[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[big_luca]

ecco gli altri:

[xcdegasp]

@ big_luca:
i tool non mostrano tracce di infezione, che sinto riscontri?

per quanto riguarda hijackthis:
rifai la scansione scegliendo "only scan", finita la scansione il tasto in basso a sinistra verrà identificato dal nome "Fix IT" quindi selezionare le voci desiderate e premere "Fix IT", le voci da fixare sono:

Codice:

O2 - BHO: (no name) - {036AEDD7-9D70-466F-89A2-C43A46019022} - C:\WINDOWS\system32\ddayx.dll (file missing)
O2 - BHO: (no name) - {4EB7C46D-6DA6-4A3A-BADE-22DEE1337B6E} - C:\WINDOWS\system32\mljji.dll (file missing)
O2 - BHO: (no name) - {8BB34CD2-1650-4A04-A379-39EECBB2E410} - C:\WINDOWS\system32\mllmk.dll (file missing)
O2 - BHO: (no name) - {8E1D3652-C83D-4962-ACE7-5795892E1685} - C:\WINDOWS\system32\pmnno.dll (file missing)
O2 - BHO: (no name) - {972761D2-C30C-4EAA-A05D-2E5A895A3A3C} - C:\WINDOWS\system32\mljgh.dll (file missing)
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

io fixerei anche queste:
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

[big_luca]

Io uso avast come antiviruse durante la navigazione con IE mi aveva segnalato un virs.
Poi sul desktop mi è apparsa un'icona di un'applicazione di cui non ricordo il nome che avviava da sola una procedura di scaricamento di file per l'installazione.
Effettuando una scansione con Spybot ha rilevato la presenza del virus vitumonde e facendo una ricerca su google sono arrivato qui.
Ora però dopo aver seguito la guida sembra risolto come anche tu gentilmente mi hai confermato.
Ti volevo chiedere un consiglio dato che avast non sembra tanto affidabile quale alternativa potrei utilizzare per essere più sicuro?
Ti ringrazio per l'attenzione.

[xcdegasp]

potresti sostituire Avast con Avira Antivir Classic e installare OnlineArmor-free che è un firewall semplicissimo da usare e in italiano

per la guida su Avira -> http://www.hwupgrade.it/forum/showthread.php?t=1514684

per la guida su Online Armor -> http://www.hwupgrade.it/forum/showthread.php?t=1597881

altriementi un altro buon firewall è Comodo-Firewall però è un po' più complicatino da usare e trovi le due guide qui:
Comdo-Firewall v2.4 http://www.hwupgrade.it/forum/showthread.php?t=1181836

Comodo-Firewall 3.0 http://www.hwupgrade.it/forum/showthread.php?t=1598794

[Chill-Out]

Fixa anche questa O20 - Winlogon Notify: khfgeeb - khfgeeb.dll (file missing)

al termine nuovo log di HijackThis e ComboFix

[xcdegasp]

giusto, mi era sfuggita quella voce

[big_luca]

Quote:

Originariamente inviato da Chill-Out

Fixa anche questa O20 - Winlogon Notify: khfgeeb - khfgeeb.dll (file missing)

al termine nuovo log di HijackThis e ComboFix

ho fatto come hai detto e i log sono i seguenti

[NECRONOMICON]

ho risolto ogni problema

[xcdegasp]

Quote:

Originariamente inviato da big_luca

ho fatto come hai detto e i log sono i seguenti

non conosco queste voci:
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe

[Chill-Out]

Quote:

Originariamente inviato da xcdegasp

non conosco queste voci:
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe

Dovresti essere OK, riscontri problemi? Le voci indicate dal Mod. dovrebbero essere relative ala stampante Brother

[xcdegasp]

buono a sapersi, infatti non ho mai avuto niente di quella marca

[big_luca]

ok grazie a tutti per la collaborazione

[BianconiglioRoma]

allora stasera credo di aver beccato anche io il virus...
e grazie a voi forse ho risolto

descrivo il procedimento e allego i files...
1. vundofix
2. fixvundo
3. combofix
4. prevcx http://www.zshare.net/download/90499349807536/
5 vir it non ha trovato nulla
6 hijackthis ed ecco il log http://www.zshare.net/download/9050796eafc77e/

solo che anche se ho un pò di dubbi
cosa devo fare con avenger?


e ancora una domanda:cosa ne faccio dei file e delle cartelle che tutti i programmi hanno creato? (per esempio prvcx posso disinstallarlo?

grazie,
d.

[BianconiglioRoma]

non capisco perchè non ha messo gli allegati
li riallego e faccio un'altra domanda che è sicuramente off topic

mi stanno comparendo nella cartella dei downloads tutta una serie di file zippati di vari programmi. roba che non ho mai scaricato da nessuna parte, ma che non so se nemmeno siano eseguibili.

[xcdegasp]

PrevxCSI:

Codice:

C:\Documents and Settings\David\Desktop\AVSVideoTools.exe	InMem: 0	Det [u]	PX5: 14A6205A384CA605CB65824453270B03DD5587C9


C:\Programmi\doubleTwist\doubleTwist.exe	InMem: 0	Det [u]	PX5: 8DAEB70F0041C9B206FE3C313BDF2500AC96B4DA


C:\WINDOWS\Nircmd.exe	InMem: 0	Det [UP]	MD5: 1D56C98258B6D70F56BAA32380DEA992	PX5: C1C9B84A00BA65586E6A00C9BB6313000CC2D7B7


C:\WINDOWS\system32\swreg.exe	InMem: 0	Det [BP]	MD5: 01D95A1F8CF13D07CC564AABB36BCC0B	PX5: F583C28B008EFEE4785C023A5217460062E7F95F	Malware Group: Generic.Malware


C:\WINDOWS\system32\WinSpooler.exe	InMem: 0	Det [BP]	MD5: 8F47AD57F731572678DBD93531476935	PX5: 58B5BBE100C00B7460D816F1613CF400E110A0A7	Malware Group: Dropper.Generic.VLP

Winspooler non è un falso positivo, i primi due dell'elenco che ho fatto sai dirmi cosa siano?

[Chill-Out]

Quote:

mi stanno comparendo nella cartella dei downloads tutta una serie di file zippati di vari programmi. roba che non ho mai scaricato da nessuna parte, ma che non so se nemmeno siano eseguibili.

perchè hai un Trojan -> WinSpooler.exe

Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx della sottoindicata voce e clicca su Fix checked

O2 - BHO: (no name) - {B6FE7AAF-46F5-4622-81AA-50E98E56EDA3} - C:\WINDOWS\system32\ssqrq.dll (file missing)

Scarica SDFix http://downloads.andymanchesta.com/R...ools/SDFix.exe e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt

Al termine oltre al log di SDFix allega un nuovo log di HijackThis e Prevx CSI

Come evidenziato dal Mod. è opportuno controllare su www.virustotal.com i seguenti file:

C:\Documents and Settings\David\Desktop\AVSVideoTools.exe
C:\Programmi\doubleTwist\doubleTwist.exe

indica il link dove visualizzare i risultati delle analisi

[BianconiglioRoma]

buongiorno e grazie per la prima risposta.
ma quindi con il vundo ho risolto?
come ho già chiesto: file e programmi? cosa me ne faccio?

allora ho eseguito hjack e ho fixato la voce che mi avete indicato
poi ho scaricato e eseguito sdfix e il suo report è allegato

e hijackthis adesso non me lo fa più aprire (Runtime error 50003)

mentre prevxcsi trova qualcosa. posto il log http://www.zshare.net/download/9068223fcc55c8/

i 2 file sono 2 programmi per conversione di file audio e video.
grazie.

[Chill-Out]

Quote:

buongiorno e grazie per la prima risposta.
ma quindi con il vundo ho risolto?
come ho già chiesto: file e programmi? cosa me ne faccio?

prima terminiamo la procedura di disinfezione poi rimuoviamo il superfluo

Quote:

allora ho eseguito hjack e ho fixato la voce che mi avete indicato
poi ho scaricato e eseguito sdfix e il suo report è allegato

e hijackthis adesso non me lo fa più aprire (Runtime error 50003)

questo è strano, disinstalla HijackThis da Pannello di controllo - Installazione applicazioni, riscaricalo da questo indirizzo Download: http://www.trendsecure.com/portal/en...HiJackThis.exe
e fammi sapere se funziona

Quote:

mentre prevxcsi trova qualcosa. posto il log

nulla di chè è ComboFix

Quote:

i 2 file sono 2 programmi per conversione di file audio e video.
grazie.

Ok

attendo il log di HijackThis ci sono altre cose da fare

[BianconiglioRoma]

ho riavviato il pc e mi ha fatto eseguire hijack.
ecco il log


grazie

[Chill-Out]

Apri il Blocco Note copia e incolla queste righe:

Quote:

File::
C:\WINDOWS\system32\KGyGaAvL.sys

Filelook::
C:\WINDOWS\system32\rar.exe

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

per scrupolo questo file C:\WINDOWS\system32\rar.exe (mi puzza di virus) lo controlli su VirusTotal www.virustotal.com e mi indichi il link dove visualizzare i risultati