Virtumonde - Trojan.Vundo.H Eliminato

[Dukessa]

Ciao a tutti

Volevo condividere questa piacevolissima esperienza ( ) con tutti quelli che hanno avuto o che avranno lo stesso problema, risolto nel mio caso per fortuna, non senza difficoltà

Il caro Virtumonde, un Trojan malefico in varie versioni, mutante recidivo, che continua a rigenerarsi anche cancellando chiavi di registro, exe, dll, temporanei...e che vi butta dentro al pc di tutto, attaccandosi alla maggior parte dei browser e al winlogon, quindi caricato "a priori"...e da qui una delle difficoltà nell'eliminarlo.

La soluzione, nel mio caso è stato un mix tra (nell'ordine di utilizzo): Avast, Spybot, VundoFix, Malwarebytes, ATF Cleaner (dallo stesso autore di VundoFix), Hijackthis, Prevx e Avenger.

Fondamentali ognuno a modo loro per aver portato a termine la rimozione.

Alcuni ho visto che hanno avuto conseguenze più serie dopo aver preso questo trojan (pubblicità varie, popup, menu e icone che scompaiono, programmi che terminano da soli..), ma forse è solo perchè ho notato ed eliminato il problema in tempo, quindi ho solo avuto rallentamenti di sistema e simpatiche nuove entri nel TaskManager, oltre che in c:\windows e system32.

Dopo che Avast mi ha annunciato la presenza del trojan, mi sono data alla caccia...e ahime, mi fossi ricordata di rinstallare Spybot prima, probabilmente non sarebbe successo niente...e invece mi sono dimenticata dall'ultima formattazione.

Ad-Aware ha rilevato poco e nulla, Spybot qualcosa ma non tutto, ma abbastanza da farmi continuare la ricerca (ma infatti la sua funzione è principalmente il prevenire, non tanto il curare).
Malwarebytes è stato sicuramente il più efficace sia nel rilevare i file di Virtumonde (circa 40 ) sia nel rimuoverne il più possibile.
Tramite controlli successivi con Hijackthis e Vundofix ho proceduto a controllare l'effettiva eliminazione di file e dll, e dopo una bella pulizia con ATF Cleaner (ma anche CCleaner), ho fatto gli ultimi controlli che mi davano tutto pulito finalmente, a parte Prevx, che rilevava dei file ancora presenti (che però non riuscivo a trovare tramite il Cerca).
Avenger ha fatto poi il suo dovere, avendogli dato il comando di eliminare quegli ultimi file al successivo riavvio.
Ultimo controllo generale, con tutti i tool usati, incluso Prevx...e magia, trojan sparito

Adesso però l'unica cosa che rimane, e che mi turba, è rundll32 che continua ad essere caricato all'avvio...benchè non carichi più il trojan e possa essere killato senza che torni continuamente, preferirei che non stesse lì nel TaskManager...
Quindi questa è una richiesta di controllo finale per i supergeni del forum
Se magari potete confermare che è tutto nella norma, o eventualmente cosa togliere per non caricare rundll32, riterrò che la questione sia finalmente risolta completamente
Allego l'ultimo log di Hijackthis (non mi pare di notare nessuno sconosciuto).

[wjmat]

ciao
spostiamoci qui nella guida per vundo www.hwupgrade.it/forum/showthread.php?t=1603273

è sicuramente stato mbam il programma risolutivo
per sicurezza potresti fare una scansione con combofix come indicato in guida e caricarci il log

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [OpenDNS Update] "C:\Software\OpenDNS Updater\OpenDNS Updater.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Software\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background

rundll è legato a nvidia quindi te lo puoi tenere

[Dukessa]

Quote:

Originariamente inviato da wjmat

è sicuramente stato mbam il programma risolutivo
per sicurezza potresti fare una scansione con combofix come indicato in guida e caricarci il log

Malwarebytes è stato decisivo, ma anche gli altri mi sono stati molto utili, altrimenti non avrei potuto controllare che effettivamente fosse stato estirpato del tutto.

Quote:

Originariamente inviato da wjmat

Codice:

O4 - HKLM\..\Run: [OpenDNS Update] "C:\Software\OpenDNS Updater\OpenDNS Updater.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Software\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background

Tolgo solo iTunes e Adobe Reader, il resto mi serve.
C'è per caso altro che consigli di togliere? tipo mdnsresponder...ecc

Quote:

Originariamente inviato da wjmat

rundll è legato a nvidia quindi te lo puoi tenere

Si lo so che nvidia lo usa all'avvio, ma sono sicura che prima che arrivasse il trojan, rundll32 non rimaneva lì nel TaskManager...

[wjmat]

Codice:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6052c9b0-59f9-11dd-85f8-806d6172696f}]
\Shell\AutoRun\command - E:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eba3571c-7dd2-11dd-ac9f-001e8ccfb492}]
\Shell\AutoRun\command - .\run\autorun.exe
\Shell\open\Command - .\run\autorun.exe

queste voci in combofix vorrei che le vedesse anche chill per una sua opinione, così in caso le leviamo

per il resto io lascierei così

[wjmat]

dovresti avere in giro una chiavetta infetta..... non inserirla per il momento

Apri il Blocco Note e incolla tutto il codice qui sotto

Codice:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6052c9b0-59f9-11dd-85f8-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eba3571c-7dd2-11dd-ac9f-001e8ccfb492}]

Salva il file sul Desktop come CFScript.txt → Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione → al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

[Dukessa]

Ora che mi ci fai pensare penso di sì....l ho usata ieri sera appunto, per trasferire i tool che avevo sul portatile, e Avast mi ha detto che c'era roba strana, e sia lui che io ho provveduto ad eliminare il tutto.
Però magari nel frattempo ha copiato chiavi di registro su questo pc...
Ecco il nuovo log.
Tutto ok adesso? Devo fare altro per la chiavetta?

[wjmat]

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

una volta con pc protetto sistemiamo la chiavetta