[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[-DNT-]

ecco i log

[-DNT-]

ecco il log di hjt

[murack83pa]

nn c siamo capiti....
servono tutti i log di questi programmi:

1-renv
2-VundoFix
3-FixVundo
4-VirtumundoBeGone
5-ComboFix

io ne vedo solo alcuni..gli altri? combofix? fixvundo? vundofix?

visto che virit all'improvviso ha trovato tracia di vundo, rifai quelle scansioni e fermati li, in modalità provvissoria

posta i log in un unico post, se leggi bene la guida, sono indicate le varie modalità di pubblicazione dei log....oltre alla funzione allegati, puoi caricare i log su fileup

fermati a queste scansioni, una volta superate queste, eventualmente passiamo avanti....

[-DNT-]

Quote:

Originariamente inviato da murack83pa

nn c siamo capiti....
servono tutti i log di questi programmi:

1-renv
2-VundoFix

3-FixVundo
4-VirtumundoBeGone
5-ComboFix

io ne vedo solo alcuni..gli altri? combofix? fixvundo? vundofix?

visto che virit all'improvviso ha trovato tracia di vundo, rifai quelle scansioni e fermati li, in modalità provvissoria

posta i log in un unico post, se leggi bene la guida, sono indicate le varie modalità di pubblicazione dei log....oltre alla funzione allegati, puoi caricare i log su fileup

fermati a queste scansioni, una volta superate queste, eventualmente passiamo avanti....

le scansione che si dovevano fare in mod provv le ho fatte tutte 2 volte tranne combofix e solo la 1a volta vundofix ne ha trovati 4
-renv ha rilasciato un log vuoto
-il log di fixvundo nn so dv trovarlo
-vundofix me l'ero dimenticato ora te lo allego
-virtumundobegone te lo dato nel 1° post si chiama VBG5.txt
-combofix non funziona niente da fare appena lo apro mi esce una finestra dos e la segnalazione errori microsoft

cmq ti faccio un rieplogo delle scan che ho fatto:

1a volta
-renv log vuoto
-VundoFix 4 rilevati e rimossi (vedi log)
-FixVundo niente
-VBG nn avevo il link
-ComboFix nn funzia
-Prevx CSi si blocca a metà dicendo che nn cè connessione
-VirIT nn si aggiorna per lo stesso motivo di prev solo che lo scan lo fatto 0 files trovati

2a volta
-renv log vuoto
-VundoFix niente
-FixVundo niente
-VBG niente
-ComboFix nn funzia
-Prevx CSi si blocca a 3/4 dicendo che nn cè connessione
-VirIT nn si aggiorna per lo stesso motivo di prev solo che lo scan lo fatto 1 file trovato

EDIT: potresti guardarmi un pò il log di HJT?, vorrei sapere se se n'è andato definitivamente
EDIT2:ohmmerda nei miei processi cè lsass.exe ,ho letto che è un worm che faccio?

[murack83pa]

certo che le hai tutte tu: prima vundo, e ora virit scopre un file infetto da bagle....

1-cancella tutti i crack che hai, tutti, se no è inutile

2-fixa queste voci in hijackthis:

Quote:

O2 - BHO: (no name) - {27333590-F4FE-4820-9AA9-4220F8A52EDC} - C:\Windows\system32\urspp.dll (file missing)
O2 - BHO: (no name) - {BE26370A-BB2F-4905-9632-1041AE82DB4B} - C:\Windows\system32\khhge.dll (file missing)
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\byvsq.dll,#1
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dlleNetHook.dll
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

hai ancora un dll riferita a vundo.....

e vedo che hai avast...

disinstalla completamente avast, pulisci il pc e il registro di windows con ccleaner e riavvia il pc:
Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui


installati il trial della kaspersky, lascia stare x il momento avira

fai una scansione completa con kaspersky e posta il report

dopo aver fatto ciò, riprova in modalità provvissoria combofix e vediamo se riesce a funzionare: combo fix deve essere lasciato lavarare in pace, disconnessi da internt, senza fare niente al pc, potrà sembrare che nn succede niente, invece sta lavorando

dimmi che problemi presenti al pc

[-DNT-]

Quote:

Originariamente inviato da murack83pa

certo che le hai tutte tu: prima vundo, e ora virit scopre un file infetto da bagle....

1-cancella tutti i crack che hai, tutti, se no è inutile

2-fixa queste voci in hijackthis:


hai ancora un dll riferita a vundo.....

e vedo che hai avast...

disinstalla completamente avast, pulisci il pc e il registro di windows con ccleaner e riavvia il pc:
Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui


installati il trial della kaspersky, lascia stare x il momento avira

fai una scansione completa con kaspersky e posta il report

dopo aver fatto ciò, riprova in modalità provvissoria combofix e vediamo se riesce a funzionare: combo fix deve essere lasciato lavarare in pace, disconnessi da internt, senza fare niente al pc, potrà sembrare che nn succede niente, invece sta lavorando

dimmi che problemi presenti al pc

ma BAGLE e BEAGLE sn la stessa cosa? VirIT ha trovato BEAGLE..

ok ora faccio tutto
certo che sono proprio sfigato...
mah... di problemi nn ne vedo molti
solo che la ricerca dei file nn trova mai niente di valido (me lo trova in una vecchia posizione)e esce il mess come se l'avessi eliminato
e poi qualche rallentamento all'avvio e allo spegnimento..
ah e poi il probl di prev e virit che nn rilevano connessione
tramite HJT la dll se na và?

[murack83pa]

Quote:

Originariamente inviato da -DNT-

ma BAGLE e BEAGLE sn la stessa cosa? VirIT ha trovato BEAGLE..

ok ora faccio tutto
certo che sono proprio sfigato...
mah... di problemi nn ne vedo molti
solo che la ricerca dei file nn trova mai niente di valido (me lo trova in una vecchia posizione)e esce il mess come se l'avessi eliminato
e poi qualche rallentamento all'avvio e allo spegnimento..
ah e poi il probl di prev e virit che nn rilevano connessione
tramite HJT la dll se na và?

ragione hai....nn sono la stessa cosa, avevo letto male

cmq fai quello che ti ho suggerito e vediamo se le cose migliorino...

mi raccomando disinstalla avast e installati x il momento kaspersky....poi al termine di tutto, lo potrai rimuovere se nn ti trovi bene, ed installarti avira

[-DNT-]

ok sto a fa lo scan con kaspersky
mi ha trovato Heur.Invadier dentro a combofix è un falso positivo o lo elimino?

[murack83pa]

Quote:

Originariamente inviato da -DNT-

ok sto a fa lo scan con kaspersky
mi ha trovato Heur.Invadier dentro a combofix è un falso positivo o lo elimino?

dovrebbe essere un falso positivo, xò tu mettilo in quarantena insieme alle altre cose che trova, posta qui il report

nn fare nulla mentre scansiona...

[-DNT-]

Fatta scansione con Kaspersky
dove trovo il log?

[murack83pa]

Quote:

Originariamente inviato da -DNT-

Fatta scansione con Kaspersky
dove trovo il log?

dovrebbe esserci una voce "rapporti" o "report", vedi li....

[-DNT-]

nn la trovo... mi potresti dire il percorso esatto?

[gre.gory]

Gentilemte mi puoi dire dove trovo l'host remoto per inviare dei file di scansioni?

[murack83pa]

Quote:

Originariamente inviato da gre.gory

Gentilemte mi puoi dire dove trovo l'host remoto per inviare dei file di scansioni?

caricare il log su FileUp, copiando qui i link x il download

specificare x ciascun link il programma

grsie

[gre.gory]

scusami ma a chi invio la mail ovvero l'indirizzo del destinatario ?
grazie

[murack83pa]

Quote:

Originariamente inviato da gre.gory

scusami ma a chi invio la mail ovvero l'indirizzo del destinatario ?
grazie

nn è necessario: è un opzione...c'è scritto

[ARISTOGITONE]

Salve a tutti.
Premetto di essere un mero utente di computer quindi molto poco esperto e chiedo scusa fin da ora se commetterò degli errori nell'eseguire le procedure o nel rispondere alla discussione. Ho un virus del tipo trojan vundo. Il mio antivirus (Norton) lo segnala ma non lo rimuove. Ho provato la rimozione con altri programmi ma credo di non essere riuscito nell'impresa. Come segnalato nella prima pagina della discussione ho scaricato i vari programmi consigliati ed ho fatto eseguire le scansioni (in alcuni casi la scansione era talmente lenta che l'ho eseguita in modalità normale e non in provvisoria). Se riesco allego al messaggio i log delle scansioni eseguite, e cioè:
log renV, log VundoFix, log FixVundo, log VirtumundoBeGone, log ComboFix, log PrevxCSI, log Virit, log Hijackthis.
Vi ringrazio fin da ora dell'aiuto che protrete prestarmi.

[ARISTOGITONE]

Continuo l'invio dei i log.

[ARISTOGITONE]

Continuo l'invio dei log.

[Nuz]

@ARISTOGITONE:

Apri HiJackThis e fixa queste voci:

Quote:

O2 - BHO: {287d6caa-a1b2-aa2a-f2c4-90a74c4610a5} - {5a0164c4-7a09-4c2f-a2aa-2b1aaac6d782} - C:\WINDOWS\system32\qbskfwtm.dll (file missing)

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [BMa79d9657] Rundll32.exe "C:\WINDOWS\system32\hneuykop.dll",s

O4 - HKLM\..\Run: [a4aea5cb] rundll32.exe "C:\WINDOWS\system32\luqtfqhl.dll",b

O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe

O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe

O20 - Winlogon Notify: byxutss - byxutss.dll (file missing)

O20 - Winlogon Notify: opnliif - opnliif.dll (file missing)

Poi scarica Avenger. Eseguilo e seleziona Input Script Manually, clicca sulla lente e inserisci:

Quote:

Files to delete:
C:\WINDOWS\system32\hneuykop.dll
C:\WINDOWS\system32\luqtfqhl.dll

Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.txt, un nuovo log di HiJackThis e un log di PrevxCSI.