PDA

View Full Version : Vundo e Rolimno: infetta! Cosa fare?!

laclaire
09-02-2014, 18:58
Salve a tutti,
vi scrivo perché ho il pc infetto da due malware (se di malware si trattano, non sono molto pratica), Rolimno e Vundo; in particolare di quest'ultimo mi sono accorta eseguendo una scansione con SpyBot in modalità provvisoria. Me l'ha segnalato, ma non sono sicura che lo abbia tolto, in verità; quanto a Rolimno, ho provato a disinstallarlo in vari modi: manualmente, con SpyBot, con Malwarebytes (che ha individuato file infetti e li ha rimossi, ma il programma mi risulta ancora installato dal Pannello di controllo), ma non sembra aver dato risultati.
Non essendo molto pratica vorrei evitare di manipolare il pc in profondità, finirei per cancellare cose importanti.
Intanto vi riporto il log di Malwarebytes PRIMA dell'eliminazione dei file infetti:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Versione database: v2014.02.09.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
Roberta :: ROBERTA-HP [amministratore]

09/02/2014 19:38:22
MBAM-log-2014-02-09 (19-44-27).txt

Tipo di scansione: Scansione veloce
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 242599
Tempo impiegato: 5 minuti, 49 secondi

Processi rilevati in memoria: 2
C:\Program Files (x86)\Rolimno\updateRolimno.exe (PUP.Optional.Rolimno.A) -> 2200 -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin\utilRolimno.exe (PUP.Optional.Rolimno.A) -> 2324 -> Nessuna azione intrapresa.

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 17
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Nessuna azione intrapresa.
HKCR\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} (PUP.Optional.Wajam.A) -> Nessuna azione intrapresa.
HKCR\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23} (PUP.Optional.BrowseFox.A) -> Nessuna azione intrapresa.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Optional.Blabbers) -> Nessuna azione intrapresa.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9E875891-7854-4259-97BA-F4BECAF516D0} (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199} (PUP.Optional.Iminent.A) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08} (PUP.Optional.Iminent.A) -> Nessuna azione intrapresa.
HKLM\SYSTEM\CurrentControlSet\Services\Update Rolimno (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
HKLM\SYSTEM\CurrentControlSet\Services\Util Rolimno (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr.A) -> Nessuna azione intrapresa.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Nessuna azione intrapresa.
HKCU\Software\Rolimno (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings (PUP.Optional.BProtector.A) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\qone8Software (PUP.Optional.Qone8.A) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\TUTO4PC (PUP.Optional.Tuto4PC) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\TUTO4PC (Trojan.EORezo) -> Nessuna azione intrapresa.
HKLM\Software\Iminent (PUP.Optional.Iminent.A) -> Nessuna azione intrapresa.

Valori di registro rilevati: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|bProtector Start Page (PUP.BProtector) -> Dati: http://www.delta-search.com/?babsrc=HP_ss&mntrId=BA18889FFA47C008&affID=119556&tsp=4930 -> Nessuna azione intrapresa.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|bProtectorDefaultScope (PUP.BProtector) -> Dati: {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} -> Nessuna azione intrapresa.

Voci rilevate nei dati di registro: 7
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.Snapdo) -> Cattivo: (http://feed.snapdo.com/?publisher=VertiTechnologyYB&dpid=VertiTechnologyYB&co=IT&userid=b1894820-52bf-fee7-0540-b02f8905e1a6&searchtype=hp&installDate=08/11/2013) Buono: (http://www.google.com) -> Nessuna azione intrapresa.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (PUP.Optional.Snapdo) -> Cattivo: (http://feed.snapdo.com/?publisher=VertiTechnologyYB&dpid=VertiTechnologyYB&co=IT&userid=b1894820-52bf-fee7-0540-b02f8905e1a6&searchtype=ds&q={searchTerms}&installDate=08/11/2013) Buono: (http://www.google.com) -> Nessuna azione intrapresa.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (PUP.Optional.Snapdo) -> Cattivo: (http://feed.snapdo.com/?publisher=VertiTechnologyYB&dpid=VertiTechnologyYB&co=IT&userid=b1894820-52bf-fee7-0540-b02f8905e1a6&searchtype=ds&q={searchTerms}&installDate=08/11/2013) Buono: (http://www.google.com) -> Nessuna azione intrapresa.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (PUP.Optional.Snapdo) -> Cattivo: (http://feed.snapdo.com/?publisher=VertiTechnologyYB&dpid=VertiTechnologyYB&co=IT&userid=b1894820-52bf-fee7-0540-b02f8905e1a6&searchtype=ds&q={searchTerms}&installDate=08/11/2013) Buono: (http://www.google.com) -> Nessuna azione intrapresa.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (PUP.Optional.Snapdo) -> Cattivo: (http://feed.snapdo.com/?publisher=VertiTechnologyYB&dpid=VertiTechnologyYB&co=IT&userid=b1894820-52bf-fee7-0540-b02f8905e1a6&searchtype=ds&q={searchTerms}&installDate=08/11/2013) Buono: (http://www.google.com) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Cattivo: (http://start.qone8.com/?type=hp&ts=1382465225&from=vtt&uid=TOSHIBAXMK3261GSYN_Y0FMS08MSXXY0FMS08MS) Buono: (http://www.google.com) -> Nessuna azione intrapresa.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Cattivo: (http://start.qone8.com/?type=hp&ts=1382465225&from=vtt&uid=TOSHIBAXMK3261GSYN_Y0FMS08MSXXY0FMS08MS) Buono: (http://www.google.com) -> Nessuna azione intrapresa.

Cartelle rilevate: 9
C:\ProgramData\eSafe\log (PUP.Optional.eSafe.A) -> Nessuna azione intrapresa.
C:\Users\Roberta\AppData\Roaming\Delta (PUP.Optional.Delta.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin\plugins (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Nessuna azione intrapresa.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Delta\delta\1.8.21.5 (PUP.Optional.Delta.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Delta\delta\1.8.21.5\bh (PUP.Optional.Delta.A) -> Nessuna azione intrapresa.

File rilevati: 31
C:\Users\Roberta\Downloads\PDFCreator_RocketFuelInstaller.exe (PUP.Optional.Verti) -> Nessuna azione intrapresa.
C:\Users\Roberta\Downloads\SoftonicDownloader_per_nitro-pdf-reader.exe (PUP.Optional.Softonic.A) -> Nessuna azione intrapresa.
C:\Users\Roberta\Downloads\SoftonicDownloader_per_simpo-pdf-creator.exe (PUP.Optional.Softonic.A) -> Nessuna azione intrapresa.
C:\ProgramData\eSafe\log\eGdpSvc.LOG (PUP.Optional.eSafe.A) -> Nessuna azione intrapresa.
C:\Users\Roberta\AppData\Roaming\Bubble Dock.boostrap.log (PUP.Optional.Bubbledock.A) -> Nessuna azione intrapresa.
C:\Users\Roberta\AppData\Roaming\Delta\sqlite3.dll (PUP.Optional.Delta.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\updateRolimno.exe (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Users\Roberta\AppData\Local\Google\Chrome\User Data\default\bProtectorPreferences (PUP.Optional.BProtector.A) -> Nessuna azione intrapresa.
C:\Users\Roberta\AppData\Local\Google\Chrome\User Data\default\Local Storage\chrome-extension_eooncjejnppfjjklapaamhcdmjbilmde_0.localstorage (PUP.Optional.BrowserDefender.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\Rolimno.ico (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\RolimnoUninstall.exe (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\updateRolimno.InstallState (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin\Rolimno.BrowserFilter.Helper.dll (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin\Rolimno.BrowserFilter.Helper.dll.old.af36ccd1-e584-415d-872b-7078ad272256 (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin\RolimnoBrowserFilter.exe (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin\sqlite3.dll (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin\utilRolimno.exe (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin\utilRolimno.InstallState (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin\plugins\Rolimno.BrowserFilter.dll (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin\plugins\Rolimno.FFUpdate.dll (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin\plugins\Rolimno.GCUpdate.dll (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Rolimno\bin\plugins\Rolimno.IEUpdate.dll (PUP.Optional.Rolimno.A) -> Nessuna azione intrapresa.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Nessuna azione intrapresa.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe (PUP.Optional.DealPly.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Delta\delta\1.8.21.5\deltaApp.dll (PUP.Optional.Delta.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Delta\delta\1.8.21.5\deltaEng.dll (PUP.Optional.Delta.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Delta\delta\1.8.21.5\deltasrv.exe (PUP.Optional.Delta.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Delta\delta\1.8.21.5\deltaTlbr.dll (PUP.Optional.Delta.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Delta\delta\1.8.21.5\GUninstaller.exe (PUP.Optional.Delta.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Delta\delta\1.8.21.5\uninstall.exe (PUP.Optional.Delta.A) -> Nessuna azione intrapresa.
C:\Program Files (x86)\Delta\delta\1.8.21.5\bh\delta.dll (PUP.Optional.Delta.A) -> Nessuna azione intrapresa.

(fine)

__________________________________

Nonostante questo, 'sto Rolimno continua a risultarmi fra i programmi installati... come me ne libero?! E Vundo, come faccio a sapere se ce l'ho ancora o no? Credo che i pop-up fastidiosi e continui che mi si aprono e rallentano tutto siano dovuti a loro... :mad:
Chill-Out
10-02-2014, 14:44
Ripeti scansione completa con MBAM, elimina tutti gli elementi infetti ed allega il log su uno dei Server remoti qui indicati http://www.hwupgrade.it/forum/showthread.php?t=1751598
diana33
11-02-2014, 15:51
Rolimno è un componente aggiuntivo del browser che offre agli utenti coupon e sconti su varie pagine web. Presumibilmente, questa applicazione è stata sviluppata per fornire agli utenti un’esperienza online migliorata, mostrando loro le offerte più calde su diversi siti di shopping online. Ma per fare questo, registrerà la vostra attività di navigazione. L’estensione per il browser ti reindirizzerà anche siti Web di terze parti sconosciuto. È possibile per voi per essere reindirizzato a compromessi o siti Web dannosi. Una volta che questo è successo, tutti vostri dettagli personali e finanziari saranno a rischio di essere rubato. Sistema, troppo, può essere danneggiato. A causa di questi rischi, che è meglio togliere il Rolimno dal tuo computer subito.
Rolimno
può essere scaricato dalla sua pagina web ufficiale. Tuttavia, l’estensione per il browser si trovano spesso in bundle con altre applicazioni gratuite. Solitamente questi programmi saranno trovati su fonti inaffidabili. Avranno qualche altro programma ad essi connessi, e a volte che il programma può essere Rolimno. Se il componente aggiuntivo è stato scaricato sul PC, non potete anche notare esso. Rolimno verrà allegato al tuo browser, non appena si installa. Dopo di che, farà alcune modifiche alle impostazioni del tuo browser. Questo sarà fatto senza chiedere il consenso dell’utente. web page ufficiale di Rolimno ora sarà la tua home page, e il componente aggiuntivo stesso sarà il motore di ricerca predefinito.

rimozione da Internet Explorer:
1. Premere Alt X e vai a Gestisci componenti aggiuntivi.
2. Andare alle barre degli strumenti ed estensioni e rimuovere la Rolimno.
3. Fare clic su provider di ricerca a sinistra.
4. Rimuovere il motore di ricerca indesiderati e selezionare un altro.
5. Salvare le modifiche e chiudere la finestra. Premere nuovamente Alt X.
6. Vai su Opzioni Internet, nella scheda generale, sostituire l’attuale indirizzo della home page con quello desiderato. Fare clic su OK.
rimozione da Mozilla Firefox:
1. Premere Ctrl Maiusc A per aprire la scheda Add-ons Manager
2. Si dovrebbe essere il menu estensioni, fare clic su Rimuovi accanto al Rolimno. Chiudere la
Tab. 3. Premere Alt T e vai su opzioni.
4. Nella scheda generale, sostituire l’attuale indirizzo della home page con quello desiderato.
5. Fare clic su OK e chiudere il menu.
6. Fare clic sull’icona nella casella di ricerca nella parte superiore destra della finestra di Firefox.
7. Fare clic su motori di ricerca Gestisci, rimuovere il motore di ricerca indesiderati e selezionare un’altra come motore di ricerca predefinito.
8. Fare clic su OK.
rimozione da Google Chrome:
1. Premere Alt F e scorrere sopra gli strumenti.
2. Andare alle estensioni e rimuovere Rolimno tramite l’icona Cestino latta.
3. Fare clic su impostazioni sulla sinistra, sotto all’avvio, selezionare Apri una pagina o un insieme di pagine.
4. Fare clic su Set pagine, rimuovere l’attuale indirizzo della home page e inserire quello desiderato. Fare clic su OK.
5. Nell’ambito della ricerca, fare clic su Gestisci motori di ricerca.
6. Impostare qualsiasi motore di ricerca come predefinito uno e rimuovere quello indesiderato.
7. Fare clic su fatto.
8. Riavviare il browser.
Per vundo ecco i simtomi : qualche risultato copiato da wikipedia :

Poiché ci sono molte diverse varietà di trojan Vundo, i sintomi di Vundo variano ampiamente, che vanno dal relativamente benigno della grave. Quasi tutte le varietà di Vundo presentano una sorta di pop-up pubblicità, così come loro stessi il tifo per renderli difficili da eliminare.
Mostre computer infetti alcuni o tutti i seguenti sintomi:
Vundo farà sì che il browser web infetto a pop up pubblicitari, molti dei quali sostengono la necessità di software per risolvere sistema di "deterioramento".
Lo sfondo del desktop può essere cambiato l'immagine di una finestra di installazione dicendo che c'è adware sul computer.
Lo screensaver può essere cambiato il Blue Screen of Death .
Nel Pannello di controllo Proprietà dello schermo, lo sfondo e screensaver schede mancano perché i loro valori "nascondere" nel Registro sono stati cambiati a 1.
Sia lo sfondo e screensaver si trovano nella cartella System32, ma lo screensaver non può essere eliminato.
Aggiornamenti automatici di Windows (e di altri servizi web-based) può anche essere disattivato e non è possibile tornare indietro su.
DLL infetti o file DAT (con nomi randomizzati come "__c00369AB.dat" e "slmnvnk.dll") saranno presenti nella cartella Windows/System32 e riferimenti alle DLL si trovano nel manuale di start up (visibile in MSConfig) , Registro di sistema e come browser add-ons di Internet Explorer .
Vundo può tentare di impedire all'utente di rimozione o impedire il suo funzionamento, come ad esempio disabilitare il task manager, editor di registro, e msconfig, impedendo così l'avvio del sistema in modalità provvisoria.
Alcuni firewall o software antivirus possono anche essere disattivati ​​dal Vundo lasciando il sistema ancora più vulnerabile. In particolare, si disattiva Norton AntiVirus e, a sua volta utilizza per diffondere l'infezione. Norton mostrerà istruzioni per attivare il filtro phishing, da sola. Premendo OK, cercherà di connettersi al reale av.org e provare a scaricare più di malware.
Programmi anti-malware popolari come Spybot - Search & Destroy o Malwarebytes 'Anti-Malware possono essere cancellati o immediatamente chiusi al momento del caricamento. Rinominare il programma eseguibile può aggirare questo. 'Anti-Malware Malwarebytes eseguibile 's può essere cancellato non appena viene installato (a seconda della infezione). Installazione del programma su un altro computer e copiare il file eseguibile nel computer infetto Anti-Malware Malwarebytes ' Elenco di solito funziona troppo.
Accesso al Web può anche essere influenzato negativamente. Vundo può causare molti siti web per essere inaccessibile.
Link di ricerca di Google possono essere indirizzate a Rogue software di sicurezza i siti, che possono essere evitati indirizzi di copia e incolla.
Vundo può causare pagine web per non essere riuscito a caricare dopo le sessioni di navigazione e presentano una pagina vuota nel browser invece della pagina web. Quando questo accade tutti i programmi possono anche fallire per iniziare e può diventare impossibile da utilizzare finestre di arresto.
Il disco rigido può iniziare a essere costantemente accessibile dal processo winlogon.exe, così si blocca periodiche possono essere sperimentato.
Avvertenze circa SuperMWindow non spegnere. [2]
Explorer.exe può costantemente in crash causando un ciclo infinito di crash riavviando.
Crea un driver critico virus in C: \ Windows \ system32 \ drivers (ati0dgxx.sys).
Il virus può "mangiare" lontano in uno spazio disponibile su disco rigido; spazio su disco rigido può variare così tanto da +3 a -3 Gb di spazio, evidente tentativo di Vundo a "nascondere" quando viene antagonizzata.
Vundo può impedire di avanzamento del download.
Entrare modalità provvisoria dopo aver tentato di usare HijackThis risultati in un vero e proprio schermo blu della morte, che non può essere recuperato dal colpo sia il ripristino delle modalità sicure chiavi di registro eliminate o una reinstallazione di Windows utilizzata.
A volte dà un errore "Esegui una DLL come un APP" quando alcune delle DLL con nome casuale sono stati eliminati.
Sarà riscrivere DLL con nome casuale, mentre uno di essi risiedono sulla macchina.
Modifiche \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run e le voci RunOnce per avviare stessa all'avvio di Windows.
Installa adware che il 25% [ citazione necessaria ] del tempo è pornografico.
Installa il software di sicurezza canaglia come Desktop Defender 2010 e Security Center con un file vocale. Wav che ti dice che il sistema è infetto.
Farà sì che il driver di rete di essere corrotta che, anche dopo essere andato in Editor del Registro di sistema (regedit.exe) per eliminare Winsock 1 e 2 e cercando di reinstallare il driver è praticamente impossibile.
Elimina la connessione di rete in Risorse di rete.