[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[GinkoStar]

In questo zip i log delle diverse scansioni:

http://www.filecrunch.com/fileDownlo...&fileId=145685

Kaspersky ha creato un log di quasi 100MB: l'ho snellito drasticamente lasciando solo le infezioni che ha trovato.
Prevxcsi non ha rilevato alcun malware.

[wjmat]

non zipparli i log e usa i server remoti segnalati nel regolamento
-su F: sembra ancora attivo il ripristino di configurazione ( o forse è un vecchio disco su cui c'era un sistema operativo?)
-kaspersky segnala ancora vundo
-le conosci queste voci

Codice:

O4 - HKLM\..\Run: [CS Fire Monitor] C:\Program Files\CS Fire Monitor\CSFireMon.exe /startup
O4 - HKLM\..\Run: [start_cablecom volumecounter] C:\Program Files\cablecom\Contatore volume hispeed\volumecounter.exe
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Family%20Feud%202/Images/stg_drm.ocx
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Family%20Feud%202/Images/armhelper.ocx
O23 - Service: m2PacketcounterService (_service) - mquadr.at - C:\Program Files\cablecom\Contatore volume hispeed\packetservice.exe

[Chill-Out]

Per favore i log solo in formato .txt da hostare su i server qui http://www.hwupgrade.it/forum/showthread.php?t=1589984 indicati

[GinkoStar]

Grazie mille per la risposta.

Per ora vanno bene dove li ho lasciati o devo metterli anche da un'altra parte i log?

-F è un' altro HD (fisicamente, non una partizione) dove c'era una copia di windows una volta, ora solo files.

-CS Fire Monitor è un prog che uso
-Cablecom lo conosco, ma se pensi ci siano problemi lo posso cancellare, non lo uso più
-SpinTop DRM Control non so cosa sia
-ActiveScan 2.0 Installer Class è di uno dei tanti scan che ho fatto in passato (Panda)
-ArmHelper Control non so cosa sia
-mquadr.at vale quello che ho detto per il secondo file

[GinkoStar]

Fatto

In allegato alcuni logs, gli altri:

Sysinspector:

http://wikisend.com/download/635234/...08-1848XML.txt

Gmer

http://wikisend.com/download/634994/gmer.txt

A-Square

http://wikisend.com/download/634982/...508-113631.txt

[Chill-Out]

La situazione dovrebbe essere notevolmente migliorata

1 NB: il ripristino configurazione sistema deve essere disabilitato su tutte le partizioni

2 Fare pulizia con CCleaner come indicato in Guida al punto 5

3 Cosa nei hai fatto delle tracce rilevate da A-Squared perchè dal log non si capisce che azione hai intrapreso

3 Dal log di CureIt:

Quote:

mirc.chm\ctcp_events.htm;C:\Program Files\mIRC\mirc.chm;IRC.Generic.32;;
mirc.chm;C:\Program Files\mIRC;l'Archivio contiene oggetti infetti;Spostato.;
mirc.exe;C:\Program Files\mIRC;Program.mIRC.621;Spostato.;

trattasi di falso positivo se vuoi puoi ripristinarli

4 Esegui HijackThis clicca su Do asystem scan only - metti il segno di spunta a sx della casella bianca in corrispondenza delle sottoindicate voci e clicca su Fix checked

O2 - BHO: (no name) - {F84364C8-733E-4C94-87B8-4A9D63ED9DC2} - (no file)
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Family%20Feud%202/Images/stg_drm.ocx
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/actives.../as2stubie.cab

5 Manca la scansione con Prevx CSI indica nel prossimo post il link per visualizzare i risultati

6 Allegami un log di questo tool http://noahdfear.geekstogo.com/FindAWF.exe

Riepilogo log da allegare
Prevx CSi -->> link
FindAWF
Nuovo log di HijackThis

Ciao

Edit: il log di SysInspector lo devi lasciare in formato xml come indicato in Guida se no a controllarlo mi ci voglioni 20 giorni

[GinkoStar]

Ho nuovamente fatto girare CCleaner.

Le tracce rilevate da A-Squared le avevo eliminate.

Fixate le voci di HJT, in allegato il nuovo log

Prevx Csi non ha trovato niente ne in precedenza ne ora ( http://csia0.prevx.com/individualcsi...SIPLUS&CMD=LSR )

XML di SysInspector: http://wikisend.com/download/634158/...80508-1848.xml

FindAWF non ha trovato nulla

EDIT
Dimenticavo di dire (ma forse lo si evince già dai log) che AntiVir non rileva più traccia di alcun virus!

[wjmat]

pulito!
Dai un'occhiata al Trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Guarda bene il punto 13 per disinstallare kasp

[Chill-Out]

Questa voce è rimasta indietro, da fixare con il Browser chiuso

O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Family%20Feud%202/Images/armhelper.ocx

al termine nuovo log di HijackThis, per il resto siamo OK, ciao.

[GinkoStar]

GRAZIE MILLE a tutti quelli che mi hanno aiutato! Mi avete salvato mesi di lavoro!

Un grazie in modo particolare a Chill-Out!

P.S. in allegato l'ultimo log di HJT

[wjmat]

vedo ancora Kaspersky... disinstallalo come ti ho detto sopra e riavvia poi per il resto sei a posto

[Chill-Out]

Prego di nulla, segui il Trattamento Post Disinfezione come indicato anche da wjmat, tra l'altro hai alcuni software complementari da aggiornare.

[GinkoStar]

Fatto tutto.

Grazie ancora ragazzi!!

[Pasko1983]

ciao gente, volevo ringraziarvi per avermi fatto perdere una giornata dietro ai vostri stupidi programmini... vundofix, fixvundo, hijack this...
tutte perdite di tempo
la soluzione era semplice: lanciare msconfig, disabilitare i processi collegati ai file infetti all'avvio di windows, cancellare suddetti fille e il computer tornava pulito...
al riavvio ho trovato solo un altro virus che l'antivirus (antivir free) è riuscito comodamente a cancellare, visto che il processo infetto era stato disattivato...
era poi così difficile?

[wjmat]

probabilmente ci sono diverse forme di infezione... tu ti sei preso quella leggera

[Chill-Out]

Quote:

Originariamente inviato da Pasko1983

ciao gente, volevo ringraziarvi per avermi fatto perdere una giornata dietro ai vostri stupidi programmini... vundofix, fixvundo, hijack this...
tutte perdite di tempo
la soluzione era semplice: lanciare msconfig, disabilitare i processi collegati ai file infetti all'avvio di windows, cancellare suddetti fille e il computer tornava pulito...
al riavvio ho trovato solo un altro virus che l'antivirus (antivir free) è riuscito comodamente a cancellare, visto che il processo infetto era stato disattivato...
era poi così difficile?

Che dire ottimo esordio per essere il tuo primo post

[neongio]

sono sicuro al 99% di avere un virtumonde nel pc ma dopo ore perse non riesco ancora a toglierlo del tutto

questo è quello che leggo nei log (ho ripulito al meglio con hijact ma non so cosa altro fare)

PREVX segnala sempre dei file infetti e anche dopo averli cancellati, al riavvio ne trova altri, pochi ma ne trova
vedere allegato

PENSO DI AVER TOLTO IL PIù GROSSO MA HO PAURA CHE RESTI ANCORA QUALCOSA
VEDI ALLEGATI
se possibile un aiuto...grazie a tutti

[wjmat]

riedita il tuo post allegando i log come hai fatto per la foto oppure caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.

La tua versione di Hijackthis non è aggiornata....scarica da qui l'ultima versione e mettila in una sua cartella dedicata, rifai la scansione e ricarica il nuovo log.

[neongio]

Quote:

Originariamente inviato da wjmat

riedita il tuo post allegando i log come hai fatto per la foto oppure caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.

La tua versione di Hijackthis non è aggiornata....scarica da qui l'ultima versione e mettila in una sua cartella dedicata, rifai la scansione e ricarica il nuovo log.

ho fatto grazie

[Chill-Out]

Quote:

Originariamente inviato da neongio

ho fatto grazie

Che sintomi presenta il Pc si aprono pop-up pubblicitari indesiderati?

Controlla su www.virustotal.com e http://virusscan.jotti.org/ questo file bxnvewsl.dll che trovi in questo percoso C:\Windows\system32

Per virustotal.com basta indicare il link dove visualizzare i risultati, per jotti inserisci nel quote i risultati ottenuti

Per quanto riguarda FI786F.exe in C:\Windows\TEMP dovrebbe essere l'office scan di Trend Micro verifca che il file abbia un'icona a mò di cane