmg4jb

non so cosa devo fare ancora, nonostante tutto mi continuano ad uscire dei fastidiosi popup con IE...
grazie per il vs aiuto ragazzi :)

up

up

ciao..

mancano i seguenti log:

1-fixvundo

2-VirtumundoBeGone DOWNLOAD (http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe)

li hai fatti girare in mod provv?

il log di prevx csi caricalo su FileUp (http://www.fileup.itadib.com/index.php), copiando qui i link x il download

ho visto virit...hai fatto una scansione? log?

ricordati: il ripristino configurazione sistema lo devi disattivare

grazie per il supporto!

allora, virit ho provato a metterlo ma quando lo apro mi crasha e non so perché..
quindi non posso utilizzarlo

i log di prima sono sempre gli stessi
fixVundo ci ha messo una vita ma ce l'ha fatta, sembra pulito.

prevxcsi:

http://www.fileup.itadib.com/download.php?id=psHrXc0nQ3beQ2PBEZvA

il pc ha il ripristino sitema disattivato

credo che la chiave del problema sia nel file usbintell.sys che mi segnala Prevx CSI

SOLVED

il problema non era Vundo (o meglio, lo era ma lo avevo già eliminato)
era il driver usbintell.sys che non so come diavolo si sia installato

rimosso tramite opportuno script per ComboFix
grazie comunque

Forse è meglio che alleghi un log di ComboFix

Forse è meglio che alleghi un log di ComboFix

eccolo

Ok ;)

Ragazzi, aiuto!

Mi sa che ho beccato pure io stò stronzo. Allora, ho eseguito tutto quanto detto nel topic, ma i problemi persistono.

Partiamo con ordine. Ho avuto ieri mattina il PC infetto con un trojan che fingeva di essere un antivirus, tale AntiSpywareMaster. NON ho scaricato nulla ma nonostante abbia eliminato chiavi infette anche manualmente, fatto scansioni ed eliminato i vari infetti con Ewido e dopo con AVG e Spybot S&D entrambi aggiornatissimi in modalità provvisoria il problema, anche se più limitato, si è ripresentato oggi.

Mentre navigo mi si aprono pubblicità ed inoltre ho notato che questo figlio di ..... mi azzera l'opzione per i cookie alla voce "Privacy" di IE.

Inoltre genera un errore nella library di questo tipo "Buffer overrun detected! Program: C:\Windows\Explorer.exe"

Fra le chiavi trovo uno spa_start che fixo con HijackThis ma al riavvio riappare


Ecco cosa ho fatto: fra ieri con i programmi che vi dicevo sopra ed oggi ho sempre mantenuto disabilitata l'opzione per il ripristino della conf di sistema.

Poi:
scan con Prevx CSI: siccome non mifa salvare ho fatto una "foto" del risultato. potete vedere nell'allegato che trova il Vundu

http://img294.imageshack.us/img294/4484/image1dr6.jpg (http://imageshack.us)

Poi in modalità provvisoria

fatto scan con revn. niente

fatto scan in mod provvisoria con VundoFix. non ha trovato nulla.

fatto scan con FixVundo. niente

VirtumundoBeGone pare non trovare nulla e mi fa riavviare.

In modalità normale nuovo scan con Prevx CSI: sempre quanto potete vedere nell'allegato.

Scan finale con VirIT. Nulla (vedi allegato)
Scan con HiJackthis: non riesco a salvare il log. Se faccio "Save log" si quitta il programma. Tuttavia l'unica voce insolita è la solita, start_spa. La fixo ma tanto torna al prossimo riavvio.

Tuttavia anche qui, mentre caricavo allegati etc, si aprivano spot su antivirus, casinò, etc e tale Debello o roba simile...

Ragazzi, vi prego, non ne posso più!

PS: queste due dll?

{89c393a9-6109-2908-e78e-911a79637b7f}.dll

{89c393a9-6109-2908-e78e-911a79637b7f}.dll-uninst

Kaspersky mi ha trovato questi :muro:

snapsnet[1].exe - Trojan-Downloader.Win32.VB.dza
Trojan.Win32.Agent.eek
rasesnet[1].exe

Kaspersky mi ha trovato questi :muro:

snapsnet[1].exe - Trojan-Downloader.Win32.VB.dza
Trojan.Win32.Agent.eek
rasesnet[1].exe

Ciao come indicato in Guida allega un log di ComboFix ed un log di HijackThis, ti chiedo inoltre di caricare lo screenshot di Prevx Csi su questo server remoto www.mediafire.com

Ciao come indicato in Guida allega un log di ComboFix ed un log di HijackThis, ti chiedo inoltre di caricare lo screenshot di Prevx Csi su questo server remoto www.mediafire.com
Ops, scusate. nella foga per il virus mi son sbagliato :)

Prevx Csi

http://www.mediafire.com/imageview.php?quickkey=yjmu4hpbmzd&thumb=4

Oggi son riuscito a salvare il log di Hijackthis. Credetemi, ieri in piena infezione non andava, il programma si quittava se provavo.

NOTA: SEMBRA che con tutti gli antivirus, trojan removal tool, interventi manuali su chiavi di registro farlocche e eseguibili sparsi in varie cartelle che ho fatto fuori sia riuscito ad eliminare quasi tutto. Oggi nessun pop up, pc non lento, navigazione ok e le opzioni sulla Privacy di IE sono settate come le ho lasciate io.

Tuttavia credo che qualcosa sia rimasto e voglio fare totale pulizia. Ad esempio la .dll segnalatami da Kaspersky come infetta, tale nnnkliif.dll è rimasta e non riesco ad eliminarla.

Non è un .dll di sistema, giusto? Perchè vorrei usare Killbox

Ammazza quanti tool hai fatto girare su questo PC :D

NB: il ripristino configurazione sistema deve essere disabilitato

Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked:

O2 - BHO: nextads browser optimizer - {97b9d75a-efac-e03b-ae40-1a05432c1a02} - H:\WINDOWS\system32\{89c393a9-6109-2908-e78e-911a79637b7f}.dll (file missing)
O2 - BHO: (no name) - {B3C97798-7A85-451A-AD54-E1D54EFDC0DD} - H:\WINDOWS\system32\nnnkkiif.dll

Scarica Avenger http://swandog46.geekstogo.com/avenger.zip ed inserisci questo Script (copia ed incolla nel box bianco)

Files to delete:
H:\WINDOWS\system32\{89c393a9-6109-2908-e78e-911a79637b7f}.dll
H:\WINDOWS\system32\nnnkkiif.dll

clicca su Execute, al termine il Pc si dovrebbe riavviare se non si riavvia fallo tu manualmente

Fai pulizia con Ccleaner come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1589984 al punto 2

Riepilogo log da allegare:
Avenger che trovi in C:\avenger.txt
Nuovo log di HijackThis

Poi fai girare nuovamente Prevx CSI e mi indichi per esteso se rileva altri eventuali problemi, ciao

Ammazza quanti tool hai fatto girare su questo PC :D


Pur di liberarmi di quella monnezza sarei entrato pure io a pestarlo :D

Grazie, provvedo subito e ti faccio sapere :)

Rieccomi, allego i log. CCleaner per la parte della guida in cui dice

"clicca sulla voce Registro, spunta tutte le voci comprese nella sezione,

clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce

Ripara selezionati e prosegui;" temendo di cancellare cose utili ho fatto prima uno screen da sottoporti

http://www.mediafire.com/imageview.php?quickkey=xhviuxxp7ym&thumb=4

Allego i due rapport che mi avevi detto.

Prevx CSI non ha rivelato più niente. Eureka! :)

Domanda: puoi consigliarmi un tool o un servizio di scan online sicuro che controlla che tutte le dll di sistema siano ok? O presenti?

O posso farlo con CCleaner?

Utilizza CCleaner, sarebbe inoltre opportuno controllare questa .dll in questo percorso: H:\WINDOWS\system32\kbfwfovr.dll

Poi bisogna mettere in sicurezza il PC, sei ancora alla versione 6 di IE

Utilizza CCleaner, sarebbe inoltre opportuno controllare questa .dll in questo percorso: H:\WINDOWS\system32\kbfwfovr.dll

Poi bisogna mettere in sicurezza il PC, sei ancora alla versione 6 di IE

La kbfwfovr.dll non c'è più in quella directory. La volevo far controllare su Virus Total

Trovo traccia con MSConfig da esegui in Esecuzione Automatica: ma li l'ho disabilitato già ieri perchè sospettavo fosse legato al trojan. Il percorso completo li mi dice: Rundll32.exe e ancora SOFTWARE\Microsoft\Windows\Current Version\Run, etc

Ed ancora tramite RegEdit

Altra cosa, non so se hai visto la "foto" del mio scan con CCleaner del registro. Mi segnala anche elementi legati a certi programmi normali. Devo lo stesso spuntarli tutto e fixarli?

Ultima: installo IE7 :)

Si puoi cliccare su ripara selezionati, nel frattempo ti scrivo quello che ci sarebbe da fare