[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[Chill-Out]

Quote:

Originariamente inviato da power86

quel ca##o di combofix mi ha sballato tutto il sistema

non credo Combo non ha eliminato nulla

[lancetta]

Quote:

Originariamente inviato da BEY0ND

spero di aver azzeccato il thread giusto
volevo segnalare questo tool per Virtumonde,il tool è della nod,autore Paolo Monti.

http://www.nod32.it/tools/undll.php



che ne pensate,potrebbe esservi utile?
se è già stato segnalato,mi scuso

era per le prime varianti socio...terminava il processo e sganciava le dll...ma con questa variante bastardissima completa di rootkit......
non ci fai nulla....in quanto il rootkit se non zompato in contemporanea ricrea le dll....

Quote:

Originariamente inviato da power86

quel ca##o di combofix mi ha sballato tutto il sistema

Quoto i soci...combo ha solo fatto scan senza eliminazioni...se ci riporti i problemi riscontrati......

[BEY0ND]

ok socio,sarà per il prossimo tool allora...
sull'affidabilità di questo,a differenza di un,due,tre ti spio il pc....(),non ci sono dubbi

[power86]

come ho tetto al primo post dopo l'eliminazione di qiei 2 file mi sembrava di non avere più problemi
per scrupolo ho seguito la guida e adesso mi ritrovo con la scheda di rete che non me riconosceva proprio (ho dovuto riavviare 2 volte per farmela riconoscere)
e il pc per andare in sleep ci mette troppo (per come lo inendo io dato ke prima il pc era davvero una scheggia)

[deneb87]

Quote:

Originariamente inviato da power86

come ho tetto al primo post dopo l'eliminazione di qiei 2 file mi sembrava di non avere più problemi
per scrupolo ho seguito la guida e adesso mi ritrovo con la scheda di rete che non me riconosceva proprio (ho dovuto riavviare 2 volte per farmela riconoscere)
e il pc per andare in sleep ci mette troppo (per come lo inendo io dato ke prima il pc era davvero una scheggia)

Sleep? Chi ha detto sleep? Mai usato ne Sleep/Standby,Sospensione ecc... (anzi sempre disattivata ancora prima di toccare qualsiasi cosa)

per i tuoi problemi non saprei cosa dirti, non credo che possano essere legati in nessun modo a combofix

[power86]

beh a me torna utile come funzione
e poi lo stesso problemi di rallentamento li da anche in fase di shutdown (considerando che ieri mattina si spegneva in 1 lampo, mo ce ne occorrono minimo 3)

(senza parlare che come browser predefinito mi era ritornato ie)

[deneb87]

Quote:

Originariamente inviato da power86

beh a me torna utile come funzione
e poi lo stesso problemi di rallentamento li da anche in fase di shutdown (considerando che ieri mattina si spegneva in 1 lampo, mo ce ne occorrono minimo 3)

(senza parlare che come browser predefinito mi era ritornato ie)

combofix infatti provvede a ripristinare gran parte delle configurazioni di base di windows

[power86]

ok ok ma dai log che ho postato nella pagina precedente si evince qualcosa?

[Andre22000]

allora:
Ho tolto il ripristino di sistema, ho cercato di cancellare combofix come hai detto ma non me lo toglie (dice di non trovare il percorso richiesto)..
ho fatto girare cc cleaner come si deve..
ora ti metto i log a disposizione..
Prevcsifree (ultima versione aggiornata) : http://fileup.itadib.com/download.ph...iqbXjHY7eDYRtp
Virit in allegato..
Link per il log di Hijackthis:
http://fileup.itadib.com/download.ph...L3JxURVQKKB1hh
e Findawf in allegato.
Ho fatto tutto per benino ehm
Aspetto tue notizie Murack83!!
CIAO E GRAZIE MILLE PER TUTTO QUESTO SBATTIMENTO!!!!

[murack83pa]

ok, ben fatto

allora per prima cosa fai cosi:

scarica avenger (avira lo potrebbe rilevare come malware,disattiva avira momentaneamente): DOWNLOAD
lo scompatti in una sua cartella dedicata,
avvia avenger,
seleziona input script manually,
clicca sulla lente d'ingrandimento,
inserisci il seguente script (tutto quello che è compreso nel quote):

Quote:

files to move:

C:\Programmi\Microsoft LifeCam\bak\LifeExp.exe | C:\Programmi\Microsoft LifeCam\LifeExp.exe
C:\Programmi\QuickTime\bak\QTTask.exe | C:\Programmi\QuickTime\QTTask.exe
C:\Program Files\Hamlet\Adsl\bak\dslagent.exe | C:\Program Files\Hamlet\Adsl\dslagent.exe
C:\Program Files\Hamlet\Adsl\bak\dslstat.exe | C:\Program Files\Hamlet\Adsl\dslstat.exe

Cliccare su done, Cliccare sul semaforo, Rispondere sì 2 volte;il pc dovrebbe riavviarsi, casomai lo riavvii manualmente

fatto questo, scaricati nuovamente combofix dalla guida, fai la scansione con antivirus disattivato, disconnesso da internet e con tuttti i probgrammi chiusi (emule,msn,ie,ecc),

forse scomparirà il desktop, nn ti preocuppare

a fine scansione, apparirà il log, chiudi pure la finetra, xchè il log viene salvato automaticamente in C:\

quindi prendi il log e lo posti qui e attendi

[Andre22000]

Ho fatto quello che mi hai detto con Avenger e anche con combofix
e ora ti allego il log!
Eccotelo..
ancora grazie Murack..

[murack83pa]

Quote:

Originariamente inviato da Andre22000

Ho fatto quello che mi hai detto con Avenger e anche con combofix
e ora ti allego il log!
Eccotelo..
ancora grazie Murack..

ok, disinstalla combofix come ti avevo detto prima:

start -> esegui -> digita "combofix /u" e premi invio

riavvia il pc

utilizza nuovamente ccleaner

nuovo log di hijackthis + nuovo log di prevx csi

dimmi se presenti ancora problemi

[Andre22000]

Quote:

Originariamente inviato da murack83pa

ok, disinstalla combofix come ti avevo detto prima:

start -> esegui -> digita "combofix /u" e premi invio

riavvia il pc

utilizza nuovamente ccleaner

nuovo log di hijackthis + nuovo log di prevx csi

dimmi se presenti ancora problemi

ed eccomi!!! A quanto pare Prevx CSI non trova nulla...
Questo è il link per il log di hijackthis : http://fileup.itadib.com/download.ph...XDezTNkYSflxtb
E questo è quello di Prevx Csi:
http://fileup.itadib.com/download.ph...4Ob2djB8SihtHn
a me sembra sia tutto a posto....
E per la centocinquantasettesima volta ti ringrazio..

[murack83pa]

Quote:

Originariamente inviato da Andre22000

......

ok, sembra tutto pulito

hai solo ancora traccie di norton, quindi fixa in hijackthis questa voce:

Quote:

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)

dopodicchè segui con attenzione questa guida alla completa rimozione di norton (occhio che alcuni passaggi sono molto delicati):
http://www.hwupgrade.it/forum/showth...post&t=1630445


xil resto, tutto ok

abbiamo concluso

ciao

[Andre22000]

CIAO MURACK!!!!



MA QUANTE NE SAI????

[murack83pa]

Quote:

Originariamente inviato da Andre22000

CIAO MURACK!!!!



MA QUANTE NE SAI????

ciao

credimi: molto poco rispetto a tanti altri di questo forum

finita la rimozione del virus norton?

ciao

[Andre22000]

Ciao Murack sono di nuovo dei casini, non ci posso credere..
Sai cos'è successo?
Ho eseguito dustbuster, poi regseeker e infine l'altro jw16power (o qualcosa del genere)...
Ho riavviato e tadadaaaa....il pc si è impallato completamente..
Ora riesco a entrare in Windows ma non mi appaiono le icone del desktop e anche usando taskmanager i programmi non mi vanno in esecuzione..
e questa volta più delle altre non so proprio cosa fare..
Per task manager i processi in esecuzione ci sono, peccato che oltre allo sfondo e alla freccia non si vede nada..
Cosa faccio adesso?

[murack83pa]

Quote:

Originariamente inviato da Andre22000

....

uhmm....quella guida incomincia a dare piu problemi che altro....

dopo la rimozione di vundo, nn avevi riattivato il ripristino?

controlla....

altrimenti, riguardo il desktop, prova cosi e vediamo come va:
http://www.hwupgrade.it/forum/showth...light=explorer

[deneb87]

Quote:

Originariamente inviato da Andre22000

Ho eseguito dustbuster, poi regseeker e infine l'altro jw16power (o qualcosa del genere)...

ciao, io so cosa probabilemnte è successo
però eri anche stato avvisato che la parte con regseeker era molto delicata

hai percaso... selezionato tutte le voci e cliccato su scan.. o hai selezionato solo quella indicata nella guida ?

Quote:

Ora spuntate tra le opzioni l'unica non spuntata (Servizi Non Validi)

se hai fatto la prima cosa e hai cancellato tutto (immagino piu di 1000 correzioni?) .... hai incasinato molto molto molto molto il registro
purtroppo, o riesci ad avviare da task manager regseeker e ripristinare tutti i backup, o ti tocca ripristinare windows da cd

[murack83pa]

Quote:

Originariamente inviato da deneb87

....

nn è la prima volta, ed evidentemente quella guida risulta essere fin troppo complicata e pericolosa x le persone nn esperte

x quanto mi riguarda, la prox volta darò mie specifiche indicazioni sulla rimozione di norton....