pago le conseguenze di un trojan.vundo: problematiche con la java runtime environment

yari_ · 29-06-2008, 17:19

salve ragazzi,il problema è il seguente..
sono stato infettato da un trojan.vundo.
fatto sta che sono riuscito a rimuoverlo utilizzando vari strumenti(kaspersky internet security,superantispyware,tool della symantec,vundofix e infine hijackthis + qualche registry cleaner tipo jv16 e reg seeker).ora facendo varie scansioni sia con kaspersky,sia con superantispyware che con quella online di bitdefender sembrerebbe non esserci più traccia del trojan. quando però sono andato a fare come prova del nove la scansione online di kaspersky ecco che succede:durante la prima fase di update mentre sta caricando i database tutto a un tratto compare un blue screen con scritto qualcosa su alcuni driver(poi se necessario vi darò i dettagli)e si riavvia il computer.il primo pensiero è stato questo :conscio del fatto che il vundo danneggia la Java Runtime Environment che appunto lo scanner online di Kaspersky utilizza,ho disinstallato la jre pulito il registro e reinstallatone un'altra scaricata dal sito...
come avrete capito il problema persiste.
qualche suggerimento per favore, ve ne sarei molto grato.

xcdegasp · 29-06-2008, 21:20

senza connessione attiva, cambia antivirus che possiedi passando ad avira (disinstalla l'attuale e installa avira il tutto senza riavviare) e fagli fare una scansione subito post installazione senza riavviare.
fatta questa scansione riavvii e attivi la connessione internet, aggiorni avira e riscansiona

thread spostato

yari_ · 02-07-2008, 15:41

@ xcdegasp

ho fatto come hai suggerito ma neanche avira ha trovato nulla.
comunque ho fatto altre prove ...su 4 computer di cui 3 protetti da kaspersky internet security 8,la scansione online dà il bluescreen con scritto "...probabile difetto del driver Klif.sys" che è un driver di kaspersky,mentre sul 4° protetto da kaspersky internet security 7 la scansione va senza intoppi di nessun genere. tra l'altro ora che su uno dei tre computer suddetti ho messo antivir per fare la prova che mi hai suggerito la scansione online ha ripreso a funzionare.
a questo punto mi viene da pensare che si tratti di una conflittualità tra l'ultima suite antivirus di kaspersky(versione 8) e il sistema di scanner online che è alla versione 7.
purtroppo però sul web non ho trovato nulla in merito.
se qualcun'altro invece sapesse qualcosa gliene sarei grato.

xcdegasp · 03-07-2008, 00:06

disinstalla e reinstalla la java..
purtropponon so nemmeno come hai ripulito il tuo pc dal vundo quindi si va a tentativi.. infetto non lo èlo avrebbe trovato

yari_ · 03-07-2008, 01:53

il tentativo sulla java l'avevo già fatto all'inizio in quanto credevo fosse un suo danneggiamento la causa di tutto ...ma tale tentativo non ha portato a nulla.
riguardo al metodo di pulizia: il primo a rivelarmi la presenza del trojan è stato SUPERAntiSpyware con la quale ho tentato di rimuoverlo,così dopo il riavvio del pc (come chiedeva il software) ho rifatto un'altra scansione con lo stesso e non lo ha trovato una seconda volta.per sicurezza ho fatto una scansione approfondita con kaspersky internet security 8 ottenendo lo stesso risultato(cioè nulla).non contento (la sicurezza non è mai troppa )ho fatto girare in modalità provvisoria due tool di rimozione specifici per il vundo; uno della symantec ed un altro di nome vundofix trovato in giro per la rete.anche questi dichiaravano l'assenza di un ipotetico trojan.vundo.così ho utilizzato HiJackThis che ha trovato un paio di residui nel registro(erano tre chiavi che puntavano alle DLL che il virus aveva creato nel system32,infatti il virus si era "ramificato" creando tre sue varianti corrispondenti a tre DLL con nomi fittizi del tipo "xvxxkwy.dll").riscansionato una seconda volta con lo stesso software,il registro era stato effetivamente pulito.infine una passata con CCleaner che non fa mai male...
oggi tra l'altro ho effettuato varie scansioni online,alcune funzionavano altre davano il solito bluescreen("... possibile danneggiamento del driver klif.sys")ecco l'elenco:
-BitTorrent (funzionante)
-kaspersky 7 (bluescreen,come già detto) dal sito www.kaspersky.com/virusscanner
-fsecure (bluescreen)
-kaspersky 5 (funzionante) dal sito http://www.avp.it/virusscanner.html

infine per quanto riguarda il driver klif.sys dubito di un suo effettivo danneggiamento in quanto ho disinstallato più volte la copia di kaspersky(e di conseguenza il driver) e l'ho riscaricata direttamente dal sito del produttore.
bo...

wjmat · 03-07-2008, 08:14

segui qui la guida per la rimozione di Vundo e posta in questa discussione i log di virtumonde e combofix

yari_ · 04-07-2008, 14:12

ecco i log

yari_ · 04-07-2008, 14:16

combofix sembra aver eliminato qualche altro file nel system32 e nel registro...
le varie scansioni suggerite nella guida non hanno trovato nulla. in particolare ho eseguito il kaspersky removal tool e la scanner online della ESET.mentre f-secure come in precedenza dà il blue screen.idem kaspersky online 7.il problema persiste.

wjmat · 04-07-2008, 18:32

Scarica Norman Vundo cleaner da qui → Disconnetti il pc da internet → Riavvia il pc → Esegui il file precedentemente scaricato → Clicca sulle dll infette trovate e seleziona Clean All
e segnala se ha trovato qualcosa

Fai una scansione completa con Superantispyware
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

yari_ · 05-07-2008, 18:35

norman non ha trovato nulla ,mentre superantispyware un Adware.Tracking Cookie.
ecco il log

wjmat · 05-07-2008, 18:47

Quote:

Originariamente inviato da yari_

norman non ha trovato nulla ,mentre superantispyware un Adware.Tracking Cookie.
ecco il log

come sta messo il pc ora?

29-06-2008, 17:19	#1
yari_ Junior Member Iscritto dal: Jun 2008 Messaggi: 11	pago le conseguenze di un trojan.vundo: problematiche con la java runtime environment salve ragazzi,il problema è il seguente.. sono stato infettato da un trojan.vundo. fatto sta che sono riuscito a rimuoverlo utilizzando vari strumenti(kaspersky internet security,superantispyware,tool della symantec,vundofix e infine hijackthis + qualche registry cleaner tipo jv16 e reg seeker).ora facendo varie scansioni sia con kaspersky,sia con superantispyware che con quella online di bitdefender sembrerebbe non esserci più traccia del trojan. quando però sono andato a fare come prova del nove la scansione online di kaspersky ecco che succede:durante la prima fase di update mentre sta caricando i database tutto a un tratto compare un blue screen con scritto qualcosa su alcuni driver(poi se necessario vi darò i dettagli)e si riavvia il computer.il primo pensiero è stato questo :conscio del fatto che il vundo danneggia la Java Runtime Environment che appunto lo scanner online di Kaspersky utilizza,ho disinstallato la jre pulito il registro e reinstallatone un'altra scaricata dal sito... come avrete capito il problema persiste. qualche suggerimento per favore, ve ne sarei molto grato.

29-06-2008, 21:20	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	senza connessione attiva, cambia antivirus che possiedi passando ad avira (disinstalla l'attuale e installa avira il tutto senza riavviare) e fagli fare una scansione subito post installazione senza riavviare. fatta questa scansione riavvii e attivi la connessione internet, aggiorni avira e riscansiona thread spostato __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

02-07-2008, 15:41	#3
yari_ Junior Member Iscritto dal: Jun 2008 Messaggi: 11	@ xcdegasp ho fatto come hai suggerito ma neanche avira ha trovato nulla. comunque ho fatto altre prove ...su 4 computer di cui 3 protetti da kaspersky internet security 8,la scansione online dà il bluescreen con scritto "...probabile difetto del driver Klif.sys" che è un driver di kaspersky,mentre sul 4° protetto da kaspersky internet security 7 la scansione va senza intoppi di nessun genere. tra l'altro ora che su uno dei tre computer suddetti ho messo antivir per fare la prova che mi hai suggerito la scansione online ha ripreso a funzionare. a questo punto mi viene da pensare che si tratti di una conflittualità tra l'ultima suite antivirus di kaspersky(versione 8) e il sistema di scanner online che è alla versione 7. purtroppo però sul web non ho trovato nulla in merito. se qualcun'altro invece sapesse qualcosa gliene sarei grato. Ultima modifica di yari_ : 02-07-2008 alle 15:44.

03-07-2008, 00:06	#4
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	disinstalla e reinstalla la java.. purtropponon so nemmeno come hai ripulito il tuo pc dal vundo quindi si va a tentativi.. infetto non lo èlo avrebbe trovato __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

03-07-2008, 08:14	#6
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	segui qui la guida per la rimozione di Vundo e posta in questa discussione i log di virtumonde e combofix __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

03-07-2008, 01:53	#5
yari_ Junior Member Iscritto dal: Jun 2008 Messaggi: 11	il tentativo sulla java l'avevo già fatto all'inizio in quanto credevo fosse un suo danneggiamento la causa di tutto ...ma tale tentativo non ha portato a nulla. riguardo al metodo di pulizia: il primo a rivelarmi la presenza del trojan è stato SUPERAntiSpyware con la quale ho tentato di rimuoverlo,così dopo il riavvio del pc (come chiedeva il software) ho rifatto un'altra scansione con lo stesso e non lo ha trovato una seconda volta.per sicurezza ho fatto una scansione approfondita con kaspersky internet security 8 ottenendo lo stesso risultato(cioè nulla).non contento (la sicurezza non è mai troppa )ho fatto girare in modalità provvisoria due tool di rimozione specifici per il vundo; uno della symantec ed un altro di nome vundofix trovato in giro per la rete.anche questi dichiaravano l'assenza di un ipotetico trojan.vundo.così ho utilizzato HiJackThis che ha trovato un paio di residui nel registro(erano tre chiavi che puntavano alle DLL che il virus aveva creato nel system32,infatti il virus si era "ramificato" creando tre sue varianti corrispondenti a tre DLL con nomi fittizi del tipo "xvxxkwy.dll").riscansionato una seconda volta con lo stesso software,il registro era stato effetivamente pulito.infine una passata con CCleaner che non fa mai male... oggi tra l'altro ho effettuato varie scansioni online,alcune funzionavano altre davano il solito bluescreen("... possibile danneggiamento del driver klif.sys")ecco l'elenco: -BitTorrent (funzionante) -kaspersky 7 (bluescreen,come già detto) dal sito www.kaspersky.com/virusscanner -fsecure (bluescreen) -kaspersky 5 (funzionante) dal sito http://www.avp.it/virusscanner.html infine per quanto riguarda il driver klif.sys dubito di un suo effettivo danneggiamento in quanto ho disinstallato più volte la copia di kaspersky(e di conseguenza il driver) e l'ho riscaricata direttamente dal sito del produttore. bo...

04-07-2008, 18:32	#9
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Scarica Norman Vundo cleaner da qui → Disconnetti il pc da internet → Riavvia il pc → Esegui il file precedentemente scaricato → Clicca sulle dll infette trovate e seleziona Clean All e segnala se ha trovato qualcosa Fai una scansione completa con Superantispyware Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto Sotto Preference... -> Scanning control -> Configuralo come indicato qui -> Close Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena. Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso %appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio) __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

Strumenti
Mostra una versione stampabile Invia questa pagina per email