[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[Chill-Out]

Quote:

Originariamente inviato da wjmat

chill un fix a qualche decina di 04 per alleggerirgli il sistema, dato che ne ha qualche centinaia... può servire?

gli ci vorranno 15 minuti in avvio, ma dopo che il sistema ha fatto il caricamento, semmai dopo sicuramente.

[Ringo90]

Quote:

Originariamente inviato da Chill-Out

gli ci vorranno 15 minuti in avvio, ma dopo che il sistema ha fatto il caricamento, semmai dopo sicuramente.

Ti ringrazio ma ormai formatto: non ho scelta, il pc dura a stento qualche minuto prima di spegnersi. Forse è la ventola del processore. E' un rumore tipo quello... come dire... delle linee telefoniche?
Forse dirò una sciocchezza, ma esistono di malware o roba simile che possono "appesantire" il processore fino a un livello limite che lo costringe a spegnere tutto?

[Chill-Out]

Quote:

Originariamente inviato da Ringo90

Ti ringrazio ma ormai formatto: non ho scelta, il pc dura a stento qualche minuto prima di spegnersi. Forse è la ventola del processore. E' un rumore tipo quello... come dire... delle linee telefoniche?
Forse dirò una sciocchezza, ma esistono di malware o roba simile che possono "appesantire" il processore fino a un livello limite che lo costringe a spegnere tutto?

Un conto è formattare e ripartire con un sistema pulito e lindo, un'altro conto sono i problemi descritti, apri il case e pulisci il PC accumuli di polvere e affini possono dare problemi di surriscaldamento. Puoi utilizzare quelle bombolette di aria compressa che si trovano facilmente in commercio, non dirigere il getto ad una distanza inferiore ai 20cm e quando soffi sulle ventoline premurati di bloccarle con l'utilizzo di una matita, non devono girare a vuoto.

[Bugs Bunny]

guida aggiornata.

[Ringo90]

Quote:

Originariamente inviato da Chill-Out

Un conto è formattare e ripartire con un sistema pulito e lindo, un'altro conto sono i problemi descritti, apri il case e pulisci il PC accumuli di polvere e affini possono dare problemi di surriscaldamento. Puoi utilizzare quelle bombolette di aria compressa che si trovano facilmente in commercio, non dirigere il getto ad una distanza inferiore ai 20cm e quando soffi sulle ventoline premurati di bloccarle con l'utilizzo di una matita, non devono girare a vuoto.

Grazie dei consigli, sembra sia proprio surriscaldamento, vi farò sapere!

[scimo]

ciao ragazzi ho fatto tutti i passi della guida....questi sono i post
http://www.mediafire.com/?0m29d1mmmuy
http://www.mediafire.com/?smdz9xtmjvm
http://www.mediafire.com/?xmndv9zsdyj
http://www.mediafire.com/?90zsnjo0iwg
http://www.mediafire.com/?9qxfh119lvv
http://www.mediafire.com/?sg0njqetllw
http://www.mediafire.com/?gwi6q939m3y

ho aggiunto anche un log di gmer perchè mi visualizza questo

Codice:

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-05-31 00:02:31
Windows 5.1.2600 Service Pack 3


---- Devices - GMER 1.0.14 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

secondo voi come sto?????
ho ancora un problema, non mi si apre firefox (quando clicco sull'icona mi dice che il processo è avviato ma non risponde e quindi consiglia o di chiudere il processo o di riavviare il computer, ovviamente ho fatto entrambe le cose ma niente)

[wjmat]

Quote:

Originariamente inviato da scimo

secondo voi come sto?????
ho ancora un problema, non mi si apre firefox (quando clicco sull'icona mi dice che il processo è avviato ma non risponde e quindi consiglia o di chiudere il processo o di riavviare il computer, ovviamente ho fatto entrambe le cose ma niente)

Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log

Codice:

O2 - BHO: (no name) - {26E5C0EA-804D-4CF7-AD9A-601FC0593BC9} - (no file)
O2 - BHO: (no name) - {3FF95E94-672D-4A6B-A9F4-C571810A506B} - C:\WINDOWS\system32\hgGaaXro.dll (file missing)
O2 - BHO: (no name) - {F298BD63-DC96-400D-A5D0-951B2F141A57} - C:\WINDOWS\system32\urqRHWqq.dll (file missing)
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

Disinstalla correttamente firefox leggendo qui e qui poi reinstallalo.

La toolbar di winamp io lo disinstallarei in favore di foxy tunes
https://addons.mozilla.org/it/firefox/addon/219

[scimo]

ho fatto come dicevi posto il log di hijackthis
per quanto riguarda firefox avevo provato a disintallarlo normalmente ma non dava risultati, ma ora avendo tolto anche il profilo è ripartito, come mai??
la toolbar la tolgo proprio tanto non mi serve

grazie wjmat sei il mio Salvatore

[wjmat]

leggi il trattamento che ho in firma che hai da disinstallare i tool utilizzati e mettere il pc in sicurezza.
ciao

[scimo]

@wjmat
una curiosità nel post 726 in cui ho allegato il log di gmer (è piccolissimo non ti preoccupare ) che cos'è quella stringa che ha trovato????

[xcdegasp]

Quote:

Originariamente inviato da scimo

ho fatto come dicevi posto il log di hijackthis
per quanto riguarda firefox avevo provato a disintallarlo normalmente ma non dava risultati, ma ora avendo tolto anche il profilo è ripartito, come mai??
la toolbar la tolgo proprio tanto non mi serve

grazie wjmat sei il mio Salvatore

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [DMXLauncher] "C:\Programmi\Roxio\CinePlayer\DMXLauncher.exe"
O4 - HKCU\..\Run: [Red Swoosh] C:\Programmi\RSSoft\RedSwoosh.exe /S
O20 - Winlogon Notify: usbmon - C:\WINDOWS\

[wjmat]

Quote:

Originariamente inviato da scimo

@wjmat
una curiosità nel post 726 in cui ho allegato il log di gmer (è piccolissimo non ti preoccupare ) che cos'è quella stringa che ha trovato????

se non è in rosso o riguarda MBR rootkit non è nulla di preoccupante

[scimo]

Quote:

Originariamente inviato da xcdegasp

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.

ok ho fatto come mi hai detto thanks

[Almor81]

Salve a tutti, anche io come altri qui del resto sono stato infettato da questo trojan. Seguendo la vostra guida ho rimosso il tutto, soltanto ora ho un problema ossia:
quando accendo il pc ed entro con un qualsiasi account mi si apre una finestra di ERRORE con scritto "Errore durante il caricamento di C:\Windows\system32\ouptucmu.dll
Impossibile trovare il modulo specificato."
Mi sapete aiutare a risolvere questo problema che mi si ronnova puntualmente ad ogni riavvio??

Vi invio cmq un log che ho fatto con hijackthis: hijackthis.log

Vi ringrazio in anticipo per ogni risposta di aiuto.

[xcdegasp]

Quote:

Originariamente inviato da Almor81

Salve a tutti, anche io come altri qui del resto sono stato infettato da questo trojan. Seguendo la vostra guida ho rimosso il tutto, soltanto ora ho un problema ossia:
quando accendo il pc ed entro con un qualsiasi account mi si apre una finestra di ERRORE con scritto "Errore durante il caricamento di C:\Windows\system32\ouptucmu.dll
Impossibile trovare il modulo specificato."
Mi sapete aiutare a risolvere questo problema che mi si ronnova puntualmente ad ogni riavvio??

Vi invio cmq un log che ho fatto con hijackthis: hijackthis.log

Vi ringrazio in anticipo per ogni risposta di aiuto.

riesegui HiJackThis optando per la funzione "Scan Only", a fine scansione il tasto in basso a sinistra si chiamerà"Fix Checked", selezionare le righe da fixare quindi premere questo pulsante.

fixa:

Codice:

O4 - HKLM\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe
O4 - HKLM\..\Run: [googletalk] C:\Programmi\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [0474527a] rundll32.exe "C:\WINDOWS\system32\ouptucmu.dll",b
O4 - HKCU\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

in questo modo non dovresti più avere quell'errore allo startup

[Almor81]

Veramente,veramente grazie! Sei stato grandioso. Ora il computer funziona che è una meraviglia.
Ciao ciao

[wjmat]

Dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

[lancetta]

Quote:

Originariamente inviato da Nicos18

alcuni link non vanno? come potrei fare? sul link renv mi dice 404 not found. potete fornire qualche link alternativo, dato che non riesco a usare i motori di ricerca? Grazie

Renv non serve nel tuo caso continua col resto della guida

[Chill-Out]

Apri il Blocco Note copia e incolla queste righe:

Quote:

File::
C:\WINDOWS\system32\tuvSkJdd.dll
C:\WINDOWS\system32\qgtvvogo.dll
C:\WINDOWS\system32\agewnpcs.dll
C:\WINDOWS\system32\kmwgkdxf.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32F47512-7C1E-417F-ABD5-AAB109790025}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{eceee1e4-5bab-4db4-b340-ab7e0eca9aa6}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Poi prosegui con il punto 6 ed il punto 7, ricorda di allegare i log

[paraidy]

So che non è di molta utilità questo post, però volevo ringraziarvi, ho seguito passo per passo la guida con le varie varianti e son riuscito alla fine a mandare in panchina questo Virus maledetto (spero che non torni titolare ) grazie raga siete dei mostri!