View Full Version : [GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!


Pagine : 1 2 [3] 4 5 6 7 8

maxone78
18-04-2008, 18:12
Si puoi cliccare su ripara selezionati, nel frattempo ti scrivo quello che ci sarebbe da fare
ok, grazie. kbfwfovr.dll che trovo con RegEdit la elimino manualmente

Chill-Out
18-04-2008, 18:27
1 - Disinstalla Combofix cosi:

start -> esegui -> digita "combofix /u" e premi invio

rimuovi le relative cartelle che trovi C:\combofix

2 - Disinstalla VirIT da Programmi -> VirIT eXplorer Lite -> Disinstallazione VirIT eXplorer Lite

3 - Aggiorna Internet Explorer alla versione 7 è sempre meglio tenerlo aggiornato nell'eventualità dovessi fare una scansione online, la versione 7 è più performante http://www.microsoft.com/windows/products/winfamily/ie/default.mspx

4 - Ti consiglio di non utilizzarlo per la navigazione e di sostituirlo con Firefox (http://www.mozilla-europe.org/it/) o Opera (http://www.opera.com/), se opti per Firefox installa le seguenti estensioni:

NoScript -> https://addons.mozilla.org/it/firefox/addon/722
Adblock Plus -> https://addons.mozilla.org/it/firefox/addon/1865
Finjan Securebrowsing -> https://addons.mozilla.org/it/firefox/addon/4892

5 - Installa un Firewall software ti consiglio Online Armor http://www.hwupgrade.it/forum/showthread.php?t=1597881

6 - Prendi in considerazione la sostituzione di AVG con Antivir Free
http://www.hwupgrade.it/forum/showthread.php?goto=newpost&t=1514684

Chill-Out
18-04-2008, 18:28
ok, grazie. kbfwfovr.dll che trovo con RegEdit la elimino manualmente

Elimini manulamente solo il valore, ho scritto sopra il da farsi, ciao.

maxone78
18-04-2008, 19:06
Ok. Grazie mille Chill-Out per tutto l'aiuto e per tutti i consigli utilissimi :)

maxone78
18-04-2008, 21:53
Dimenticavo: esiste un tool che immunizza da questo bastardo di Vundu?

Chill-Out
18-04-2008, 22:16
Dimenticavo: esiste un tool che immunizza da questo bastardo di Vundu?

Si, Firefox + Noscript + Adblock plus e attenzione a dove si naviga, il tuo cervello è la tua prima barriera difensiva. ;)

Prego felice di essere stato di aiuto :)

ElGabry89
20-04-2008, 15:03
salve anch'io ho scoperto il maledetto Vundo...pensavo di essermi liberato di lui e invece nn è cosi...
ho eseguito una scansione cn VirIT ed ha rilevato infetti questi file:



20/04/2008 - 12:27:10

[SCANSIONE DEL REGISTRO]
log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984)


cosa devo fare,posso cancellarli o rimuoverli tutti cn VirIT?
(scusate l'ignoranza,ma qual'è la differenza tra rimuovere e cancellare?)
vorrei sapere se è una cosa grave o meno?

grazie mille a tutti,spero di risolvere il problema.....:help: :help: :help:

xcdegasp
20-04-2008, 19:49
@ ElGabry89:
log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984)

indelebile
22-04-2008, 09:51
Ciao a tutti
allora questo virus è sempre più intellligente....e mi sta bloccando tutti i link per scaricare i fix per questo virus
non è che potete farmi un pacchetto con
VundoFix
avenger
FixVundo
FindAWF
e mettermelo da qualche parte che provo a scaricarlo.... :help:
ma quanto stronzo è..... :muro:

wjmat
22-04-2008, 11:04
può essere che tu debba disattivare momentaneamente l'antivirus...
te li ho caricati qui (http://wikisend.com/download/953806/files.zip)

indelebile
22-04-2008, 14:15
machè...neanche togliendo antivirus quel link che mi hai mandato mi va...ma che ha il mio pc va 1 sito su 3.... ti mando la mia mail quella va...
ma che sia il file host distrutto? che ne so

indelebile
22-04-2008, 14:19
posto un po di log ... sembra pulito..non mi si aprono le publicità...mi va google che prima non andava ma che hanno alcuni siti ancora :muro:

wjmat
22-04-2008, 14:55
te li ho inviati sulla mail, prova a guardare

wjmat
22-04-2008, 14:56
La tua versione di Hijackthis non è aggiornata....scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione e ricarica il nuovo log.

indelebile
22-04-2008, 20:08
ahm beh se mi andasse quell link :D non mi va niente....
mah io spero che sia per colpa del tempo adesso guardo cosa mi dice il modem...

wjmat
22-04-2008, 20:27
ho visto da poco che mi è tornata indietro la mail che ti avevo mandato.... te l'ho rimandata ad entrambi gli indirizzi. ti ho messo fixvundo, vundofix, findawf, hijackthis 2.02 e avenger. facci sapere

indelebile
23-04-2008, 00:12
Niente la connesione non va bene per niente quasi tutti i siti non vanno....
mi sono accorto che non ho scaricato dalla lista
VirtumundoBeGone
wjmat sareti cosi gentile da potermelo mandare cosi posto tutti i log?
secondo voi cosa può essere questo connessione che funzione in alcuni siti e altri no?
piccolo promemoria i primi scan di spyboot e spysweeper mi dicevano che avevo il virus virtumonde....è questo vero...

wjmat
23-04-2008, 00:31
te l'ho mandato ora... tu posta i log
ciao

indelebile
23-04-2008, 08:50
alllora ho fatto partire tutto, risultato
renv niente
vundofix niente (non ho il log, non lo fa almeno,ma non ha trovato niente)
fixvundo niente nada zero (il log lo ho sbadatamente cancellato ....comunque credetemi sulla parola quando vi dico che non ha trovato niente)
VirtumundoBeGone niente mi sembra posto il log
ComboFix niente ma se guardate i log precedenti mi aveva trovato un po di cose
riavviato
Prevx CSI trovato nulla
virit scansionato una decina di volte ma nulla...
ditemi voi , publicità o altre cose non vedo resta il problema grosso di internet, pochi siti mi vanno altri no, c'è qualche programma per reimpostare internet?

wjmat
23-04-2008, 09:11
rifai quello di HiJackThis

indelebile
23-04-2008, 13:18
ok eccolo

xcdegasp
23-04-2008, 13:23
ok eccolo

non c'è il log :)

indelebile
23-04-2008, 13:38
perso per strada...

xcdegasp
23-04-2008, 13:43
perso per strada...

fixa:

O20 - Winlogon Notify: tuvTnLbY - tuvTnLbY.dll (file missing)
Service: Sony SPTI Service (SPTISRV) - Sony Corporation - D:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe

indelebile
23-04-2008, 14:31
fatto...cambiato niente
potrebbe essere
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll

ma non riesco a fixarla

wjmat
23-04-2008, 15:07
a-squared l'hai fatto girare?

indelebile
26-04-2008, 13:21
no..pure quello? scusate se rispondo ora ma hanno rotto pure il cavo telefonico.... :muro:

indelebile
26-04-2008, 20:46
ragazzi ultimi tentativi dopo formato...chi mi può mandare se ci sta
ASQUARED FREE
o quantomeno hxxp://www.xp-smoker.com/downloads/xptcprep.exe

o altri software che ti vengono in mente per ripristinare la connessione?

indelebile
26-04-2008, 20:56
cancello tutto, mi ha danneggiato i driver del modem....ora ho provato un altro modem ed è tutto ok...grazie di tutto ragazzi ;)

xcdegasp
27-04-2008, 00:37
ragazzi ultimi tentativi dopo formato...chi mi può mandare se ci sta
ASQUARED FREE
o quantomeno hxxp://www.xp-smoker.com/downloads/xptcprep.exe

o altri software che ti vengono in mente per ripristinare la connessione?
che cazzo è questo exe???

per i driver del modem basta che li reinstalli se non sai ripristinarli dalla quarantena :)

lancetta
27-04-2008, 01:09
che cazzo è questo exe???

per i driver del modem basta che li reinstalli se non sai ripristinarli dalla quarantena :)

è il famoso programmino che ripristina i parametri della connessione:stordita:

xcdegasp
27-04-2008, 02:29
è il famoso programmino che ripristina i parametri della connessione:stordita:

e perchè lo ha pubblicato al posto del log di a-squared? :fagiano:

cirillo88
01-05-2008, 13:49
ragazzi ieri ho fatto la scansione con spybot search and destroy e mi ha rilevato virtumonde come virus solo che i problemi persistono ancora..come devo fare a risolverlo?Vorrei capire se combofix o vundofix sono programmi che rimuovono il virus oppure se ti dicono solo se c'è..devo ancora capirlo!Per il resto ho nod32 e non è riuscito a bloccare questo virus..quale antivirus mi consigliate?..poi all'avvio mi sta uscendo scritto rundll32.exe punto di accesso...file mancante /system32/eqronblj....che caspita è?Lo fa sempre all'avvio..dimenticavo che il computer è nuovissimo!aiuto:help: :help:

wjmat
01-05-2008, 14:00
Sono fatti apposta per rimuoverlo ;)
Segui bene tutta la guida e posta i log

CARICA CORRETTAMENTE I LOG SECONDO QUESTE REGOLE
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.

Noi consigliamo l'ottimo e free Avira AntiVir Personal - FREE che puoi scaricare da [ qui ] (http://www.free-av.com/en/download/1/avira_antivir_personal__free_antivirus.html) e configurarlo seguendo questa guida (http://www.hwupgrade.it/forum/showthread.php?t=1514684)

cirillo88
01-05-2008, 15:07
ok..ma l'errore che mi da all'avvio di windows..quel rundll32 eqronblj è per il fatto del virus???Come faccio a toglierlo???Comunque adesso credo che userò combofix che credo che per eliminare i virus sia il migliore..ma quando uso combo devo togliere l'antivirus normale??

wjmat
01-05-2008, 15:09
Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
Scarica da qui (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) Combofix
Scollegati da internet -> Chiudi ogni altra finestra o programma
Lancialo-> Aspetta che appaia una finestra in cui ti chieda di digitare 1 per continuare-> Digita 1-> Attendi la scansione evitando di fare qualsiasi altra operazione -> Dai conferma nel caso ti chieda di rimuovere alcuni driver -> Al termine verrà mostrato il log che si trova in C:\ComboFix.txt.-> Caricalo secondo le modalità

cirillo88
01-05-2008, 16:35
ma l'errore che mi da all'inizio è per colpa del virus oppure è altro?

cirillo88
01-05-2008, 22:23
allora ho appena eseguito il combofix..vi posto il report..!Fatemi sapere al più presto!!!

Chill-Out
01-05-2008, 22:45
allora ho appena eseguito il combofix..vi posto il report..!Fatemi sapere al più presto!!!

dove sono i log degli altri tool indicati in Guida?

Mastermind06
02-05-2008, 10:16
Continuo qui quanto detto nella discussione chiusa:
Da ieri sono stato attaccato da questo virus che trovo molto difficoltoso eliminare, chiedo quindi il vostro aiuto. Nod32 me lo trova come .dll in system 32 e mi fa apparire fisso un balloon di notifica.
Leggendo la discussione specifica ho disabilitato il ripristino conf.sistema del mio Vista Ultimate o almeno penso di averlo fatto visto che mi ritrovo con la schermata con i miei tre dischi e ho tolto la spunta a quella di sistema.
-Fatto ciò ho avviato in modalità provvisoria e lanciato renV, ma mi da un log come questo:

Ran on 02/05/2008 - 1.49.14,97


nche ritascinandocelo sopra.
- Fatta e finita la scansione (sempre modalità provvisoria) con finita la scansione con VundoFIX che nn trova nulla.

-Fatto anche FixVundo e anche qui non trova nulla, fatto Combo ma mi da un errore, ovvero non trova dei file di testo e non continua.

-Modifica: Fatta scansione con PrevxCSI e VirIT, ma non trovano assolutamente nulla.
-Fatta scansione con hijackthis e questo è: Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.38.15, on 02/05/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Razer\Diamondback\razerhid.exe
C:\Program Files\RivaTuner v2.08\Tools\RivaTunerStatisticsServer\RivaTunerStatisticsServer.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Eset\ESET NOD32 Antivirus\egui.exe
C:\Windows\System32\rundll32.exe
C:\VEXPLITE\monlite.exe
C:\Program Files\RivaTuner v2.08\RivaTuner.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Last.fm\LastFMHelper.exe
C:\Program Files\PrevxCSI\PrevxCSI.exe
C:\Program Files\Razer\Diamondback\razertra.exe
C:\Program Files\Razer\Diamondback\razerofa.exe
C:\Program Files\Opera\Opera.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Black Demon\Desktop\NEW\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {160E95FD-0097-4D8B-ACC2-800FEB05E810} - (no file)
O2 - BHO: (no name) - {34649F8E-4848-4176-A7EE-645FED1DBE56} - C:\Windows\system32\nnlmm.dll
O4 - HKLM\..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Program Files\ASUS\AASP\1.00.17\AsRunHelp.exe
O4 - HKLM\..\Run: [RivaTuner] "C:\Program Files\RivaTuner v2.08\RivaTunerWrapper.exe" /T
O4 - HKLM\..\Run: [RivaTunerStatisticsServer] "C:\Program Files\RivaTuner v2.08\Tools\RivaTunerStatisticsServer\RivaTunerStatisticsServer.exe" /s
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.08\RivaTunerWrapper.exe" /S
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: Last.fm Helper.lnk = C:\Program Files\Last.fm\LastFMHelper.exe
O4 - Startup: Stardock ObjectDock.lnk = D:\Programmi\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll (file missing)
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\Office\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\Office\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file)
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file)
O13 - Gopher Prefix:
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/VistaMSNPUpldit-it.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\\PrevxCSI.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programmi\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programmi\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - C:\Program Files\nHancer\nHancerService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 7765 bytes

wjmat
02-05-2008, 10:23
per combofix
-> Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
-> Scollegati da internet
-> Chiudi ogni altra finestra o programma
-> Attendi la scansione evitando di fare qualsiasi altra operazione
-> Dai conferma nel caso ti chieda di rimuovere alcuni driver

Mastermind06
02-05-2008, 11:45
Allora era tutto chiuso, tranne la connessione. Riprovo tra un pò con connessione di rete chiusa in modalità provvisoria classica. Antivirus non lo carica in provvisoria e penso nemmeno Windows Firewall, in quanto altri non ne ho.

Mastermind06
02-05-2008, 12:13
Nemmeno in questa maniera va, purtroppo. Fatta scansione con Virtumondebegone ed ecco il log:

Modificato mettendo gli allegati cosi è meglio

Chill-Out
02-05-2008, 15:03
Fai girare ComboFix

Mastermind06
02-05-2008, 15:54
Allora, allego altri log come da ordine dalla guida:

Questo è quello di FIXVUNDO: http://www.zshare.net/download/11414242193f75f8/

Mentre VundoFIX non ha trovato nulla ed il log è bianco.

ComboFIX continua a darmi errore non so per quale motivo, lo lancio da modalità provvisoria, in una sua cartella da desktop e con privilegi da amministratore.

Mastermind06
02-05-2008, 21:32
Qualche suggerimento?

Chill-Out
03-05-2008, 09:24
Qualche suggerimento?

Start -> esegui -> digita combofix /u e premi invio, poi rimuovi le relative cartelle che trovi C:\combofix

Poi disabiliti la protezione in tempo reale di tutti i software di sicurezza e lo riscarichi http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Mastermind06
03-05-2008, 10:53
Appena disinstallato. Provo a rilanciarlo e vi faccio sapere. Intanto mi sono scaricato il Recovery mode di VISTA.

Mastermind06
03-05-2008, 11:07
Ho fatto come mi hai detto, solo che mi da un errore del tipo
"Impossibile trovare il testo del messaggio per il numero di messaggio 0x2371 nel file di messaggio per application"
Mi appare la schermata blu ma invece di farmi scegliere 1 o 2 c'è solo l'opzione per chiuiderlo quindi la 2.

Chill-Out
03-05-2008, 11:14
Ho fatto come mi hai detto, solo che mi da un errore del tipo
"Impossibile trovare il testo del messaggio per il numero di messaggio 0x2371 nel file di messaggio per application"
Mi appare la schermata blu ma invece di farmi scegliere 1 o 2 c'è solo l'opzione per chiuiderlo quindi la 2.

Devi essere loggato come amministratore, click col tasto dx dl mouse sull'icona di Combofix e selezionare Esegui come amministratore, se UAC reclama ovviamenti acconsenti.

Mastermind06
03-05-2008, 11:35
Naturalmente l'ho lanciato da amministratore.:muro:

Mastermind06
03-05-2008, 12:01
Buone nuove. Fatto nuovo tentativo rinominando il file in Combo-Fix e quando mi ha dato l'errore ho dato invio comunque, risultato, il programma è andato e pare aver fixato il problema (non ho più l'icona di nod) ed inoltre ha eliminato dei files. Allego i log:

combofix.txt - 0.04MB (http://www.zshare.net/download/11459596dc10bb20/)
combofix-quarantined-files.txt - 0.00MB (http://www.zshare.net/download/1145963031601d86/)

Come procedo ora?

Chill-Out
03-05-2008, 12:27
Per forza ci sono tracce del Bagle, ma da quando è sparita l'icona del Nod?

Mastermind06
03-05-2008, 12:43
E' sparita appena si è riavviato il sistema dopo la scansione di ComboFix. Naturalmente per sparita intendo la notifica, come avevo già detto, non lìicona sulla barra del programma. Quella c'è :)

Chill-Out
03-05-2008, 12:45
E' sparita appena si è riavviato il sistema dopo la scansione di ComboFix.

Allegami un log di questo tool
Utilizzo di elibagla (remover tool spagnolo): dopo essere andati su QUESTA (http://www.zonavirus.com/datos/descargas/95/elibagla.asp) scorrere a fondo pagina e cliccare su "descargar elibagla"
Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavviare il pc e postare il log che si trova in: C:\InfoSat.txt

Mastermind06
03-05-2008, 12:58
Provvedo subito, a breve i risultati.

Mastermind06
03-05-2008, 13:09
Ecco il log del programmino spagnolo. Mentre scansionava il drive Z: (non quello del s.o.) Nod mi ha notificato due minacce.

Mastermind06
03-05-2008, 18:17
up

Chill-Out
03-05-2008, 21:03
up

Il log è pulito, prosegui con i punti indicati in Guida

NB: Prevx CSI lo scarichi da qui http://wikisend.com/download/794034/runprevxcsi.exe

Mastermind06
03-05-2008, 22:21
Allora ecco i log dei tre tools successivi:
Prevx CSI (report online visto che non fa il log, cmq nn ha trovato nulla):
http://csia0.prevx.com/individualcsiresultsplus.asp?ano=55478811&LICVERIFIER=46C557EB-9BE9-47E5-A976-CE6DBF1BE94C&Opt=S&AGENTPROFILE=CSIPLUS&CMD=LSR

ViriIT e Hijackthis:

Chill-Out
03-05-2008, 22:28
Allora ecco i log dei tre tools successivi:
Prevx CSI (report online visto che non fa il log, cmq nn ha trovato nulla):
http://csia0.prevx.com/individualcsiresultsplus.asp?ano=55478811&LICVERIFIER=46C557EB-9BE9-47E5-A976-CE6DBF1BE94C&Opt=S&AGENTPROFILE=CSIPLUS&CMD=LSR

ViriIT e Hijackthis:

Esegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle voci sotto indicate

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file)
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file)

clicca su Fix checked, al termine nuovo log di HijackThis e dimmi se riscontri ancora problemi

Mastermind06
04-05-2008, 01:02
Ecco il nuovo log, problemi non ne ho da quando sono riuscito a far andare Combo.

Mastermind06
04-05-2008, 17:19
up

Chill-Out
04-05-2008, 21:40
up

Log pulito, dai una letta qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Mastermind06
05-05-2008, 00:23
Disinstallati VirIT e ComboFix. Mi ritrovo con una cartella Vexplite ed una Qoobox (nella quale c'è il file della quarantena di Combo), cosa faccio?

lancetta
05-05-2008, 00:25
Disinstallati VirIT e ComboFix. Mi ritrovo con una cartella Vexplite ed una Qoobox (nella quale c'è il file della quarantena di Combo), cosa faccio?

Sono le cartelle di quarantena..cancella tranquillamente :)

Mastermind06
05-05-2008, 00:50
Ok grazie mille cancello tutto e ringrazio per l'aiuto che mi avete fornito.
Ultima domanda, per gli spyware ho Spybot, lo sostituisco (con cosa) o va bene?

wjmat
05-05-2008, 01:09
Spybot puoi tenerlo per il blocco del file Host se non hai altri programmi che te lo tengono sotto controllo come ad esempio l'ottimo Online Armor, e per poco altro...
Noi consigliamo A-Squared come già indicato nel Trattamento post disinfezione

Mastermind06
05-05-2008, 01:33
Avendo Vista ho messo su Comodo e l'ho appena configurato.

GinkoStar
07-05-2008, 15:42
Ciao,

da qualche settimana sono infetto dal torian Vundo.Gen (questa la definizione che mi da AntiVir). Inizialmente mi appariva la finestra di AntiVir segnalandomi la presenza del virus solo un paio di volte al giorno, la cosa mi preoccupava, ma purtroppo non avevo il tempo materiale per dedicarmi alla rimozione dêl virus (un semplice scan dell'antivirus non è riuscito a rimuoverlo). Ora sono tre giorni che i messaggi dell'antivirus segnalano initerrottamente la presenza del trojan che ha infettato una .DLL nella System32. Inidpendentemente dalla mia scelta sul destino del file infetto (nega accesso, cancella, quarantine...) i messagi conintuato imperterriti rendendo l'uso del pc praticamente impossibile. L'unica possibilità per eseguire qualsiasi operazione è quella di disattivare l'antivirus.
Ho trovato la vostra guida per la preparazinone alla rimozione del malaware http://www.hwupgrade.it/forum/showthread.php?t=1603273 ma purtroppo io mi fermo già al punto 2: non riesco ad avviare il pc in safe mode (in italiano dovrebbe essere modalità provvisoria se non erro). Dopo aver appunto sccelto quell'opzione (F8), il computer cerca di avviarsi per una decina di secondi, dopo di che si riavvia automaticamente in modalità normale.

Se vi puo aiutare ad aiutarmi vi allego il log di HiJackThis.

Grazie mille per il vostro tempo

Chill-Out
07-05-2008, 15:49
Ti consiglio di scaricare prima tutti i tool indicati in Guida dopodichè per la modalità provvisoria fai così: Start - Esegui - digita MSCONFIG - OK - seleziona il TAB BOOT.INI e metti il segno di spunta su /SAFEBOOT - OK

GinkoStar
07-05-2008, 16:05
Innanzizutto grazie mille per avermi rispoto :D

Ho fatto come dici (dopo aver vistato la checkbox, ho lasciato il radio su "minimal") ma purtroppo non parte comunque in safe mode e non parte più nemmeno in modalità Normale!!!
Dopo la pagina di caricamento di WinXP (quella con il logo per intenderci) si riavvia automaticamente!! :cry:

EDIT:

anche "ultima configurazione funzionante" non funziona più!

Chill-Out
07-05-2008, 16:24
Innanzizutto grazie mille per avermi rispoto :D

Ho fatto come dici (dopo aver vistato la checkbox, ho lasciato il radio su "minimal") ma purtroppo non parte comunque in safe mode e non parte più nemmeno in modalità Normale!!!
Dopo la pagina di caricamento di WinXP (quella con il logo per intenderci) si riavvia automaticamente!! :cry:

EDIT:

anche "ultima configurazione funzionante" non funziona più!

Ho capito poco, ma se "l'ultima configurazione funzionante" vuol dire che accedi al sistema

GinkoStar
07-05-2008, 16:31
Intendo dire che ora non funziona più assolutamente niente. Dopo avere fatto il boot mi appare la schermata nera chiedendomi in che modalità windows deve partire, cioè:

Safe Mode (mod provvisoria)
Safe Mode + networking
Safe Mode + command prompt

Ultima Configurazione Funzionante Conosciuta

Start Windows Normally

Beh, ho provato con tutte ma dopo poco il pc si riavvia automaticamente e riappare la stessa schermata. Risultato: non posso più loggarmi in windows

Chill-Out
07-05-2008, 16:46
Intendo dire che ora non funziona più assolutamente niente. Dopo avere fatto il boot mi appare la schermata nera chiedendomi in che modalità windows deve partire, cioè:

Safe Mode (mod provvisoria)
Safe Mode + networking
Safe Mode + command prompt

Ultima Configurazione Funzionante Conosciuta

Start Windows Normally

Beh, ho provato con tutte ma dopo poco il pc si riavvia automaticamente e riappare la stessa schermata. Risultato: non posso più loggarmi in windows

Stranissimo, immagino tu stia scrivendo da un altro PC

GinkoStar
07-05-2008, 16:58
Stranissimo, immagino tu stia scrivendo da un altro PC

...già...

Qualche idea?

Suppongo che ora l'unica possibilità di interagire con il pc è fare il boot dal cd di windows, no?

Che tu sappia, se faccio il system recovery automatico cosa perdo? I programmi installati funzionano ancora? Le mie impostazioni di windows?

Oppure è meglio usare la recovery console?

Chill-Out
07-05-2008, 17:05
Ci sono 2 possibilità:

1 - Seguire questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1689812 per creare ed utilizzare Avira AntiVir Rescue System dopo aver creato il CD bootable linux-based puoi accedere al sistema con la funzione 1 o procedere alla disinfezione con la funzione 2

2 - La procedura corretta di riparazione:

Avviare il pc con il CD Windows XP (accertandovi che il BIOS settato per il boot da CD ROM). Nella prima schermata non premete R per accedere alla console di ripristino ma premete Invio per avviare l'installazione. Poi F8 per accettare il contratto di licenza d'uso. La procedura di setup provvederà a ricercare la precedente vostra installazione di Windows XP. Premete R per avviare la procedura di riparazione nell'installazione di Windows XP già presente sul sistema.
I dati memorizzati sul disco fisso rimarranno intatti: verranno invece sovrascritti tutti i file di sistema potenzialmente danneggiati. Sarà necessario reinstallare tutte le patch e aggiornamenti di sistema.

io partire dalla 1 con l'opzone 1 per ripristinare il BOOT.INI

ZooleaN
07-05-2008, 17:08
posso suggerire un'eventuale soluzione?

in fin dei conti è stata aggiunta la line /SAFEBOOT=OK al BOOT.INI di windows giusto?
è questa l'unica modifica fatta? e dopo questa il sistema non parte più?
se è così si potrebbe creare un dischetto che legge i dischi NTFS con NTFS4DOS e rieditare a mano il boot.ini, riportandolo all'originale...

Chill-Out
07-05-2008, 17:12
posso suggerire un'eventuale soluzione?

in fin dei conti è stata aggiunta la line /SAFEBOOT=OK al BOOT.INI di windows giusto?
è questa l'unica modifica fatta? e dopo questa il sistema non parte più?
se è così si potrebbe creare un dischetto che legge i dischi NTFS con NTFS4DOS e rieditare a mano il boot.ini, riportandolo all'originale...

si volendo si, ma penso che con la soluzione 1 opzione 1 si dovrebbe risolvere, a meno chè il problema non ne nasconda un'altro

ZooleaN
07-05-2008, 17:15
si volendo si, ma penso che con la soluzione 1 opzione 1 si dovrebbe risolvere, a meno chè il problema non ne nasconda un'altro

non avevo manco notato il tuo post.. :asd: svista

GinkoStar
07-05-2008, 17:19
Ciao ZooleaN

È esattamente come dici tu, ho solamente settato il /SAFEBOOT su OK e dopo non parte più.
Mi piace l'idea di riuscire a risettare il file boot.ini come era all'inizio.

Ora provo i vostri metodi, grazie!

Faccio sapere appena possibile

Chill-Out
07-05-2008, 17:25
non avevo manco notato il tuo post.. :asd: svista

capita :asd:

Chill-Out
07-05-2008, 17:45
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Daniele\Application Data\hidires\hidr.exe

eccolo quà il problema di fondo

GinkoStar
07-05-2008, 17:59
Ottimo, grazie!

Non appena sarò riuscito a rivedere l'amato desktop però... :p

Ho utilizzato la funzione 1.2 (cioè sto facendo la scan con il rescue system) ?sembra che sia cominciato bene, ma dopo aver aver analizzato alcune directory lo schermo è diventato nero... rimane nero da una decina di minuti... sapete se è normale??

GinkoStar
07-05-2008, 18:08
ehm... è diventato nerò perché è andato in standby lo schermo... avevo paura a toccare qualche tasto per controllare... scusate

GinkoStar
07-05-2008, 19:48
Ho fatto la "disinfezione" con AntiVir System Restore. Ma win non parte comunqure. Ho provato a fare partire con l'opzione che abbiamo chiamato 1.1: non parte ugualmente.

Qualche consiglio?

Come posso fare a modificare (manualmente) il BOOT.INI ?

wjmat
07-05-2008, 19:56
sicuramente con un cd avviante tipo bartpe o ubcd... o forse semplicemente con cd di windows facendo tutto da dos...
oppure montando il disco su un altro pc o in un box usb esterno

GinkoStar
07-05-2008, 20:03
Anche io ho pensato ad un altro pc o box esterno, ma purtroppo non ne ho a disposizione dove mi trovo. Non conosco i "cd avvianti tipo bartpe o ubcd", potresti spiegarti meglio?
Già... fare tutto da dos... ci avevo pensato, ma non saprei come modificarlo. Non ho dei floppy a disposizione, e per quanto riguarda il modificare un .ini da dos non saprei come fare, con una "batch"? (ma rimane il problema del floppy no?)

Grazie

ZooleaN
07-05-2008, 21:57
Anche io ho pensato ad un altro pc o box esterno, ma purtroppo non ne ho a disposizione dove mi trovo. Non conosco i "cd avvianti tipo bartpe o ubcd", potresti spiegarti meglio?
Già... fare tutto da dos... ci avevo pensato, ma non saprei come modificarlo. Non ho dei floppy a disposizione, e per quanto riguarda il modificare un .ini da dos non saprei come fare, con una "batch"? (ma rimane il problema del floppy no?)

Grazie

cerca ntfs4dos su google, trovi sicuramente una guida che ti spiega come creare un floppy da avvio che legge anche i dischi in NTFS..
poi ti carichi l'EDIT e modifichi il boot.ini

EDIT: oops non avevo letto che non hai floppy a disposizione.. magari con una pennina usb al boot, oppure col live cd di ubuntu.. sono solo idee però...

GinkoStar
07-05-2008, 22:17
Non sapevo si potesse fare il boot dalla USB...

Cioè, come si fa?

ZooleaN
07-05-2008, 22:24
dipende se la scheda madre lo supporta..
in soldoni fai lo stesso procedimento che faresti da floppy (stessi file), solo su usb..
all'avvio della macchina entri nel bios e cambi l'ordine di boot per le periferiche, mettendo l'usb per prima.

Chill-Out
07-05-2008, 23:46
Ciao segui questa procedura, mi raccomando prestare attenzione alle istruzioni:


Inserisci il CD di XP e riavvia il PC eseguendo il Boot da Cd
Ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK
Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO
Digita il comando bootcfg /rebuild
Premere S per accettare la domanda Aggiungere installazione
all'elenco sistemi operativi all'avvio? (Sì/No/Tutti)
Alla domanda Inserire l'identificatore di caricamento scrivi Windows XP 2
Premi Invio alla domanda Inserire l'identificatore di
caricamento
Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare Exit al prompt dei comandi, quindi premere Invio dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows

Adesso abbiamo creato un nuovo sistema operativo nel comando di avvio di boot.ini quindi quando apparirà la schermata per scegliere quale sistema operativo avviare scegli quello appena creato ovvero Windows XP 2, se hai fatto tutto correttamente Windows si dovrebbe finalmente avviare

Una volta avviato Windows clicca con il tasto destro su Risorse del computer ==>> Proprietà ==>> Avanzate ==>> Avvio e ripristino ==>> Impostazion ==>> Modifica dovresti vedere qualcosa del genere:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Windows XP 2

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Nome sistema operativo originario" /fastdetect /NoExecute=OptIn /safeboot:minimal

- quindi provvedi ad eliminare la riga contenete il nuovo sistema operativo appena creato, ovvero Windows XP 2
- mentre dalla riga del sistema operativo originale devi cancellare solo /safeboot:minimal
A questo punto chiudere boot.ini, salvare le modifiche e cliccare su Ok

Ora non rimane altro che fare un riavvio, tutto dovrebbe essere ritornato alla normalità.

GinkoStar
08-05-2008, 08:32
Fantastico!

Finalmente sono riuscito ad avviare Win, grazie mille!!

Ora però all'avvio una finestra dal titolo "RUNDLL" mi dice che non riesce a caricare c:\windows\system32\cgcmiema.dll: il modulo specifico non può essere trovato. È grave?

Per quanto riguarda:

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Daniele\Application Data\hidires\hidr.exe

eccolo quà il problema di fondo

Ora AntiVir non mi notifica più la presenza del Vundo allo startup. É stato eliminato?

Allego un nuovo HJT

wjmat
08-05-2008, 08:45
la voce c'è ancora.... e comunque quel file è relativo a bagle, io comincerei a dare un'occhiata qui (http://www.hwupgrade.it/forum/showthread.php?t=1562611)

Chill-Out
08-05-2008, 09:24
Si la voce c'è ancora perchè non l'abbiamo ancora fixata, dal momento che Antivir Rescue funzione 2 ha eliminato sicuramente qualche file inerente il Vundo, ma ci sono anche tracce del Bagle, a questo punto sarebbe meglio seguire la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) per avere un check up completo e intervenire in maniera mirata

In via del tutto eccezzionale ellega i log qui :D

GinkoStar
08-05-2008, 09:50
Effettivamente ho avuto problemi con il beagle in passato su questa macchina, ma grazie alla guida di questo forum ero riuscito a rimuoverlo.

Ora seguirò la guida di rimozione del beagle.

Per quanto riguarda la disinfezione dal vundo: onestamente ho un po' paura a settare il /SAFEBOOT, non dovrei?

Chill-Out
08-05-2008, 09:58
Io seguirei questa Guida (http://www.hwupgrade.it/forum/showthread.php?t=1599737) poi fai te

Per il momento lascia stare la modalità provvisoria

GinkoStar
08-05-2008, 10:06
Hai ragione, se per caso faccio ancora qualche casino...
CCcleaner al lavoro!

Chill-Out
08-05-2008, 10:26
Hai ragione, se per caso faccio ancora qualche casino...
CCcleaner al lavoro!

Mi raccomando allega tutti i log in un'unico post, così è più facile.

GinkoStar
08-05-2008, 15:17
Temo che prima di stasera non riuscirò a postare tutti i log.

Dopo aver impiegato CCcleaner, ADS Scanner, A-Squared ora è il turno di Kaspersky che però sembrerebbe non finire prima delle 17:30. Spero vivamente che le prossime scansioni riportate nella guida impieghino meno tempo!

GinkoStar
08-05-2008, 20:23
In questo zip i log delle diverse scansioni:

http://www.filecrunch.com/fileDownload.php?sub=3db3e5f729921fe4e30489c5097870fc&fileId=145685

Kaspersky ha creato un log di quasi 100MB: l'ho snellito drasticamente lasciando solo le infezioni che ha trovato.
Prevxcsi non ha rilevato alcun malware.

wjmat
08-05-2008, 21:11
non zipparli i log e usa i server remoti segnalati nel regolamento
-su F: sembra ancora attivo il ripristino di configurazione ( o forse è un vecchio disco su cui c'era un sistema operativo?)
-kaspersky segnala ancora vundo
-le conosci queste voci

O4 - HKLM\..\Run: [CS Fire Monitor] C:\Program Files\CS Fire Monitor\CSFireMon.exe /startup
O4 - HKLM\..\Run: [start_cablecom volumecounter] C:\Program Files\cablecom\Contatore volume hispeed\volumecounter.exe
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Family%20Feud%202/Images/stg_drm.ocx
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Family%20Feud%202/Images/armhelper.ocx
O23 - Service: m2PacketcounterService (_service) - mquadr.at - C:\Program Files\cablecom\Contatore volume hispeed\packetservice.exe

Chill-Out
08-05-2008, 21:20
Per favore i log solo in formato .txt da hostare su i server qui http://www.hwupgrade.it/forum/showthread.php?t=1589984 indicati

GinkoStar
08-05-2008, 21:21
Grazie mille per la risposta.

Per ora vanno bene dove li ho lasciati o devo metterli anche da un'altra parte i log?

-F è un' altro HD (fisicamente, non una partizione) dove c'era una copia di windows una volta, ora solo files.

-CS Fire Monitor è un prog che uso
-Cablecom lo conosco, ma se pensi ci siano problemi lo posso cancellare, non lo uso più
-SpinTop DRM Control non so cosa sia
-ActiveScan 2.0 Installer Class è di uno dei tanti scan che ho fatto in passato (Panda)
-ArmHelper Control non so cosa sia
-mquadr.at vale quello che ho detto per il secondo file

GinkoStar
08-05-2008, 22:01
Fatto

In allegato alcuni logs, gli altri:

Sysinspector:

http://wikisend.com/download/635234/SysInspector-DESKTOP-080508-1848XML.txt

Gmer

http://wikisend.com/download/634994/gmer.txt

A-Square

http://wikisend.com/download/634982/a2scan_080508-113631.txt

Chill-Out
08-05-2008, 22:31
La situazione dovrebbe essere notevolmente migliorata :)

1 NB: il ripristino configurazione sistema deve essere disabilitato su tutte le partizioni

2 Fare pulizia con CCleaner come indicato in Guida al punto 5

3 Cosa nei hai fatto delle tracce rilevate da A-Squared perchè dal log non si capisce che azione hai intrapreso

3 Dal log di CureIt:
mirc.chm\ctcp_events.htm;C:\Program Files\mIRC\mirc.chm;IRC.Generic.32;;
mirc.chm;C:\Program Files\mIRC;l'Archivio contiene oggetti infetti;Spostato.;
mirc.exe;C:\Program Files\mIRC;Program.mIRC.621;Spostato.;

trattasi di falso positivo se vuoi puoi ripristinarli

4 Esegui HijackThis clicca su Do asystem scan only - metti il segno di spunta a sx della casella bianca in corrispondenza delle sottoindicate voci e clicca su Fix checked

O2 - BHO: (no name) - {F84364C8-733E-4C94-87B8-4A9D63ED9DC2} - (no file)
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Family%20Feud%202/Images/stg_drm.ocx
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

5 Manca la scansione con Prevx CSI indica nel prossimo post il link per visualizzare i risultati

6 Allegami un log di questo tool http://noahdfear.geekstogo.com/FindAWF.exe

Riepilogo log da allegare
Prevx CSi -->> link
FindAWF
Nuovo log di HijackThis

Ciao

Edit: il log di SysInspector lo devi lasciare in formato xml come indicato in Guida se no a controllarlo mi ci voglioni 20 giorni :D

GinkoStar
09-05-2008, 00:19
Ho nuovamente fatto girare CCleaner.

Le tracce rilevate da A-Squared le avevo eliminate.

Fixate le voci di HJT, in allegato il nuovo log

Prevx Csi non ha trovato niente ne in precedenza ne ora ( http://csia0.prevx.com/individualcsiresultsplus.asp?ano=96116859&LICVERIFIER=583F91B3-5DCE-4246-8BA6-CC0D22BCB55B&Opt=S&AGENTPROFILE=CSIPLUS&CMD=LSR )

XML di SysInspector: http://wikisend.com/download/634158/SysInspector-DESKTOP-080508-1848.xml

FindAWF non ha trovato nulla

EDIT
Dimenticavo di dire (ma forse lo si evince già dai log) che AntiVir non rileva più traccia di alcun virus!

wjmat
09-05-2008, 00:29
pulito!
Dai un'occhiata al Trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Guarda bene il punto 13 per disinstallare kasp

Chill-Out
09-05-2008, 09:26
Questa voce è rimasta indietro, da fixare con il Browser chiuso

O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Family%20Feud%202/Images/armhelper.ocx

al termine nuovo log di HijackThis, per il resto siamo OK, ciao.

GinkoStar
09-05-2008, 13:25
GRAZIE MILLE a tutti quelli che mi hanno aiutato! Mi avete salvato mesi di lavoro!

Un grazie in modo particolare a Chill-Out!

P.S. in allegato l'ultimo log di HJT

wjmat
09-05-2008, 13:50
vedo ancora Kaspersky... disinstallalo come ti ho detto sopra e riavvia poi per il resto sei a posto

Chill-Out
09-05-2008, 15:26
Prego di nulla, segui il Trattamento Post Disinfezione come indicato anche da wjmat, tra l'altro hai alcuni software complementari da aggiornare.

GinkoStar
09-05-2008, 16:29
Fatto tutto.

Grazie ancora ragazzi!!

Pasko1983
10-05-2008, 15:57
ciao gente, volevo ringraziarvi per avermi fatto perdere una giornata dietro ai vostri stupidi programmini... vundofix, fixvundo, hijack this...
tutte perdite di tempo
la soluzione era semplice: lanciare msconfig, disabilitare i processi collegati ai file infetti all'avvio di windows, cancellare suddetti fille e il computer tornava pulito...
al riavvio ho trovato solo un altro virus che l'antivirus (antivir free) è riuscito comodamente a cancellare, visto che il processo infetto era stato disattivato...
era poi così difficile?

wjmat
10-05-2008, 19:10
probabilmente ci sono diverse forme di infezione... tu ti sei preso quella leggera ;)

Chill-Out
10-05-2008, 21:34
ciao gente, volevo ringraziarvi per avermi fatto perdere una giornata dietro ai vostri stupidi programmini... vundofix, fixvundo, hijack this...
tutte perdite di tempo
la soluzione era semplice: lanciare msconfig, disabilitare i processi collegati ai file infetti all'avvio di windows, cancellare suddetti fille e il computer tornava pulito...
al riavvio ho trovato solo un altro virus che l'antivirus (antivir free) è riuscito comodamente a cancellare, visto che il processo infetto era stato disattivato...
era poi così difficile?

Che dire ottimo esordio per essere il tuo primo post

neongio
13-05-2008, 16:41
sono sicuro al 99% di avere un virtumonde nel pc ma dopo ore perse non riesco ancora a toglierlo del tutto

questo è quello che leggo nei log (ho ripulito al meglio con hijact ma non so cosa altro fare)

PREVX segnala sempre dei file infetti e anche dopo averli cancellati, al riavvio ne trova altri, pochi ma ne trova
vedere allegato

PENSO DI AVER TOLTO IL PIù GROSSO MA HO PAURA CHE RESTI ANCORA QUALCOSA
VEDI ALLEGATI
se possibile un aiuto...grazie a tutti

wjmat
13-05-2008, 16:50
riedita il tuo post allegando i log come hai fatto per la foto oppure caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.

La tua versione di Hijackthis non è aggiornata....scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione e mettila in una sua cartella dedicata, rifai la scansione e ricarica il nuovo log.

neongio
13-05-2008, 17:19
riedita il tuo post allegando i log come hai fatto per la foto oppure caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.

La tua versione di Hijackthis non è aggiornata....scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione e mettila in una sua cartella dedicata, rifai la scansione e ricarica il nuovo log.

ho fatto grazie

Chill-Out
13-05-2008, 18:34
ho fatto grazie

Che sintomi presenta il Pc si aprono pop-up pubblicitari indesiderati?

Controlla su www.virustotal.com e http://virusscan.jotti.org/ questo file bxnvewsl.dll che trovi in questo percoso C:\Windows\system32

Per virustotal.com basta indicare il link dove visualizzare i risultati, per jotti inserisci nel quote i risultati ottenuti

Per quanto riguarda FI786F.exe in C:\Windows\TEMP dovrebbe essere l'office scan di Trend Micro verifca che il file abbia un'icona a mò di cane

neongio
13-05-2008, 19:01
Che sintomi presenta il Pc si aprono pop-up pubblicitari indesiderati?

Controlla su www.virustotal.com e http://virusscan.jotti.org/ questo file bxnvewsl.dll che trovi in questo percoso C:\Windows\system32

Per virustotal.com basta indicare il link dove visualizzare i risultati, per jotti inserisci nel quote i risultati ottenuti

Per quanto riguarda FI786F.exe in C:\Windows\TEMP dovrebbe essere l'office scan di Trend Micro verifca che il file abbia un'icona a mò di cane

dopo l'ultima pulizia sembra tutto ok, nel senso che il sistema è veloce e non appaiono i popup che prima erano sempre presenti
l'exe è proprio a forma di cane!! è il trend quindi? perchè me lo sente come virus?
per la dll vi so dire domani grazie mille!

Pentagram
13-05-2008, 21:37
Salve a tutti sono nuovo...:stordita:
Ho riscontrato sicuramente questo virus...dato che Antivir mi ha chiesto di bloccare (inutilmente) Vundo.gen, per non parlare dei pop-up a iosa che mi apre, lentezza del sistema e molti siti con .com non li apre.
COme si prende questo virus? cioè a cosa è legato?

Ho seguito pure la vostra guida per toglierlo ma:

a) Prevx scaricato dal link, appena lo avvio mi chiede la licenza;
b) svariati programmi iniziali di fix non rivelano niente, altri si...
c) avenger non è come nelal vostra descrizione, io la lente non la vedo e sono nel panico xchè non capisco cosa fare..
d) ad-aware spybot ecc. lo segnalano "dicono" di bloccarlo ma riappare ad ogni avvio..
e) antivir mi fa schifo non ne posso più :stordita: e virit mi scannerizza ma non trova niente...

Ho fatto tutto quello che avete detto...ma vi ripeto molti programmi sn risultati inutili o per licenza o perchè non trovavano niente...

Che dite se formatto và via o rimane? E' giusto gia pensare al format o potete aiutarmi meglio :D?

Chill-Out
13-05-2008, 21:57
dopo l'ultima pulizia sembra tutto ok, nel senso che il sistema è veloce e non appaiono i popup che prima erano sempre presenti

quale pulizia?

l'exe è proprio a forma di cane!! è il trend quindi? perchè me lo sente come virus?
per la dll vi so dire domani grazie mille!

è normale non preoccuparti

Attendiamo responso per quanto riguarda la dll

Inoltre esegui HijackThis clicca si do a system scan only e metti il segno di spunta nella casella bianca a sx della sotto indicata voce:

O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Rinera Streaming Control) - hxxp://portal3.rinera.com/download/RineraProxy-1.4.cab

clicca su Fix checked

Ciao

Chill-Out
13-05-2008, 22:01
Salve a tutti sono nuovo...:stordita:
Ho riscontrato sicuramente questo virus...dato che Antivir mi ha chiesto di bloccare (inutilmente) Vundo.gen, per non parlare dei pop-up a iosa che mi apre, lentezza del sistema e molti siti con .com non li apre.
COme si prende questo virus? cioè a cosa è legato?

Ho seguito pure la vostra guida per toglierlo ma:

a) Prevx scaricato dal link, appena lo avvio mi chiede la licenza;
b) svariati programmi iniziali di fix non rivelano niente, altri si...
c) avenger non è come nelal vostra descrizione, io la lente non la vedo e sono nel panico xchè non capisco cosa fare..
d) ad-aware spybot ecc. lo segnalano "dicono" di bloccarlo ma riappare ad ogni avvio..
e) antivir mi fa schifo non ne posso più :stordita: e virit mi scannerizza ma non trova niente...

Ho fatto tutto quello che avete detto...ma vi ripeto molti programmi sn risultati inutili o per licenza o perchè non trovavano niente...

Che dite se formatto và via o rimane? E' giusto gia pensare al format o potete aiutarmi meglio :D?

Per poterti aiutare abbiamo bisogno dei log dei tool indicati in Guida e nell'ordine indicato, per il momento lascia stare Avenger, per quanto riguarda Prevx CSI è normale che ti chieda la licenza per il report segui queste istruzioni: dopo aver terminato la scansione cliccare sull'icona di Prevx CSI nella TrayBar (affianco all'orologio di Windows) con il tasto destro del mouse e selezionare la funzione "View the result of your last scan online" (guarda il risultato dell'ultima scansione online), si aprirà il Browser quindi copiare l'url della pagina visualizzata e pubblicarlo

Ciao

Pentagram
13-05-2008, 23:01
ora faccio subito tutti i log, ma per sapere; se formatto torna tutto ok, o è uno di quelli che nn togli manco in quel modo?

wjmat
13-05-2008, 23:39
dovresti risolvere, ma non mi sembra il caso formattare, a meno tu abbia molti altri problemi

Pentagram
14-05-2008, 02:57
Oh, eccomi bello pulito..
Mi scuso per prima. Avevo scritto di fretta e molto nervosamente. Quindi immagino tra congiunzioni, doppie e verbi che macello.
Ho preferito formattare (anche perchè il pc ne aveva un urgente bisogno), la tristezza nel vedere il pc vuoto, è compensabile solo con la fluidità del tutto :fagiano: .
Comunque sia, non riesco a capire come è possibile che abbia preso tale virus..
Possibile aprendo una delle tante email spam (stile: do you want enlarge your penis :asd: ) ?
Ora se l'esito della mia domanda fosse "si è per quello" conoscete un ottimo programma freeware, che si apre automaticamente con outlook, di modo che ELIMINI ISTANTANEAMENTE email spam o infette?
Se l'esito della mia domanda fosse negativo, possibile attraverso torrent?

wjmat
14-05-2008, 08:11
per il programma antispam, qui (http://www.hwupgrade.it/forum/showthread.php?t=668898) ce ne sono un pò, chiedi li quale è meglio per te, poi dai un'occhiata al Trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
Ciao

neongio
14-05-2008, 08:39
Che sintomi presenta il Pc si aprono pop-up pubblicitari indesiderati?

Controlla su www.virustotal.com e http://virusscan.jotti.org/ questo file bxnvewsl.dll che trovi in questo percoso C:\Windows\system32

Per virustotal.com basta indicare il link dove visualizzare i risultati, per jotti inserisci nel quote i risultati ottenuti

Per quanto riguarda FI786F.exe in C:\Windows\TEMP dovrebbe essere l'office scan di Trend Micro verifca che il file abbia un'icona a mò di cane

i pop up son spariti dopo aver usato hijact e la rimozione delle dll manualmente segnalate da prevx MA ecco cosa segnala virustotal su quella dll

EDITO IN ATTESA...cmq quando ho uppato la dll era corretta, poi il sito mi ha ristituito un report scrivendo FILE GIA' ANALIZZATO O ROBA SIMILE

wjmat
14-05-2008, 09:27
per virustotal basta scrivere il link alla pagina dove visualizzi i risultati, quindi riedita il post

Chill-Out
14-05-2008, 09:40
Mi sembrava di averti spiegato bene dove controllare la dll in questione ovvero bxnvewsl.dll e come pubblicare i risultati, inoltre ribadisco che la dll da esaminare era questa bxnvewsl.dll tu hai copiato i risultati di questa gxjxrnad.dll.

Brufol8
15-05-2008, 21:08
Ciao a tutti ragazzi,
spero di trovare qualcuno che possa dare una mano anche a me...neo infettato dal Vundo che l'antivirus mi segnala ma non riesce a togliere..ho fatto i primi passaggi elencati, appena ho il primo log vi chiedo una mano.
Help.
Vundo non ha trovato nulla (mah!)
intanto ho il log di hajack

Chill-Out
15-05-2008, 21:48
Ciao come indicato in Guida (http://www.hwupgrade.it/forum/showthread.php?t=1603273) i log non vanno copiati ed incollati ma allegati.

Ti chiedo di editare (modificare) il tuo post precedente, rimaniamo in attesa dei log di tutti i tool indicati in Guida.

Brufol8
15-05-2008, 21:58
ok scusa allego il log

Chill-Out
15-05-2008, 22:02
ok scusa allego il log

Il log di HijackThis arriva al Punto 8 tutti gli altri Punti e realtivi log dove sono?

Ragazzi le guide vengono scritte per dare la possibilità agli utenti di disinfettare quasi in autonomia il prorpio PC, se no che senso avrebbe scriverle? Segui la guida ed allega i log per il controllo e successivo supporto, ciao.

Brufol8
15-05-2008, 23:18
hai ragione è che quello lo avevo già. il log di renv (scusate se non lo allego)
è

Ran on 15/05/2008 - 23.03.09,76



ora vado a fare gli altri.
Grazie ancora x l'attenzione.

neongio
16-05-2008, 12:08
penso di farvi una domanda che può mettere in difficoltà

un altro pc è stato infettato con virus vundo e dopo rimozioni manuali una ad una, resta solamente una dll che APPARENTEMENTE E' IMPOSSIBILE DA ELIMINARE
prevx segnala il file WinNt32.dll presente in windows/system32 come infetto ma all'atto della cancellazione questo sembra sempre in uso
per SEMPRE intendo sia in modalità normale che provvisoria

provato con avenger e niente, il file è presente (penso si rigeneri da qualche file cab a me sconosciuto)
provato con file assassins idem
provato con kill box idem

rispetto all'inizio, il pc ora è molto più veloce ma resta questo file bastardo (che crea anche una chiave di reg)

come posso fare? grazie mille a tutti

Chill-Out
16-05-2008, 12:22
Si tratta di un Worm/Downloader sarebbe opportuno per sicurezza seguire la Guida alla disinfezione

neongio
16-05-2008, 12:29
Si tratta di un Worm/Downloader sarebbe opportuno per sicurezza seguire la Guida alla disinfezione

se intendi quella in prima pagina, ho fatto tutto...cmq nemmeno con avenger non riesco ad eliminarlo

Chill-Out
16-05-2008, 12:33
se intendi quella in prima pagina, ho fatto tutto...cmq nemmeno con avenger non riesco ad eliminarlo

Intendo questa http://www.hwupgrade.it/forum/showthread.php?t=1599737

neongio
16-05-2008, 14:02
Intendo questa http://www.hwupgrade.it/forum/showthread.php?t=1599737

ho letto abbastanza ma non ho trovato soluzioni...non riesco a non far registrare quella dll

Chill-Out
16-05-2008, 15:37
ho letto abbastanza ma non ho trovato soluzioni...non riesco a non far registrare quella dll

Non si tratta solo di leggere ma di seguire la Guida, aprire un nuova discussione ed allegare i log dei tool indicati.

neongio
16-05-2008, 15:52
Non si tratta solo di leggere ma di seguire la Guida, aprire un nuova discussione ed allegare i log dei tool indicati.

scusate se vi ho fatto perder tempo
ho risolto leggendo qui e li dopo ore perse tentando di eliminare quella dll
spero che questa soluzione serva ad altri che hanno questo problema con il file winnt32.dll

1: il file viene supportato da un driver che lo rigenera ogni volta
2: questo tipo di driver ha sempre la stessa forma (nome) 3 lettere+2numeri+.sys
3: trovato l'unico file di questo tipo in system32/driver nel mio caso era il file Wfn.sys, con una utility ho disabilitato quel servizio
4: eliminato il driver
5: eliminato il maledetto winnt32.dll
6: tolti i richiami con hijackthis
7: rifatta scansione e compagnia
8: ora sembra tutto in ordine..ma che fatica!

grazie cmq a tutti

Chill-Out
16-05-2008, 16:05
scusate se vi ho fatto perder tempo
ho risolto leggendo qui e li dopo ore perse tentando di eliminare quella dll
spero che questa soluzione serva ad altri che hanno questo problema con il file winnt32.dll

1: il file viene supportato da un driver che lo rigenera ogni volta
2: questo tipo di driver ha sempre la stessa forma (nome) 3 lettere+2numeri+.sys
3: trovato l'unico file di questo tipo in system32/driver nel mio caso era il file Wfn.sys, con una utility ho disabilitato quel servizio
4: eliminato il driver
5: eliminato il maledetto winnt32.dll
6: tolti i richiami con hijackthis
7: rifatta scansione e compagnia
8: ora sembra tutto in ordine..ma che fatica!

grazie cmq a tutti

Ok era semplicemente per escludere altre eventuali infezioni.

Brufol8
16-05-2008, 20:50
Vundo e FixUndo non hanno trovato nulla,
mentre allego il log di Virtumondo che sembra avere trovato e rinominato qualcosa che ora ho son riuscito finalmente a rimuovere.
Dopo qs Combo non ha dato nessun risultato.
Uscito dalla modalità provvisoria, ho fatto girare PrevX che non ha dato risultati.

Chill-Out
17-05-2008, 09:38
Vundo e FixUndo non hanno trovato nulla,
mentre allego il log di Virtumondo che sembra avere trovato e rinominato qualcosa che ora ho son riuscito finalmente a rimuovere.
Dopo qs Combo non ha dato nessun risultato.
Uscito dalla modalità provvisoria, ho fatto girare PrevX che non ha dato risultati.

Senza vedere i log (in perticolare quello di Combo) come faccio a risponderti.

H3rtz
17-05-2008, 22:51
ragazzi ho il virus vitumonde.....
allora ho seguito le vostre istruzioni:

ecco i log dei programmi seguendo il vostro ordine...

H3rtz
17-05-2008, 22:54
ragazzi ho il virus vitumonde.....
allora ho seguito le vostre istruzioni:

ecco i log dei programmi seguendo il vostro ordine...

ecco gli altri log

H3rtz
17-05-2008, 22:54
il virus è rimasto e nn so cosa fare.. formatto??

Chill-Out
17-05-2008, 22:56
ragazzi ho il virus vitumonde.....
allora ho seguito le vostre istruzioni:

ecco i log dei programmi seguendo il vostro ordine...

Hai saltato il punto 3 nel tuo caso è importante

H3rtz
17-05-2008, 23:11
Hai saltato il punto 3 nel tuo caso è importante

si l ho fatto e nel log mi è apparso questo

Ran on 17/05/2008 - 20.49.24,42



diceva 0 risultati..

Chill-Out
17-05-2008, 23:25
NB: ripristino configurazione sistema disattivato

Apri il Blocco Note copia e incolla queste righe:

RenV::
C:\Documents and Settings\Andrea\ALCMTR .exe
C:\Documents and Settings\Andrea\RTHDCPL .exe
C:\Documents and Settings\Andrea\rundll32.exe bthprops .exe
C:\Documents and Settings\Andrea\SkyTel .exe
C:\Programmi\File comuni\Nero\Lib\NeroCheck .exe
C:\Programmi\HP\HP Software Update\HPWuSchd2 .exe
C:\WINDOWS\system32\ctfmon .exe

File::
C:\WINDOWS\system32\hdbhvwad.ini

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

H3rtz
17-05-2008, 23:43
ekko il file del log...

Chill-Out
17-05-2008, 23:50
ekko il file del log...

è incompleto

H3rtz
18-05-2008, 00:17
è incompleto

come incompleto???

H3rtz
18-05-2008, 00:31
è incompleto

ecco il file completo

Chill-Out
18-05-2008, 00:55
ecco il file completo

Adesso ci siamo, prosegui col Punto 6 - 7 etc.......

NB: Prevx dopo aver terminato la scansione cliccare sull'icona di Prevx CSI nella TrayBar (affianco all'orologio di Windows) con il tasto destro del mouse e selezionare la funzione "View the result of your last scan online" (guarda il risultato dell'ultima scansione online), si aprirà il Browser quindi copiare l'url della pagina visualizzata e pubblicarlo

Slide
18-05-2008, 23:49
Salve ragazzi, per fortuna vi ho scovato in questo thread :)
Credo di esser colpito da questo virus. Da qualche giorno Nod32 mi segnala la presenza di "Trojan Horse Win32/PrivacySet.A", e SpyBot S&D mi segnala sempre Virtumonde.dll.

Prima di arrivare a questa guida ho smanettato in modalità provvisoria con i seguenti programmi:
1. scansione con il nod32
2. scansione con SpyBot
3. scansione con ClamWin Antivirus

Poi ho trovato questo thread sul forum.
Con la guida ho avuto qualche problema nei seguenti punti:

4.VirtumundoBeGone

Mi è apparsa una schermata blue, ho riavviato il pc ed a quel punto ho avuto paura di riavviare il programma.

6) Fare una scansione con Prevx CSI
Mi ha trovato dei virus in system32, ma essendo la versione trial non ho potuto rimuoverli :(

Screenshot di Prevx CSI: QUI (http://img142.imageshack.us/img142/4800/sshot1qh6.png)

9) Fare una scansione con FindAWF e postare il log

Mi ha tirato fuori un log lunghissimo (400 e passa KB) che per ora non allego.

Passo ad allegare i log di Combofix, hijackthis, fixvundo.

ALLEGATI:
ComboFix.txt (http://slide.altervista.org/LOG/Combofix.txt)
FixVundo.log (http://slide.altervista.org/LOG/FixVundo.log)
hijackthis.log (http://slide.altervista.org/LOG/hijackthis.log)

I tre file in un RAR (http://slide.altervista.org/LOG/logs.rar)
Altro Mirror: QUI (altervista fa i capricci) (http://rapidshare.com/files/115901736/logs.rar)

Screenshot di Prevx CSI: QUI (http://img142.imageshack.us/img142/4800/sshot1qh6.png)



Prevx CSI mi rileva i seguenti file infetti:



Grazie davvero dell'aiuto :)

Slide
18-05-2008, 23:53
EDIT: Errore doppio post, sorry.

wjmat
19-05-2008, 00:56
x slide
CARICA CORRETTAMENTE I LOG SECONDO QUESTE REGOLE
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.

xcdegasp
19-05-2008, 11:40
io li vedo caricati correttamente :)

wjmat
19-05-2008, 11:42
su altervista??:D

xcdegasp
19-05-2008, 11:49
Salve ragazzi, per fortuna vi ho scovato in questo thread :)
Credo di esser colpito da questo virus. Da qualche giorno Nod32 mi segnala la presenza di "Trojan Horse Win32/PrivacySet.A", e SpyBot S&D mi segnala sempre Virtumonde.dll.

Prima di arrivare a questa guida ho smanettato in modalità provvisoria con i seguenti programmi:
1. scansione con il nod32
2. scansione con SpyBot
3. scansione con ClamWin Antivirus

Poi ho trovato questo thread sul forum.
Con la guida ho avuto qualche problema nei seguenti punti:



Mi è apparsa una schermata blue, ho riavviato il pc ed a quel punto ho avuto paura di riavviare il programma.


Mi ha trovato dei virus in system32, ma essendo la versione trial non ho potuto rimuoverli :(

Screenshot di Prevx CSI: QUI (http://img142.imageshack.us/img142/4800/sshot1qh6.png)



Mi ha tirato fuori un log lunghissimo (400 e passa KB) che per ora non allego.

Passo ad allegare i log di Combofix, hijackthis, fixvundo.

ALLEGATI:
ComboFix.txt (http://slide.altervista.org/LOG/Combofix.txt)
FixVundo.log (http://slide.altervista.org/LOG/FixVundo.log)
hijackthis.log (http://slide.altervista.org/LOG/hijackthis.log)

I tre file in un RAR (http://slide.altervista.org/LOG/logs.rar)
Altro Mirror: QUI (altervista fa i capricci) (http://rapidshare.com/files/115901736/logs.rar)

Screenshot di Prevx CSI: QUI (http://img142.imageshack.us/img142/4800/sshot1qh6.png)



Prevx CSI mi rileva i seguenti file infetti:



Grazie davvero dell'aiuto :)

riesegui hijackthis optando per la funzione "Scan Only", a fine scansione il pulsante in fondo a sinistra si chiamerà "Fix Checked", quindi selezionare le voci desiderate e premere questo tasto.
Fixa

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [389d48e9] rundll32.exe "C:\WINDOWS\system32\mpdnmwol.dll",b
O4 - HKLM\..\Run: [BM3bae7b75] Rundll32.exe "C:\WINDOWS\system32\ilyvqeol.dll",s
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent

xcdegasp
19-05-2008, 11:50
su altervista??:D

che male c'è, se funziona :)

murack83pa
19-05-2008, 12:24
se clicco su fvundoix e hijackthis mi spunta questa pagina:
http://it.altervista.org/

:rolleyes:

l'unico è combofix

xcdegasp
19-05-2008, 12:51
copia l'indirizzo del log e incollalo nell'url del browser :)

Slide
19-05-2008, 20:07
Rispondo un attimo al volo:

-i file li avevo caricati anche su rapidshare :)
-il prima possibile eseguo i consigli su hijackthis.

A tra poco, con più calma.. e soprattutto: UN MEGA GRAZIE!
:)

Slide
19-05-2008, 20:16
Rieccomi qui a seguire i vostri consigli. :) :)

Gli UPLOAD:
hijackthis.log (http://wikisend.com/download/530056/hijackthis.log)
Combofix.txt (http://wikisend.com/download/530026/Combofix.txt)
FixVundo.log (http://wikisend.com/download/530024/FixVundo.log)

Il LOG di HijackThis v2.0.2 è stato generato dopo i consigli di xcdegasp che ringrazio ancora.
:)

Zenadiz
20-05-2008, 14:37
Salve ragazzi sono un nuovo iscritto!!! Prima di tutto voglio farvi i complimenti per l'attivita di questo forum che come ho potuto notare è aggiornato e attivissimo!
Come tutti ho il problema di questo virus, ho cercato di leggere piu post possibili ma vi prego di scusarmi se vi faro ripetere cose gia dette!
Ho seguito le istruzioni che avete dato ma ho riscontrato qualche problema... Vi racconto in 2 parole cio che ho fatto...
Avendo contratto il virus ho letto varie discussioni online prima di arrivare al vostro forum e ho fatto cio che mi sembrava piu logico... Ho scaricato Superantispy e avendo panda antivirus li ho fatti partire prima uno e poi l'altro in modalita provvisoria e credo mi abbiano dato una bella mano nella disinfezione... lo dico perche molti dei sintomi di virtumonde sono spariti ma qualcuno è rimasto (ad es. prima mi disattivava in automatico gli aggiornamenti di windows ora nn lo fa piu... stessa cosa per i pop up.. purtroppo continua ad abbassarmi il livello della protezione cookie e soprattutto nn mi visuliazza molte pagine web dei preferiti)... dopo cio ho letto il vostro forum e ho proceduto con la vostra guida i risultati sono questi:
Vundofix renv fixvundo virtumundobegone non hanno trovato nulla... combofix neanche ma nn sono riuscito ad ottenere il log... prevcsi mi ha trovato 32 file infetti ma poiche nn ho la versione completa nn me li ha fatti disinfestare ne ho potuto salvare il log in quanto nn piu permesso... virit nn ho trovato nulla e neanche findawf... avenger nn sono riuscito a farlo partire in quanto le istruzioni che avete messo nn corrispondono evidentemente alla mia versione di avenger perche nn si puo selezionare "input manually" ne la lente di ingrandimento che nn esiste, si puo solo scrivere lo script (che tra l'altro nn conosco ne so dove si rimedia)... tra un attimo vi posto anche i log che sono riuscito a prendere... cosa devo fare ora?
vi ringrazio mille gia da adesso:D Questo virus è veramente tosto.... Scusate se sono stato lungo e scusate se vi faccio ripetere le cose 10000 volte!!!!

Zenadiz
20-05-2008, 14:43
http://wikisend.com/download/579170/vundofix%20Log.txt
http://wikisend.com/download/573496/FixVundo.log
http://wikisend.com/download/573534/hijackthis.log
http://wikisend.com/download/579104/awf.txt
http://wikisend.com/download/579254/VBG.TXT

questi sono i log che sono riuscito ad ottenere... considerate anche che quelli che nn ho nn hanno dato alcun risultato di ricerca... l'unico che l'ha fatto (32 voci) è prevxcsi che pero nn si puo piu salvare come log... vi prego datemi una mano ci sto combattendo da 3 giorni e sono alla disperazione... se vi servono altre informazioni chiedete pure vi esaudiro immediatamente!!!!

Zenadiz
20-05-2008, 15:06
scusate se faccio mille post ma ho un aggiornamento... nel senso che dopo tutte le vostre istruzioni ho riavviato ed ora la navigazione è perfetta anche per gl'url dei preferiti ma panda antivirus continua a segnalarmi a raffica che sta neutralizzando spyware ogni 20 secondi tutti adtech nei cookie inoltre è saltata fuori l'icona di microsoft che dice che windows potrebbe essere contraffatto... cosa bizzarra dato che il pc è nuovo e l'ho comprato cosi com'è 1 mese fa da Infoware...

Chill-Out
20-05-2008, 21:34
scusate se faccio mille post ma ho un aggiornamento... nel senso che dopo tutte le vostre istruzioni ho riavviato ed ora la navigazione è perfetta anche per gl'url dei preferiti ma panda antivirus continua a segnalarmi a raffica che sta neutralizzando spyware ogni 20 secondi tutti adtech nei cookie inoltre è saltata fuori l'icona di microsoft che dice che windows potrebbe essere contraffatto... cosa bizzarra dato che il pc è nuovo e l'ho comprato cosi com'è 1 mese fa da Infoware...

Quella non è l'icona di Win che ti segnala che il sistema operativo è contraffato, ma l'icona di un falso programma di sicurezza dal log di HJt si evince che sei ancora infetto porta a termine la Guida partendo dal Punto 4 Combofix e di seguito gli altri punti.

Per Prevx CSI leggi queste istruzioni:

a fine scansione clickare sull'icona di prevxCSI nella traybar (affianco all'orologio di windows) con il tasto destro del mouse e selezionare la funzione "View the result of your last scan online" (= guarda il risultato dell'ultima scansione online), si aprirà il browser quindi copiare l'url della pagina visualizzata e pubblicarlo

Zenadiz
21-05-2008, 02:04
ho rifatto tutta la procedura anche piu di una volta... alcuni log nn ce li ho per il semplice motivo che nn sono riuscito a farli... ma cmq nessuno di quelli mancanti ha rilevato virus... l'ultima procedura ha prodotto questi log...

http://wikisend.com/download/569922/hijackthis.log
http://wikisend.com/download/569928/awf.txt
http://wikisend.com/download/569628/logcombo.txt

prevx da invece questo... vi prego aiutatemi ci sto combattendo da tutta la sera!!!
http://csia0.prevx.com/individualcsiresultsplus.asp?ano=13270550&LICVERIFIER=AD52A465-3AD9-4761-99C6-3EA39B01EFD1&Opt=S&AGENTPROFILE=CSIPLUS&CMD=LSR

wjmat
21-05-2008, 08:23
Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log
O2 - BHO: (no name) - {02274c4e-ff91-4210-a09d-0ebb063710de} - (no file)
O2 - BHO: (no name) - {0F802F7B-56A8-4460-9989-4A8DF0C28967} - C:\WINDOWS\system32\fccyyYqo.dll (file missing)
O2 - BHO: (no name) - {2D45D7D4-10F9-4204-86D1-CE39A3597C02} - C:\WINDOWS\system32\yayaAtur.dll (file missing)
O2 - BHO: (no name) - {506EEDA0-4510-4317-AC26-98B47A075C61} - C:\WINDOWS\system32\geBtRiGW.dll (file missing)
O2 - BHO: (no name) - {55589203-02BA-4307-B6A6-896598FB9087} - C:\WINDOWS\system32\jkkLDVLc.dll (file missing)
O2 - BHO: (no name) - {59C0E60B-3E2F-42C7-B0E3-FD630A40C5D4} - C:\WINDOWS\system32\yayAtUlK.dll (file missing)
O2 - BHO: {bf6b6158-5bd9-1448-74d4-a0208a72980a} - {a08927a8-020a-4d47-8441-9db58516b6fb} - C:\WINDOWS\system32\evpvnwpn.dll
O2 - BHO: (no name) - {BE7BAD28-22AE-46F2-97B1-8D14461A9834} - C:\WINDOWS\system32\cbXRKCTL.dll (file missing)
O2 - BHO: (no name) - {fb56f33f-7c4b-41f2-95f3-137358cfd6fa} - (no file)
O4 - HKLM\..\Run: [14744124] rundll32.exe "C:\WINDOWS\system32\nukhgwsc.dll",b
O4 - HKLM\..\Run: [BM174772b8] Rundll32.exe "C:\WINDOWS\system32\qhjifcpx.dll",s
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe
O4 - HKCU\..\Policies\Explorer\Run: [WinUpdating] WinUpdating.exe


Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo -> Clicca Ok -> Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma -> Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\WINDOWS\system32\evpvnwpn.dll
C:\WINDOWS\system32\cbXRKCTL.dll
C:\WINDOWS\system32\nukhgwsc.dll
C:\WINDOWS\system32\qhjifcpx.dll


dei file trovati da prevx uno dovremmo già farlo fuori, degli altri dovremmo sapere l'indirizzo....
o li cerchi manualmente e ci comunichi la posizioni o rifai la scansione, alla fine alla schermata con l'esito allarga bene le colonne in modo che si veda la posizione e fai lo foto allo schermo con il tasto stamp, apri paint incolli l'immagine, salvi in jpg e carichi su http://fileqube.com

Slide
21-05-2008, 11:51
Gente, io credo di aver risolto! :)

Dopo aver seguito i vostri suggerimenti, ho rinominato uno per uno i file in system32 che mi segnalava Prevx CSI.

Ed ora Spybot,Nod32, etc, non mi segnalano più la presenza del virus.

Il virus non mi permetteva di fare ricerche con Firefox e IE dentro Google.
Adesso invece vado alla grande.

Se può aiutare, ho rinominato i seguenti file da *.dll a *.bak: (segnalati come infetti da Prevx):


directory C:\Windows\System32

abycsfyf.bak
bgsxdaxm.bak
bjtxmblq.bak
bsvkqrwv.bak
cbXOFWQI.dll.bak
ghgrdfjb.bak
ilyvqeol.bak
inuuthkv.bak
jkkhiFxV.bak
kqdhjpsu.bak
nedahcmx.bak
pmvbnxjl.bak
tjmombad.bak
xhqnnrqp.bak


Ciaooo

:)

Chill-Out
21-05-2008, 12:28
Dopo aver seguito il consiglio di wjmat al post #684, allega il log di Avenger + un nuovo log di HijackThis ed un nuovo log di Combofix che vediamo di sistema il pieno di schifezze cha hai sul PC ;)

Chill-Out
21-05-2008, 12:29
Gente, io credo di aver risolto! :)

Dopo aver seguito i vostri suggerimenti, ho rinominato uno per uno i file in system32 che mi segnalava Prevx CSI.

Ed ora Spybot,Nod32, etc, non mi segnalano più la presenza del virus.

Il virus non mi permetteva di fare ricerche con Firefox e IE dentro Google.
Adesso invece vado alla grande.

Se può aiutare, ho rinominato i seguenti file da *.dll a *.bak: (segnalati come infetti da Prevx):



Ciaooo

:)

Ciao avresti potuto eliminarle

Slide
21-05-2008, 12:39
Ciao avresti potuto eliminarle

Ho voluto solo rinominarli per vedere se vi era stato qualche falso positivo.
Adesso che sembra tutto ok (il SO lavora bene), posso anche eliminarli.

;)

Zenadiz
21-05-2008, 12:56
ecco i log nuovi dopo aver fatto hijach e avenger:
http://wikisend.com/download/564594/hijackthis.log
http://wikisend.com/download/564444/avenger2.txt

wjmat
21-05-2008, 13:04
quello che ti avevo fatto fixare è sparito da HJT ma è comparso questo....
O4 - HKCU\..\Run: [AntispywareBot] C:\Programmi\AntiSpywareBot\AntispywareBot.exe -boot
l'hai installato tu???? fixalo

Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), se vuoi sapere quali sono i programmi più validi....

maxone78
21-05-2008, 14:57
Si, Firefox + Noscript + Adblock plus e attenzione a dove si naviga, il tuo cervello è la tua prima barriera difensiva. ;)

Prego felice di essere stato di aiuto :)
Anche se in ritardissimo, grazie anche di questi consigli :)

Chill-Out
21-05-2008, 15:40
ecco i log nuovi dopo aver fatto hijach e avenger:
http://wikisend.com/download/564594/hijackthis.log
http://wikisend.com/download/564444/avenger2.txt

http://www.hwupgrade.it/forum/showpost.php?p=22546845&postcount=676 :read:

Chill-Out
21-05-2008, 15:41
Anche se in ritardissimo, grazie anche di questi consigli :)

Prego

Zenadiz
21-05-2008, 16:11
Antispywarebot l'ho installato ieri sera... uno dei tanti antivirus che ho trovato... lo disinstallo e lo fixo?

Chill-Out
21-05-2008, 16:17
Antispywarebot l'ho installato ieri sera... uno dei tanti antivirus che ho trovato... lo disinstallo e lo fixo?

Come te lo devo dire che è un falso software di sicurezza, sarebbe opportuno seguire questo consiglio http://www.hwupgrade.it/forum/showpost.php?p=22546845&postcount=676
poi fà tè.

Zenadiz
21-05-2008, 16:26
sisi scusate è che ieri sera nn avevo avuto indicazioni e nella disperazione le ho provate un po tutte... cmq ho fatto combofix e credo me lo abbia levato... ho rifatto anche hijack e questi sono i log..
http://wikisend.com/download/524388/logcombo.txt
http://wikisend.com/download/524332/hijackthis.log
tra l'altro sono andato in aplicazioni e ho cercato di cancellare antispywarebot ma nn si cancella mi dice impossibile trovare il modulo specificato... nn so se è perche ci ha gia pensato combofix...

Chill-Out
21-05-2008, 16:36
Ok adesso sono un pò incasinato e mi serve un pò di tempo per controllare tutto il troiaio che c'è nei due log di Combo, ti chiedo di portare pazienza, ciao.

Nel frattempo evita di scaricare programmi farlocchi. ;)

Zenadiz
21-05-2008, 16:39
ok grazie nn scarico piu nulla promesso...:stordita:

Chill-Out
21-05-2008, 19:04
ok grazie nn scarico piu nulla promesso...:stordita:

NB: rirpristino conf.sistema disattivato

Fai prima una pulizia con CCleaner come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1599737

Apri il Blocco Note copia e incolla queste righe:

File::
C:\WINDOWS\system32\cjcepkhd.dll
C:\WINDOWS\system32\guwwovhw.dll
C:\WINDOWS\system32\hyhwqiyo.exe
C:\WINDOWS\system32\jkllasnd.dll
C:\WINDOWS\system32\lhidgiym.dll
C:\WINDOWS\system32\tamfodvv.dll
C:\Programmi\AntiSpywareApp\Antispyware.exe
C:\WINDOWS\system32\DRIVERS\antispywarebot.sys
C:\Programmi\AntiSpywareApp\AntiSpyware.ex
C:\WINDOWS\Tasks\Antispyware Scheduled Scan.job

Folder::
C:\Programmi\AntiSpywareApp

Driver::
C:\WINDOWS\system32\DRIVERS\antispywarebot.sys

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Oltre ad allegare il log di Combofix, mi alleghi anche un nuovo log di HjiackThis ed il link per visualizzare i risultati di una nuova scasnione con Prevx CSI

Armati di pazienza perchè ci sono altre cose da fare :rolleyes:

Una curiosità ma il Panda cosà fà dorme

Zenadiz
21-05-2008, 19:18
adesso faccio tutto... il panda incredibilmente è in letargo... si e no mi ha trovato 3 virus in tutto questo casino... ametto pero che le altre volte è sempre stato precisissimo... boh... forse il vundo ha difficolta a rilevarlo... cmq ieri ogni tanto mi appariva ogni volta che riavviavo un msg di panda rosso che diceva che alcune librerie erano disattivate ma ogni volta che le riattivavo mi bloccavano la navigazione... ergo da quel momento in poi ho ignorato il msg in attesa di risolvere prima i problemi piu grossi ed avere cmq sempre la navigazione attiva per questo forum...

Zenadiz
21-05-2008, 20:19
ecco qui
http://csia0.prevx.com/individualcsiresultsplus.asp?ano=13381754&LICVERIFIER=AD52A465-3AD9-4761-99C6-3EA39B01EFD1&Opt=C&AGENTPROFILE=CSIPLUS&CMD=LSR
http://wikisend.com/download/522776/ComboFix2.txt
http://wikisend.com/download/522996/hijackthis.log

spero sia tutto giusto...

wjmat
21-05-2008, 20:59
Sono rimasti ancora un pò di files trovati da prevx...

Apri il Blocco Note copia e incolla queste righe:


File::
C:\WINDOWS\system32\gbngyexc.dll
C:\WINDOWS\system32\ipfrjjvg.exe
C:\WINDOWS\system32\ltssjhkv.dll
C:\WINDOWS\system32\nsuewbah.dll
C:\WINDOWS\system32\otllhxel.dll
C:\WINDOWS\system32\ugjulayv.dll

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix
al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Zenadiz
21-05-2008, 21:11
fatto ecco il log...
http://wikisend.com/download/596628/log.txt
In piu ogni volta che riavvio il pc panda mi segnala che c'è un programma sconosciuto che è meglio cancellare... C:windows/psexec.exe mi pare il percorso... lo cancello ogni volta ma ogni volta risalta fuori

Zenadiz
21-05-2008, 21:39
ho rifatto anche prevxcsi questo è il log..
http://csia0.prevx.com/individualcsiresultsplus.asp?ano=13381754&LICVERIFIER=AD52A465-3AD9-4761-99C6-3EA39B01EFD1&Opt=C&AGENTPROFILE=CSIPLUS&CMD=LSR

Chill-Out
21-05-2008, 21:42
fatto ecco il log...
http://wikisend.com/download/596628/log.txt
In piu ogni volta che riavvio il pc panda mi segnala che c'è un programma sconosciuto che è meglio cancellare... C:windows/psexec.exe mi pare il percorso... lo cancello ogni volta ma ogni volta risalta fuori

Ok Combo ha fatto il suo dovre, adesso questo da dove è uscito che dal log di Combo non compare C:\windows\psexec.exe

Procedi cosi, fa una scansione DEEP con A-Squared Free come indicato in questa Guida al punto 3, mi raccomando ricorda di allegare il log

Zenadiz
21-05-2008, 21:50
quel file lo vedo da piu di un giorno... ogni volta lo cancello... nn ho idea da dove salta fuori... scusa ma parli del punto 3 della guida di questo post a pagina 1? quella con renv?

Chill-Out
21-05-2008, 21:52
quel file lo vedo da piu di un giorno... ogni volta lo cancello... nn ho idea da dove salta fuori... scusa ma parli del punto 3 della guida di questo post a pagina 1? quella con renv?

Ho dimenticato il link eccolo http://www.hwupgrade.it/forum/showthread.php?t=1599737

Zenadiz
22-05-2008, 03:02
Scusa l'ora... fatto lo scan... ci ha messo un po e sono dovuto uscire...
ecco il log
http://wikisend.com/download/560374/a2scan_080521-231940.txt
grazie dell'aiuto cmq! spero nn manchi molto alla fine di questa odissea...

wjmat
22-05-2008, 13:11
chill se gli facciamo disinstallare virit e panda in favore di antivir con una bella scansione completa?

Zenadiz
22-05-2008, 13:23
ragazzi ora il pc sembra ok... l'unica cosa è che quando riavvio panda segnala un paio di cookie che blocca e cancellla... mi chiedo solo cos'è che li genera dato che ogni volta vengono cancellati e poi ad ogni riavvio ritornano....

wjmat
22-05-2008, 13:37
hai rifatto prevx oggi alle 11:35 e ti ha dato clean, mi pare di aver visto....
panda hai intenzione di tenerlo? cosa segnala di preciso?

Zenadiz
22-05-2008, 13:51
si mi ha dato clean... si pensavo di tenerlo fino a 2 giorni fa si era comportato egregiamente e il mio pc nn aveva mai avuto problemi simili... adesso mi segnala continuamente cookie tra le cartelle di firefox...

Chill-Out
22-05-2008, 21:08
si mi ha dato clean... si pensavo di tenerlo fino a 2 giorni fa si era comportato egregiamente e il mio pc nn aveva mai avuto problemi simili... adesso mi segnala continuamente cookie tra le cartelle di firefox...

Allega un log del Panda, così ci facciamo un'idea :)

Zenadiz
22-05-2008, 22:36
eccolo è un po grandicello perchè ci sono piu giorni insieme voi guardate solo le notifiche del 22
http://wikisend.com/download/548552/panda.txt

Chill-Out
22-05-2008, 22:41
eccolo è un po grandicello perchè ci sono piu giorni insieme voi guardate solo le notifiche del 22
http://wikisend.com/download/548552/panda.txt

Evitiamo di scaricare da Emule queste robe qua:
C:\Programmi\eMule\Temp\001.part[[PATCH XP SP2-VLK] WGA full crack.exe]

il resto sono solo cookie

alkaid
23-05-2008, 00:44
credo che avg free 8.0 riesca a rimuoverlo

Zenadiz
23-05-2008, 04:02
era per l'id di win... era necessario purtroppo nn avevo altre soluzioni... panda cmq l'ha preso al volo giusto? cioè nn c'è piu... giusto?

Chill-Out
23-05-2008, 08:58
era per l'id di win... era necessario purtroppo nn avevo altre soluzioni... panda cmq l'ha preso al volo giusto? cioè nn c'è piu... giusto?

Teoricamente no.

wjmat
23-05-2008, 09:10
panda martedì e mercoledì aveva eliminato/bloccato più di una volta c:\windows\psexesvc.exe
ora si ripresenta o è sparito del tutto?

Chill-Out
23-05-2008, 09:21
Firefox - Strumenti - Opzioni - Privacy:

Cookie: seleziona conservali fino alla chiusura di Firefox

Zenadiz
23-05-2008, 10:42
nn si ripresenta piu per fortuna... l'ho eliminato manualmente e non è piu tornato...

Ringo90
25-05-2008, 21:06
Salve a tutti, prima di riformattare speravo che qualcuno mi aiutasse a risolvere il problema che credo sia il Vundo (o qualche stupido malware). Ho un XP con SP3. Ho già installato (e uso regolarmente) CCleaner, mentre il mio antivirus è il NOD32. Seguendo la vostra guida, ho fatto già degli scan tra cui quello con Prevx CSI (che mi ha trovata infettata ma non ho visto alcuna opzione per poter salvare un log), a-squared Free (che mi ha trovato delle cose che ho messo in quarantina - allego il log), ComboFix (anche qui allego il log), e HijackThis (sempre log allegato). Ho inoltre disabilitato il ripristino configurazione sistema.

Visto che il numero massimo di allegati è 3 metto qui il log di HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.49.23, on 25/05/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
D:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
E:\PROGRA~1\FILECO~1\Stardock\SDMCP.exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
D:\Programmi\Nero\Nero8\InCD\InCDsrv.exe
D:\Programmi\Java\jre6\bin\jqs.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2S1.EXE
E:\WINDOWS\system32\atwtusb.exe
D:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
E:\WINDOWS\system32\PSIService.exe
E:\Programmi\File comuni\Real\Update_OB\realsched.exe
E:\WINDOWS\System32\svchost.exe
D:\Programmi\Java\jre6\bin\jusched.exe
E:\WINDOWS\system32\TBLMOUSE.EXE
E:\WINDOWS\system32\rundll32.exe
D:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
D:\Programmi\DAEMON Tools\daemon.exe
D:\Programmi\Rainlendar2\Rainlendar2.exe
D:\Programmi\NoteZilla\NoteZilla.exe
D:\Programmi\eMule\emule.exe
D:\Programmi\AllChars\AllChars.exe
D:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
D:\Programmi\uTorrent\uTorrent.exe
D:\PROGRA~1\Magentic\bin\MgApp.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\explorer.exe
D:\Programmi\Opera\Opera.exe
D:\Programmi\Windows Live\Messenger\usnsvc.exe
D:\Programmi\a-squared Free\a2service.exe
E:\WINDOWS\system32\usmt\migwiz.exe
D:\Programmi\PrevxCSI\prevxcsi.exe
D:\Programmi\PrevxCSI\prevxcsi.exe
D:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dbsarticles.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ADSL_A2] A2Installed
O4 - HKLM\..\Run: [IMJPMIG8.1] "E:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] E:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] E:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] E:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2S1.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [egui] "D:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [TkBellExe] "E:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LogonStudio] "D:\Programmi\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] D:\Programmi\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [NBKeyScan] "D:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Magentic] D:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programmi\DAEMON Tools\daemon.exe" -autorun
O4 - HKCU\..\Run: [Rainlendar2] D:\Programmi\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [NoteZilla] D:\Programmi\NoteZilla\NoteZilla.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programmi\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = E:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Picture Framer.lnk = D:\Programmi\DesktopX\Widgets\PictureFramer.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = D:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Silica Weather.lnk = D:\Programmi\DesktopX\Widgets\Silica Weather.exe
O4 - Startup: uTorrent (2).lnk = D:\Programmi\uTorrent\uTorrent.exe
O4 - Global Startup: AllChars.lnk = D:\Programmi\AllChars\AllChars.exe
O8 - Extra context menu item: &Scarica con FlashGet - D:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: &Scarica tutto con FlashGet - D:\Programmi\FlashGet\jc_all.htm
O8 - Extra context menu item: &Winamp Toolbar Search - E:\Documents and Settings\All Users\Dati applicazioni\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programmi\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programmi\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programmi\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programmi\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205077878936
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1205084044460
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15034/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B58B124-1878-4F42-9901-106C1761A8CB}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programmi\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - E:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: CSIScanner - Prevx - D:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - D:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Programmi\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programmi\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - D:\Programmi\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - E:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - E:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 10589 bytes

wjmat
26-05-2008, 00:20
x Ringo90
Per favore ricarica i log senza zipparli
Dei file trovati da prevx dovremmo sapere la posizione, o li cerchi manualmente e ce la comunichi o rifai la scansione e alla fine, alla schermata con l'esito, allarga bene le colonne in modo che si veda la posizione e fai lo foto allo schermo con il tasto stamp, apri paint incolli l'immagine, salvi in jpg e carichi su http://fileqube.com
Ciao

Ringo90
26-05-2008, 15:34
x Ringo90
Per favore ricarica i log senza zipparli
Dei file trovati da prevx dovremmo sapere la posizione, o li cerchi manualmente e ce la comunichi o rifai la scansione e alla fine, alla schermata con l'esito, allarga bene le colonne in modo che si veda la posizione e fai lo foto allo schermo con il tasto stamp, apri paint incolli l'immagine, salvi in jpg e carichi su http://fileqube.com
Ciao

Quello di Combofix l'avevo zippato perchè superava i limiti di grandezza di poco, mentre quello di a-squared era in un formato non riconosciuto dal forum. Ora li uppo su mediafire.
Combofix (http://www.mediafire.com/?zjxjmnxj24x)
a-squared (http://www.mediafire.com/?keyzodmtrme)
Prevx (http://img518.imageshack.us/img518/3589/prevxwq5.jpg)

Chill-Out
26-05-2008, 16:19
Quello di Combofix l'avevo zippato perchè superava i limiti di grandezza di poco, mentre quello di a-squared era in un formato non riconosciuto dal forum. Ora li uppo su mediafire.
Combofix (http://www.mediafire.com/?zjxjmnxj24x)
a-squared (http://www.mediafire.com/?keyzodmtrme)
Prevx (http://img518.imageshack.us/img518/3589/prevxwq5.jpg)

Partendo dal presupposto che sul Pc hai un gran macello, il log di A-Squared non è in formato .txt, a fine scansione premere "sposta in Quarantena" e poi "Salva Rapporto" quindi pubblicare questo rapporto (= log)

Apri il Blocco Note copia e incolla queste righe:
File::
E:\WINDOWS\BMc3c1c110.xml
E:\WINDOWS\system32\mdm.exe
E:\WINDOWS\system32\awtrrQHX.dll
E:\WINDOWS\system32\flprvvns.dll
E:\WINDOWS\system32\uciixfjp.dll
E:\WINDOWS\system32\byXNgeDV.dll
E:\WINDOWS\system32\khfDwtRl.dll
E:\WINDOWS\system32\urqOfdaw.dll
E:\WINDOWS\system32\nnnliICt.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{540901BE-EBEE-4874-AB67-81FC380837EA}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{99972D1B-964E-49EC-92F4-1EB39F4810A5}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Poi segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Ringo90
27-05-2008, 15:40
Ho cercato di fare quello che hai detto... ti ringrazio dell'aiuto però con questo virus sono messa davvero male, la connessione a tratti non va più, quindi non posso fare tutte le scansioni... mi sa che si deve risolvere al più presto altrimenti mi arrendo e riformatto...

ComboFix.txt (http://wikisend.com/download/572886/ComboFix.txt) <-- il log che mi è uscito dopo aver fatto quello che hai detto
a2scan_080525-190249.txt (http://wikisend.com/download/572708/a2scan_080525-190249.txt) <-- a-squared scan del giorno 25
a2scan_080526-172200.txt (http://wikisend.com/download/516182/a2scan_080526-172200.txt) <-- a-squared scan del giorno 26
SysInspector.xml (http://wikisend.com/download/572952/SysInspector.xml)
gmer.log (http://wikisend.com/download/901954/gmer.log)

Gli altri già te li ho dati, dimmi se devo rifare con Hijackthis o altri...

Chill-Out
27-05-2008, 15:55
Ho cercato di fare quello che hai detto... ti ringrazio dell'aiuto però con questo virus sono messa davvero male, la connessione a tratti non va più, quindi non posso fare tutte le scansioni... mi sa che si deve risolvere al più presto altrimenti mi arrendo e riformatto...

ComboFix.txt (http://wikisend.com/download/572886/ComboFix.txt) <-- il log che mi è uscito dopo aver fatto quello che hai detto
a2scan_080525-190249.txt (http://wikisend.com/download/572708/a2scan_080525-190249.txt) <-- a-squared scan del giorno 25
a2scan_080526-172200.txt (http://wikisend.com/download/516182/a2scan_080526-172200.txt) <-- a-squared scan del giorno 26
SysInspector.xml (http://wikisend.com/download/572952/SysInspector.xml)
gmer.log (http://wikisend.com/download/901954/gmer.log)

Gli altri già te li ho dati, dimmi se devo rifare con Hijackthis o altri...

Te l'avevo anticipato che hai un gran macello, per poter proseguire serve almeno la scansione al Punto 4 della Guida col Kaspersky Removal Tool

Al temine oltre al log del Kaspersky nuovo log di HijackThis e Prevx CSI

Se decidi di formattare che non sarebbe una cattiva idea, comunicamelo.

Ringo90
27-05-2008, 16:05
Scusa non l'ho fatto perchè era indicato come metodo alternativo... ora lo faccio poi aggiorno il post.

EDIT: mentre sta facendo lo scan, si spegne improvvisamente (e si sente un leggero rumore provenire dal computer) cosa che mi era già successa nei giorni scorsi. A questo punto mi sa che non ho scelta... che ne pensi?

Chill-Out
27-05-2008, 16:52
Scusa non l'ho fatto perchè era indicato come metodo alternativo... ora lo faccio poi aggiorno il post.

EDIT: mentre sta facendo lo scan, si spegne improvvisamente (e si sente un leggero rumore provenire dal computer) cosa che mi era già successa nei giorni scorsi. A questo punto mi sa che non ho scelta... che ne pensi?

Che genere di rumore?

wjmat
27-05-2008, 16:56
chill un fix a qualche decina di 04 per alleggerirgli il sistema, dato che ne ha qualche centinaia... può servire?

Chill-Out
27-05-2008, 16:59
chill un fix a qualche decina di 04 per alleggerirgli il sistema, dato che ne ha qualche centinaia... può servire?

gli ci vorranno 15 minuti in avvio, ma dopo che il sistema ha fatto il caricamento, semmai dopo sicuramente.

Ringo90
28-05-2008, 17:42
gli ci vorranno 15 minuti in avvio, ma dopo che il sistema ha fatto il caricamento, semmai dopo sicuramente.

Ti ringrazio ma ormai formatto: non ho scelta, il pc dura a stento qualche minuto prima di spegnersi. Forse è la ventola del processore. E' un rumore tipo quello... come dire... delle linee telefoniche?
Forse dirò una sciocchezza, ma esistono di malware o roba simile che possono "appesantire" il processore fino a un livello limite che lo costringe a spegnere tutto?

Chill-Out
28-05-2008, 18:01
Ti ringrazio ma ormai formatto: non ho scelta, il pc dura a stento qualche minuto prima di spegnersi. Forse è la ventola del processore. E' un rumore tipo quello... come dire... delle linee telefoniche?
Forse dirò una sciocchezza, ma esistono di malware o roba simile che possono "appesantire" il processore fino a un livello limite che lo costringe a spegnere tutto?

Un conto è formattare e ripartire con un sistema pulito e lindo, un'altro conto sono i problemi descritti, apri il case e pulisci il PC accumuli di polvere e affini possono dare problemi di surriscaldamento. Puoi utilizzare quelle bombolette di aria compressa che si trovano facilmente in commercio, non dirigere il getto ad una distanza inferiore ai 20cm e quando soffi sulle ventoline premurati di bloccarle con l'utilizzo di una matita, non devono girare a vuoto.

Bugs Bunny
29-05-2008, 14:04
guida aggiornata.

Ringo90
29-05-2008, 17:08
Un conto è formattare e ripartire con un sistema pulito e lindo, un'altro conto sono i problemi descritti, apri il case e pulisci il PC accumuli di polvere e affini possono dare problemi di surriscaldamento. Puoi utilizzare quelle bombolette di aria compressa che si trovano facilmente in commercio, non dirigere il getto ad una distanza inferiore ai 20cm e quando soffi sulle ventoline premurati di bloccarle con l'utilizzo di una matita, non devono girare a vuoto.

Grazie dei consigli, sembra sia proprio surriscaldamento, vi farò sapere!

scimo
31-05-2008, 16:30
ciao ragazzi ho fatto tutti i passi della guida....questi sono i post
http://www.mediafire.com/?0m29d1mmmuy
http://www.mediafire.com/?smdz9xtmjvm
http://www.mediafire.com/?xmndv9zsdyj
http://www.mediafire.com/?90zsnjo0iwg
http://www.mediafire.com/?9qxfh119lvv
http://www.mediafire.com/?sg0njqetllw
http://www.mediafire.com/?gwi6q939m3y

ho aggiunto anche un log di gmer perchè mi visualizza questo
GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-05-31 00:02:31
Windows 5.1.2600 Service Pack 3


---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

secondo voi come sto?????
ho ancora un problema, non mi si apre firefox (quando clicco sull'icona mi dice che il processo è avviato ma non risponde e quindi consiglia o di chiudere il processo o di riavviare il computer, ovviamente ho fatto entrambe le cose ma niente)

wjmat
01-06-2008, 02:14
secondo voi come sto?????
ho ancora un problema, non mi si apre firefox (quando clicco sull'icona mi dice che il processo è avviato ma non risponde e quindi consiglia o di chiudere il processo o di riavviare il computer, ovviamente ho fatto entrambe le cose ma niente)
Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log

O2 - BHO: (no name) - {26E5C0EA-804D-4CF7-AD9A-601FC0593BC9} - (no file)
O2 - BHO: (no name) - {3FF95E94-672D-4A6B-A9F4-C571810A506B} - C:\WINDOWS\system32\hgGaaXro.dll (file missing)
O2 - BHO: (no name) - {F298BD63-DC96-400D-A5D0-951B2F141A57} - C:\WINDOWS\system32\urqRHWqq.dll (file missing)
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime


Disinstalla correttamente firefox leggendo qui (http://www.mozillaitalia.it/firefox/faq.html#uninstall) e qui (http://www.mozillaitalia.it/firefox/edit.html#profile) poi reinstallalo.

La toolbar di winamp io lo disinstallarei in favore di foxy tunes
https://addons.mozilla.org/it/firefox/addon/219

scimo
01-06-2008, 23:49
ho fatto come dicevi posto il log di hijackthis
per quanto riguarda firefox avevo provato a disintallarlo normalmente ma non dava risultati, ma ora avendo tolto anche il profilo è ripartito, come mai??
la toolbar la tolgo proprio tanto non mi serve

grazie wjmat sei il mio Salvatore :) :) :) :)

wjmat
01-06-2008, 23:53
leggi il trattamento che ho in firma che hai da disinstallare i tool utilizzati e mettere il pc in sicurezza.
ciao

scimo
01-06-2008, 23:54
@wjmat
una curiosità nel post 726 in cui ho allegato il log di gmer (è piccolissimo non ti preoccupare:D :D ) che cos'è quella stringa che ha trovato????

xcdegasp
01-06-2008, 23:55
ho fatto come dicevi posto il log di hijackthis
per quanto riguarda firefox avevo provato a disintallarlo normalmente ma non dava risultati, ma ora avendo tolto anche il profilo è ripartito, come mai??
la toolbar la tolgo proprio tanto non mi serve

grazie wjmat sei il mio Salvatore :) :) :) :)
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [DMXLauncher] "C:\Programmi\Roxio\CinePlayer\DMXLauncher.exe"
O4 - HKCU\..\Run: [Red Swoosh] C:\Programmi\RSSoft\RedSwoosh.exe /S
O20 - Winlogon Notify: usbmon - C:\WINDOWS\

wjmat
02-06-2008, 13:17
@wjmat
una curiosità nel post 726 in cui ho allegato il log di gmer (è piccolissimo non ti preoccupare:D :D ) che cos'è quella stringa che ha trovato????
se non è in rosso o riguarda MBR rootkit non è nulla di preoccupante

scimo
02-06-2008, 15:04
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.

ok ho fatto come mi hai detto thanks :)

Almor81
03-06-2008, 21:54
Salve a tutti, anche io come altri qui del resto sono stato infettato da questo trojan. Seguendo la vostra guida ho rimosso il tutto, soltanto ora ho un problema ossia:
quando accendo il pc ed entro con un qualsiasi account mi si apre una finestra di ERRORE con scritto "Errore durante il caricamento di C:\Windows\system32\ouptucmu.dll
Impossibile trovare il modulo specificato."
Mi sapete aiutare a risolvere questo problema che mi si ronnova puntualmente ad ogni riavvio??

Vi invio cmq un log che ho fatto con hijackthis: hijackthis.log (http://wikisend.com/download/570958/hijackthis.log)

Vi ringrazio in anticipo per ogni risposta di aiuto.

xcdegasp
03-06-2008, 22:20
Salve a tutti, anche io come altri qui del resto sono stato infettato da questo trojan. Seguendo la vostra guida ho rimosso il tutto, soltanto ora ho un problema ossia:
quando accendo il pc ed entro con un qualsiasi account mi si apre una finestra di ERRORE con scritto "Errore durante il caricamento di C:\Windows\system32\ouptucmu.dll
Impossibile trovare il modulo specificato."
Mi sapete aiutare a risolvere questo problema che mi si ronnova puntualmente ad ogni riavvio??

Vi invio cmq un log che ho fatto con hijackthis: hijackthis.log (http://wikisend.com/download/570958/hijackthis.log)

Vi ringrazio in anticipo per ogni risposta di aiuto.

riesegui HiJackThis optando per la funzione "Scan Only", a fine scansione il tasto in basso a sinistra si chiamerà"Fix Checked", selezionare le righe da fixare quindi premere questo pulsante.

fixa:
O4 - HKLM\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe
O4 - HKLM\..\Run: [googletalk] C:\Programmi\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [0474527a] rundll32.exe "C:\WINDOWS\system32\ouptucmu.dll",b
O4 - HKCU\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')


in questo modo non dovresti più avere quell'errore allo startup :)

Almor81
04-06-2008, 09:43
Veramente,veramente grazie! Sei stato grandioso. Ora il computer funziona che è una meraviglia.
Ciao ciao

wjmat
04-06-2008, 09:51
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

lancetta
08-06-2008, 20:53
alcuni link non vanno? come potrei fare? sul link renv mi dice 404 not found. potete fornire qualche link alternativo, dato che non riesco a usare i motori di ricerca? Grazie
Renv non serve nel tuo caso continua col resto della guida

Chill-Out
08-06-2008, 23:27
Apri il Blocco Note copia e incolla queste righe:

File::
C:\WINDOWS\system32\tuvSkJdd.dll
C:\WINDOWS\system32\qgtvvogo.dll
C:\WINDOWS\system32\agewnpcs.dll
C:\WINDOWS\system32\kmwgkdxf.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32F47512-7C1E-417F-ABD5-AAB109790025}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{eceee1e4-5bab-4db4-b340-ab7e0eca9aa6}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Poi prosegui con il punto 6 ed il punto 7, ricorda di allegare i log

paraidy
09-06-2008, 11:56
So che non è di molta utilità questo post, però volevo ringraziarvi, ho seguito passo per passo la guida con le varie varianti e son riuscito alla fine a mandare in panchina questo Virus maledetto (spero che non torni titolare :cry: ) grazie raga siete dei mostri!

flangertoy
09-06-2008, 17:59
Ciao ,Wjmat
ho effettuato tutti gli scan con tutti i tools antivirus vari elencati
ad occhio la cosa dovrebbe essere risolta , prima di postarti i link per il download dei log , correi chiederti dato che ho disinstallato avira se superantispyware può essere un sostituto valido secondo te oppure no grazie

ciao :D




http://wikisend.com/download/585054/ComboFix.txt


http://wikisend.com/download/531202/FixVundo.log


http://wikisend.com/download/486438/kasperskylogscan.txt



http://wikisend.com/download/600350/SUPERAntiSpyware Scan Log - 06-09-2008 - 17-34-52.log



http://wikisend.com/download/592164/VBG.TXT


http://wikisend.com/download/487714/VundoFix Export.txt


http://wikisend.com/download/524044/hijackthis.log

wjmat
09-06-2008, 19:14
avira lo tieni come antivirus
superantispyware o a-squared come antispyware

Ora guardo i log intanto dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

wjmat
09-06-2008, 20:19
x flangertoy
kasperski non so come tu l'abbia salvato
vundofix è un log vuoto
superantispyware non è scansione completa, aggiornalo,configuralo cosi (http://www.fileqube.com/shared/IDerrVofN37562) e fai "perform complete scanning"

wjmat
09-06-2008, 23:15
ho tolto i file incompleti e ho messo quello completo
nicos18 non era per te il post ;)
sia HJT sia combo rilevano altre infezioni

Apri il Blocco Note e incolla tutto il codice qui sotto

File::
C:\WINDOWS\system32\twcpibbv.dll
C:\WINDOWS\system32\riqaudjk.dll

Registry:
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d901e140-f32d-4960-b9e8-2b5c62ebbd34}]



Salva il file sul Desktop come CFScript.txt -> Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione -> al termine il PC si dovrebbe ravviare (eventualmente fallo tu manualmente) -> al riavvio allega il log che trovi in C:\ComboFix.txt

Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log

O4 - HKLM\..\Run: [RemoteControl8] C:\Programmi\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programmi\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programmi\Cyberlink\Shared Files\brs.exe

flangertoy
10-06-2008, 09:41
x flangertoy
kasperski non so come tu l'abbia salvato
vundofix è un log vuoto
superantispyware non è scansione completa, aggiornalo,configuralo cosi (http://www.fileqube.com/shared/IDerrVofN37562) e fai "perform complete scanning"



per kaspersky e vundofix, non so che dire li ho salvati come era possibile
utilizzandoli per la prima volta devo aver chiaramente sbagliato qualcosa
per superantispyware, l ho interrotto io dopo 2 e mezza di scansione
vedendo che passato da risorse del computer iniziava la scansiione del disco c ricominciando da capo praticamente,
non avendo tutto quel tempo a disposizione purtroppo.
Verso il fine settimana se troverò tempo rifarò tutto con i tre tools,
ti ringrazio per l'aiuto mi hai comunque risolto dei gran problemi
grazie di nuovo ciao .

wjmat
10-06-2008, 09:46
per kaspersky e vundofix, non so che dire li ho salvati come era possibile
utilizzandoli per la prima volta devo aver chiaramente sbagliato qualcosa
per superantispyware, l ho interrotto io dopo 2 e mezza di scansione
vedendo che passato da risorse del computer iniziava la scansiione del disco c ricominciando da capo praticamente,
non avendo tutto quel tempo a disposizione purtroppo.
Verso il fine settimana se troverò tempo rifarò tutto con i tre tools,
ti ringrazio per l'aiuto mi hai comunque risolto dei gran problemi
grazie di nuovo ciao .

con kaspersky avevi eliminato tutto?

flangertoy
10-06-2008, 10:07
con kaspersky avevi eliminato tutto?

con kaspersky sinceramente non ricordo con esattezza
ma certamente già combofix
ha fatto gran parte del lavoro ho visto le voci eliminate
una delle quali si presentava sempre nel boot start del sistema
che controllo con ccleaner e regseeker
per questo al momento mi sento abbastanza coperto
ovvio che è un lavoro lasciato a metà, qundi lo completerò appena posso
quello che farò stamattina sarà sicuramente un aggiornamento di windows...

Chill-Out
10-06-2008, 22:46
aggiungo i link agli altri 2 log:

http://wikisend.com/download/483200/hijackthis2.txt

http://wikisend.com/download/483254/log combofix 3 10-06.txt

Questo reply era per te, lo script di Combo inserito successivamsnte è sbagliato

http://www.hwupgrade.it/forum/showpost.php?p=22813382&postcount=741

Edit: ho visto nei post a ritroso che l'avevi eseguito


C'è ancora qualcosa che non và, procedi cosi' inserendo questo Scirp in Combofix

File::
C:\WINDOWS\BMdf5026ea.xml
C:\WINDOWS\system32\riqaudjk.dll

al termine allega il log

Chill-Out
18-06-2008, 09:11
ecco il link del nuovo log di combofix

http://wikisend.com/download/939294/logcombofix4 1606.txt

E' passato qualche giorno, se non riscontri ulteriori problemi e anomalie legate al Vundo segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

yamagata81
18-06-2008, 15:32
ho un prolema terribile con un file ho infettato col vundo il pc del da lavoro del mio capo e anche dopo aver seguito la vostra guida non ne vuole sapere di sloggiare.
la cosa strana che delle elle 4 scansioni che VundoFix FixVundo ComboFix trovano nulla ma viene rilevato solo da SuperAntiSpyware che comunque rha rilevato 1 solo file infetto e l'ha riparato ma non è servito a nulla.
Ora addirittura il pc non si naviga neanche piu (le mail vanno regolarmente) questo è il log di HiJackThis.
Viprego ho bisogno di aiuto perchè sono nella m***a fino al collo.

yama