[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[neongio]

Quote:

Originariamente inviato da Chill-Out

Intendo questa http://www.hwupgrade.it/forum/showthread.php?t=1599737

ho letto abbastanza ma non ho trovato soluzioni...non riesco a non far registrare quella dll

[Chill-Out]

Quote:

Originariamente inviato da neongio

ho letto abbastanza ma non ho trovato soluzioni...non riesco a non far registrare quella dll

Non si tratta solo di leggere ma di seguire la Guida, aprire un nuova discussione ed allegare i log dei tool indicati.

[neongio]

Quote:

Originariamente inviato da Chill-Out

Non si tratta solo di leggere ma di seguire la Guida, aprire un nuova discussione ed allegare i log dei tool indicati.

scusate se vi ho fatto perder tempo
ho risolto leggendo qui e li dopo ore perse tentando di eliminare quella dll
spero che questa soluzione serva ad altri che hanno questo problema con il file winnt32.dll

1: il file viene supportato da un driver che lo rigenera ogni volta
2: questo tipo di driver ha sempre la stessa forma (nome) 3 lettere+2numeri+.sys
3: trovato l'unico file di questo tipo in system32/driver nel mio caso era il file Wfn.sys, con una utility ho disabilitato quel servizio
4: eliminato il driver
5: eliminato il maledetto winnt32.dll
6: tolti i richiami con hijackthis
7: rifatta scansione e compagnia
8: ora sembra tutto in ordine..ma che fatica!

grazie cmq a tutti

[Chill-Out]

Quote:

Originariamente inviato da neongio

scusate se vi ho fatto perder tempo
ho risolto leggendo qui e li dopo ore perse tentando di eliminare quella dll
spero che questa soluzione serva ad altri che hanno questo problema con il file winnt32.dll

1: il file viene supportato da un driver che lo rigenera ogni volta
2: questo tipo di driver ha sempre la stessa forma (nome) 3 lettere+2numeri+.sys
3: trovato l'unico file di questo tipo in system32/driver nel mio caso era il file Wfn.sys, con una utility ho disabilitato quel servizio
4: eliminato il driver
5: eliminato il maledetto winnt32.dll
6: tolti i richiami con hijackthis
7: rifatta scansione e compagnia
8: ora sembra tutto in ordine..ma che fatica!

grazie cmq a tutti

Ok era semplicemente per escludere altre eventuali infezioni.

[Brufol8]

Vundo e FixUndo non hanno trovato nulla,
mentre allego il log di Virtumondo che sembra avere trovato e rinominato qualcosa che ora ho son riuscito finalmente a rimuovere.
Dopo qs Combo non ha dato nessun risultato.
Uscito dalla modalità provvisoria, ho fatto girare PrevX che non ha dato risultati.

[Chill-Out]

Quote:

Originariamente inviato da Brufol8

Vundo e FixUndo non hanno trovato nulla,
mentre allego il log di Virtumondo che sembra avere trovato e rinominato qualcosa che ora ho son riuscito finalmente a rimuovere.
Dopo qs Combo non ha dato nessun risultato.
Uscito dalla modalità provvisoria, ho fatto girare PrevX che non ha dato risultati.

Senza vedere i log (in perticolare quello di Combo) come faccio a risponderti.

[H3rtz]

ragazzi ho il virus vitumonde.....
allora ho seguito le vostre istruzioni:

ecco i log dei programmi seguendo il vostro ordine...

[H3rtz]

Quote:

Originariamente inviato da H3rtz

ragazzi ho il virus vitumonde.....
allora ho seguito le vostre istruzioni:

ecco i log dei programmi seguendo il vostro ordine...

ecco gli altri log

[H3rtz]

il virus è rimasto e nn so cosa fare.. formatto??

[Chill-Out]

Quote:

Originariamente inviato da H3rtz

ragazzi ho il virus vitumonde.....
allora ho seguito le vostre istruzioni:

ecco i log dei programmi seguendo il vostro ordine...

Hai saltato il punto 3 nel tuo caso è importante

[H3rtz]

Quote:

Originariamente inviato da Chill-Out

Hai saltato il punto 3 nel tuo caso è importante

si l ho fatto e nel log mi è apparso questo

Codice:

Ran on 17/05/2008 - 20.49.24,42

diceva 0 risultati..

[Chill-Out]

NB: ripristino configurazione sistema disattivato

Apri il Blocco Note copia e incolla queste righe:

Quote:

RenV::
C:\Documents and Settings\Andrea\ALCMTR .exe
C:\Documents and Settings\Andrea\RTHDCPL .exe
C:\Documents and Settings\Andrea\rundll32.exe bthprops .exe
C:\Documents and Settings\Andrea\SkyTel .exe
C:\Programmi\File comuni\Nero\Lib\NeroCheck .exe
C:\Programmi\HP\HP Software Update\HPWuSchd2 .exe
C:\WINDOWS\system32\ctfmon .exe

File::
C:\WINDOWS\system32\hdbhvwad.ini

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

[H3rtz]

ekko il file del log...

[Chill-Out]

Quote:

Originariamente inviato da H3rtz

ekko il file del log...

è incompleto

[H3rtz]

Quote:

Originariamente inviato da Chill-Out

è incompleto

come incompleto???

[H3rtz]

Quote:

Originariamente inviato da Chill-Out

è incompleto

ecco il file completo

[Chill-Out]

Quote:

Originariamente inviato da H3rtz

ecco il file completo

Adesso ci siamo, prosegui col Punto 6 - 7 etc.......

NB: Prevx dopo aver terminato la scansione cliccare sull'icona di Prevx CSI nella TrayBar (affianco all'orologio di Windows) con il tasto destro del mouse e selezionare la funzione "View the result of your last scan online" (guarda il risultato dell'ultima scansione online), si aprirà il Browser quindi copiare l'url della pagina visualizzata e pubblicarlo

[Slide]

Salve ragazzi, per fortuna vi ho scovato in questo thread
Credo di esser colpito da questo virus. Da qualche giorno Nod32 mi segnala la presenza di "Trojan Horse Win32/PrivacySet.A", e SpyBot S&D mi segnala sempre Virtumonde.dll.

Prima di arrivare a questa guida ho smanettato in modalità provvisoria con i seguenti programmi:
1. scansione con il nod32
2. scansione con SpyBot
3. scansione con ClamWin Antivirus

Poi ho trovato questo thread sul forum.
Con la guida ho avuto qualche problema nei seguenti punti:

Quote:

4.VirtumundoBeGone

Mi è apparsa una schermata blue, ho riavviato il pc ed a quel punto ho avuto paura di riavviare il programma.

Quote:

6) Fare una scansione con Prevx CSI

Mi ha trovato dei virus in system32, ma essendo la versione trial non ho potuto rimuoverli

Screenshot di Prevx CSI: QUI

Quote:

9) Fare una scansione con FindAWF e postare il log

Mi ha tirato fuori un log lunghissimo (400 e passa KB) che per ora non allego.

Passo ad allegare i log di Combofix, hijackthis, fixvundo.

ALLEGATI:
ComboFix.txt
FixVundo.log
hijackthis.log

I tre file in un RAR
Altro Mirror: QUI (altervista fa i capricci)

Screenshot di Prevx CSI: QUI



Prevx CSI mi rileva i seguenti file infetti:



Grazie davvero dell'aiuto

[Slide]

EDIT: Errore doppio post, sorry.

[wjmat]

x slide
CARICA CORRETTAMENTE I LOG SECONDO QUESTE REGOLE
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.