RedSwoosh.exe

[Grizzly87]

Scusate il disturbo,

Ho installato sul Pc di casa con Windows XP FileTorrent un estensione di Mozzilla Firefox. All'interno dei processi attivi mi è comparto questo nome RedSwoosh.exe, ora ho cercato un pò su internet e ne ho dedotto che non è sicuro averlo e ho capito che questo RedSwoosh.exe rimane anche se si rimuove l'Ad-on di Firefox ma si può rimuoverlo dal pannello di controllo. La mia domanda è: disistallando sia l'ad-on che dal pannello di controllo questo Redswoosh andrei a rimuoverlo completamente??

p.s. Scusate magari non è nella sezione giusta ma non sapevo dove inserire il topic, mi scuso in anticipo con i moderatori.

Grazie Mille

[xcdegasp]

gli adon di firefox non sono file exe bensì xpi, un adon di firefoxnon lo vedi tra i processi attivi del pc inoltre un adon di firefox non lo puoi rimuovere da "installa applicazioni" essendo appunto un estensione del browser.
sicuramente sarà un applicazione che hai installato o prima o dopo del vundo/virtumonde visto che dal 19 ad oggi non sè più saputo nulla della tua storia e non si sapeva neppure cosa ci fosse nel tuo pc

[Grizzly87]

Ciao xcdegasp

Grazie mille per avermi scritto inanzitutto e scusatemi se non vi ho aggiornato ma sono riuscito a debellare il trojan Vundo con la vostra guida grazie al tool molto efficace che mi avete consigliato Malware Bytes. Credo che non sia il Vundo perchè ho fatto una scansione completa dopo la rimozione con Malware Bytes e Spybot e non me lo trovava più. Questo RedSwoosh.exe è un'applicazione che viene installata insieme un adon di firefox di nome Foxtorrent e volevo sapere se qualcuno di voi ne ha sentito parlare perchè ho notato che qualcuno affetto da vundo ha tra i log di HijackThis questa applicazione come me ma non è un virus. Qualcuno di voi ne ha sentito parlare perchè potrebbe essere una causa dell'ingresso del virus Vundo.

Grazie Mille

[xcdegasp]

Quote:

Originariamente inviato da Grizzly87

Ciao xcdegasp

Grazie mille per avermi scritto inanzitutto e scusatemi se non vi ho aggiornato ma sono riuscito a debellare il trojan Vundo con la vostra guida grazie al tool molto efficace che mi avete consigliato Malware Bytes. Credo che non sia il Vundo perchè ho fatto una scansione completa dopo la rimozione con Malware Bytes e Spybot e non me lo trovava più. Questo RedSwoosh.exe è un'applicazione che viene installata insieme un adon di firefox di nome Foxtorrent e volevo sapere se qualcuno di voi ne ha sentito parlare perchè ho notato che qualcuno affetto da vundo ha tra i log di HijackThis questa applicazione come me ma non è un virus. Qualcuno di voi ne ha sentito parlare perchè potrebbe essere una causa dell'ingresso del virus Vundo.

Grazie Mille

mi spiace deludere le tue aspettative ma malwarebytes non rimuove completamente il vundo, è efficace insieme agli altri tools

e la rispsota alla tua domanda è:

Quote:

Description: File RedSwoosh.exe is located in a subfolder of "C:\Program Files". Known file sizes on Windows XP are 62436 bytes (74% of all occurrence), 61325 bytes, 62512 bytes, 60813 bytes.
Program has no file description. The program is not visible. Program starts when Windows starts (see Registry key: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). It is not a Windows core file. Program uses ports to connect to LAN or Internet. Therefore the technical security rating is 80% dangerous.

il che significa che il pc è ancora infetto, il pc è tuo ora vedi tu cosa fare

[Grizzly87]

Ma io ho seguito passo dopo passo la vostra guida e facendo la scansione con Spybot e MalwareBytes non mi ha più trovato tracce del virus cosa che mentre l'avevo lo trovava. Ho usato la guida nella modalità che mi avete detto voi e con i tool che ho trovato nella guida. Non ho più nessun problema e il Task Manager e libero e non occupato come prima, scusa la mia ignoranza xcdegasp io ho seguito la procedura fino al quarto punto e non ho riscontrato più problemi.
Mi dareasti delle delucidazioni sulla descrizione che mi hai dato che sono un pò ignorante in materia ed eventualmente cosa fare per risolverli.

Grazie xcdegasp

[Grizzly87]

Chiedo ancora scusa per il doppio post ho i log di MalwareBytes e JackThis mi aiutereste a capire cosa c'è che non và??

Ecco quelli di Malwarebytes :

Quote:

Malwarebytes' Anti-Malware 1.31
Versione del database: 1525
Windows 5.1.2600 Service Pack 3

20/12/2008 13.49.23
mbam-log-2008-12-20 (13-49-23).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 193895
Tempo trascorso: 1 hour(s), 2 minute(s), 49 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 2
Chiavi di registro infette: 3
Valori di registro infetti: 1
Elementi dato del registro infetti: 3
Cartelle infette: 0
File infetti: 8

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\gajukilu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\viyijiyu.dll (Trojan.Vundo.H) -> Delete on reboot.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d1f0d380-d6e0-443a-9a64-1254c7c7f43c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d1f0d380-d6e0-443a-9a64-1254c7c7f43c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d1f0d380-d6e0-443a-9a64-1254c7c7f43c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zuhivagohi (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\viyijiyu.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\viyijiyu.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\viyijiyu.dll -> Quarantined and deleted successfully.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\sehameyi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iyemahes.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tohapuva.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\avupahot.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zakurase.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\esarukaz.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gajukilu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\viyijiyu.dll (Trojan.Vundo.H) -> Delete on reboot.

Adesso Stacco spero mi potreste aiutare.
Scusate e Grazie mille per la vostra pazienza

[wjmat]

i prossimi log secondo le modalità please

segui qui la guida per la rimozione di Vundo e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità .

in più carica un log di Combofix (leggi bene le info)

[Chill-Out]

@Grizzly87

I log vanno allegati nel rispetto delle Regole di sezione, grazie per la collaborazione.

[Grizzly87]

Appena posso posto i log nella modalità giusta. Scusatemi per la mia assenza e per il mio comportamento. Mi scuso con i moderatori e li ringrazio per avermi seguito e seguirmi e per avervi fatto sprecare tempo. Le ultime domande:

- Sia Hijackthis che ComboFix li posso eseguire sul desktop o è meglio metterli in una cartella per esempio nei documenti??
- Tutti e due li devo lanciare con la modalità "Ripristino configurazione del sistema disattivata??"

Un ringraziamento particolare a chi mi ha aiutato e ai moderatori e scusate se sono imbranato

[Chill-Out]

Quote:

Originariamente inviato da Grizzly87

Appena posso posto i log nella modalità giusta. Scusatemi per la mia assenza e per il mio comportamento. Mi scuso con i moderatori e li ringrazio per avermi seguito e seguirmi e per avervi fatto sprecare tempo. Le ultime domande:

- Sia Hijackthis che ComboFix li posso eseguire sul desktop o è meglio metterli in una cartella per esempio nei documenti??
- Tutti e due li devo lanciare con la modalità "Ripristino configurazione del sistema disattivata??"

Un ringraziamento particolare a chi mi ha aiutato e ai moderatori e scusate se sono imbranato

Quote:

- Sia Hijackthis che ComboFix li posso eseguire sul desktop o è meglio metterli in una cartella per esempio nei documenti??

Si entrambi sul Desktop, per HJT è bene metterlo all'interno di una cartella dedicata come indicato chiaramente in Guida

Quote:

- Tutti e due li devo lanciare con la modalità "Ripristino configurazione del sistema disattivata??"

Il ripristino è la prima cosa che devi disabilitare e così deve rimanere fino a disinfezione terminata

Ciao