[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[GinkoStar]

Ciao ZooleaN

È esattamente come dici tu, ho solamente settato il /SAFEBOOT su OK e dopo non parte più.
Mi piace l'idea di riuscire a risettare il file boot.ini come era all'inizio.

Ora provo i vostri metodi, grazie!

Faccio sapere appena possibile

[Chill-Out]

Quote:

Originariamente inviato da ZooleaN

non avevo manco notato il tuo post.. svista

capita

[Chill-Out]

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Daniele\Application Data\hidires\hidr.exe

eccolo quà il problema di fondo

[GinkoStar]

Ottimo, grazie!

Non appena sarò riuscito a rivedere l'amato desktop però...

Ho utilizzato la funzione 1.2 (cioè sto facendo la scan con il rescue system) ?sembra che sia cominciato bene, ma dopo aver aver analizzato alcune directory lo schermo è diventato nero... rimane nero da una decina di minuti... sapete se è normale??

[GinkoStar]

ehm... è diventato nerò perché è andato in standby lo schermo... avevo paura a toccare qualche tasto per controllare... scusate

[GinkoStar]

Ho fatto la "disinfezione" con AntiVir System Restore. Ma win non parte comunqure. Ho provato a fare partire con l'opzione che abbiamo chiamato 1.1: non parte ugualmente.

Qualche consiglio?

Come posso fare a modificare (manualmente) il BOOT.INI ?

[wjmat]

sicuramente con un cd avviante tipo bartpe o ubcd... o forse semplicemente con cd di windows facendo tutto da dos...
oppure montando il disco su un altro pc o in un box usb esterno

[GinkoStar]

Anche io ho pensato ad un altro pc o box esterno, ma purtroppo non ne ho a disposizione dove mi trovo. Non conosco i "cd avvianti tipo bartpe o ubcd", potresti spiegarti meglio?
Già... fare tutto da dos... ci avevo pensato, ma non saprei come modificarlo. Non ho dei floppy a disposizione, e per quanto riguarda il modificare un .ini da dos non saprei come fare, con una "batch"? (ma rimane il problema del floppy no?)

Grazie

[ZooleaN]

Quote:

Originariamente inviato da GinkoStar

Anche io ho pensato ad un altro pc o box esterno, ma purtroppo non ne ho a disposizione dove mi trovo. Non conosco i "cd avvianti tipo bartpe o ubcd", potresti spiegarti meglio?
Già... fare tutto da dos... ci avevo pensato, ma non saprei come modificarlo. Non ho dei floppy a disposizione, e per quanto riguarda il modificare un .ini da dos non saprei come fare, con una "batch"? (ma rimane il problema del floppy no?)

Grazie

cerca ntfs4dos su google, trovi sicuramente una guida che ti spiega come creare un floppy da avvio che legge anche i dischi in NTFS..
poi ti carichi l'EDIT e modifichi il boot.ini

EDIT: oops non avevo letto che non hai floppy a disposizione.. magari con una pennina usb al boot, oppure col live cd di ubuntu.. sono solo idee però...

[GinkoStar]

Non sapevo si potesse fare il boot dalla USB...

Cioè, come si fa?

[ZooleaN]

dipende se la scheda madre lo supporta..
in soldoni fai lo stesso procedimento che faresti da floppy (stessi file), solo su usb..
all'avvio della macchina entri nel bios e cambi l'ordine di boot per le periferiche, mettendo l'usb per prima.

[Chill-Out]

Ciao segui questa procedura, mi raccomando prestare attenzione alle istruzioni:

• Inserisci il CD di XP e riavvia il PC eseguendo il Boot da Cd
• Ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
• Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza
• Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK
• Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO
• Digita il comando bootcfg /rebuild
• Premere S per accettare la domanda Aggiungere installazione
  all'elenco sistemi operativi all'avvio? (Sì/No/Tutti)
• Alla domanda Inserire l'identificatore di caricamento scrivi Windows XP 2
• Premi Invio alla domanda Inserire l'identificatore di
  caricamento
• Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare Exit al prompt dei comandi, quindi premere Invio dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows
  
• Adesso abbiamo creato un nuovo sistema operativo nel comando di avvio di boot.ini quindi quando apparirà la schermata per scegliere quale sistema operativo avviare scegli quello appena creato ovvero Windows XP 2, se hai fatto tutto correttamente Windows si dovrebbe finalmente avviare
  
• Una volta avviato Windows clicca con il tasto destro su Risorse del computer ==>> Proprietà ==>> Avanzate ==>> Avvio e ripristino ==>> Impostazion ==>> Modifica dovresti vedere qualcosa del genere:

Quote:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Windows XP 2

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Nome sistema operativo originario" /fastdetect /NoExecute=OptIn /safeboot:minimal

- quindi provvedi ad eliminare la riga contenete il nuovo sistema operativo appena creato, ovvero Windows XP 2
- mentre dalla riga del sistema operativo originale devi cancellare solo /safeboot:minimal
A questo punto chiudere boot.ini, salvare le modifiche e cliccare su Ok

Ora non rimane altro che fare un riavvio, tutto dovrebbe essere ritornato alla normalità.

[GinkoStar]

Fantastico!

Finalmente sono riuscito ad avviare Win, grazie mille!!

Ora però all'avvio una finestra dal titolo "RUNDLL" mi dice che non riesce a caricare c:\windows\system32\cgcmiema.dll: il modulo specifico non può essere trovato. È grave?

Per quanto riguarda:

Quote:

Originariamente inviato da Chill-Out

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Daniele\Application Data\hidires\hidr.exe

eccolo quà il problema di fondo

Ora AntiVir non mi notifica più la presenza del Vundo allo startup. É stato eliminato?

Allego un nuovo HJT

[wjmat]

la voce c'è ancora.... e comunque quel file è relativo a bagle, io comincerei a dare un'occhiata qui

[Chill-Out]

Si la voce c'è ancora perchè non l'abbiamo ancora fixata, dal momento che Antivir Rescue funzione 2 ha eliminato sicuramente qualche file inerente il Vundo, ma ci sono anche tracce del Bagle, a questo punto sarebbe meglio seguire la Guida alla disinfezione per avere un check up completo e intervenire in maniera mirata

In via del tutto eccezzionale ellega i log qui

[GinkoStar]

Effettivamente ho avuto problemi con il beagle in passato su questa macchina, ma grazie alla guida di questo forum ero riuscito a rimuoverlo.

Ora seguirò la guida di rimozione del beagle.

Per quanto riguarda la disinfezione dal vundo: onestamente ho un po' paura a settare il /SAFEBOOT, non dovrei?

[Chill-Out]

Io seguirei questa Guida poi fai te

Per il momento lascia stare la modalità provvisoria

[GinkoStar]

Hai ragione, se per caso faccio ancora qualche casino...
CCcleaner al lavoro!

[Chill-Out]

Quote:

Originariamente inviato da GinkoStar

Hai ragione, se per caso faccio ancora qualche casino...
CCcleaner al lavoro!

Mi raccomando allega tutti i log in un'unico post, così è più facile.

[GinkoStar]

Temo che prima di stasera non riuscirò a postare tutti i log.

Dopo aver impiegato CCcleaner, ADS Scanner, A-Squared ora è il turno di Kaspersky che però sembrerebbe non finire prima delle 17:30. Spero vivamente che le prossime scansioni riportate nella guida impieghino meno tempo!