[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!! - Pagina 43

alex75it · 28-06-2008, 03:01

Eccoli:

awf1.txt

**Chill-Out** · 28-06-2008, 09:22

Quote:

Originariamente inviato da alex75it

Eccoli:

awf1.txt

Apri il Blocco Note copia e incolla queste righe:

Quote:

File::
C:\WINDOWS\system32\nubcrdoe.dll
C:\WINDOWS\system32\dfmnkvax.dll
C:\WINDOWS\BMf3cef77f.xml

Filelook::
C:\WINDOWS\system32\dpfbcpml.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0E895969-C35C-4A8F-8948-17DFACCFF29C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F5C6B664-5F27-4A93-8550-8B15B7F35C27}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Al termine prosegui con le scansioni indicate in Guida ovvero Superantispyware e F-Secure

Riepilogo log da allegare:
Combofix
Superantispyware
F-Secure
Log di HijackThis leggi qui: http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 7

alex75it · 28-06-2008, 20:42

Ok provvedo al + presto a postare quanto richiesto.
Nota.
Dopo aver fatto le operazioni del post # 846,
il pc ad ogni avvio mi da il seguente errore:

wjmat · 28-06-2008, 21:21

in quel post ho dovuto farti rimpiazzare il file originale a quello corrotto

Codice:

C:\Programmi\MSN Messenger\bak\MsnMsgr.Exe | C:\Programmi\MSN Messenger\MsnMsgr.Exe

probabilmente si è corrotto anche altro...
prova con una reinstallazione di msn

alex75it · 28-06-2008, 21:50

Quote:

Originariamente inviato da wjmat

in quel post ho dovuto farti rimpiazzare il file originale a quello corrotto

Codice:

C:\Programmi\MSN Messenger\bak\MsnMsgr.Exe | C:\Programmi\MSN Messenger\MsnMsgr.Exe

probabilmente si è corrotto anche altro...
prova con una reinstallazione di msn

Scusa,non so se hai letto anche l'altro post....quando mi hai fatto fixare
quella riga con hijackthis....per curiosita' subito dopo ho fatto una nuova scansione e mela ridava....
(post # 839 - 840)
continuo come mi hanno indicato e tralascio la riga di cui sopra?

wjmat · 29-06-2008, 13:25

Quote:

Originariamente inviato da alex75it

Scusa,non so se hai letto anche l'altro post....quando mi hai fatto fixare
quella riga con hijackthis....per curiosita' subito dopo ho fatto una nuova scansione e mela ridava....
(post # 839 - 840)
continuo come mi hanno indicato e tralascio la riga di cui sopra?

non fare confusione

in hjt ti avevo fatto fixare questo
http://www.hwupgrade.it/forum/showpo...&postcount=839

mentre con avenger avevamo sovrascitto in file MsnMsgr.Exe corrotto con quello originale della cartella bak.

segui quanto ti ha detto chill che risolviamo

alex75it · 29-06-2008, 20:30

Quote:

Originariamente inviato da wjmat

non fare confusione

in hjt ti avevo fatto fixare questo
http://www.hwupgrade.it/forum/showpo...&postcount=839

mentre con avenger avevamo sovrascitto in file MsnMsgr.Exe corrotto con quello originale della cartella bak.

segui quanto ti ha detto chill che risolviamo

Si scusa non e' che faccio confusione...ma quasi non ci sto capendo + niente

Cmq Messenger reinstallato, tutto ok.
Vado subito a fare quanto indicato da chill.....

alex75it · 29-06-2008, 22:55

Quote:

Originariamente inviato da Chill-Out

Apri il Blocco Note copia e incolla queste righe:

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Al termine prosegui con le scansioni indicate in Guida ovvero Superantispyware e F-Secure

Riepilogo log da allegare:
Combofix
Superantispyware
F-Secure
Log di HijackThis leggi qui: http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 7

Allora, dopo aver trascinato il file creato su combofix,
il PC si e' riavviato, ed al riavvio ho questo errore:

comunque questo e' il log di combofix:

combo29062008.txt

poi.....superantispyware, non mi ha dato il log...o non sono stato io capace,
cmq mi aveva rilevato e messo in quarantena tipo 28 adware,
e 2 trojan (o qlcosa di simile) c'era vundo variant/small

a seguire gli altri log:

fsecure.txt

hijackthis2906.txt

attendo fiducioso

wjmat · 29-06-2008, 23:24

Il log di superantispyware lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BMf3cef77f] Rundll32.exe "C:\WINDOWS\system32\nubcrdoe.dll",s
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

alex75it · 30-06-2008, 00:21

Ecco:

SUPERAntiSpyware Scan Log - 06-29-2008 - 21-11-06.log

nuovohijackthis.txt

non vorrei illudermi.....ma dopo gli ultimi passaggi il pc mi sembra che va meglio....o cmq almeno le pagine web ora si aprono....

wjmat · 30-06-2008, 00:33

Quote:

Originariamente inviato da alex75it

Ecco:

SUPERAntiSpyware Scan Log - 06-29-2008 - 21-11-06.log

nuovohijackthis.txt

non vorrei illudermi.....ma dopo gli ultimi passaggi il pc mi sembra che va meglio....o cmq almeno le pagine web ora si aprono....

con superantispyware fai la scansione completa

**Chill-Out** · 30-06-2008, 09:35

Dimmi se hai ancora il problema indicato qui: http://www.hwupgrade.it/forum/showpo...&postcount=854 che non è nulla di preoccupante è solo un rimasuglio del Vundo per il resto dovremmo essere ok, allega il log completo di SAS.

alex75it · 30-06-2008, 15:02

NON ho piu' quel problema....e apparentemente tutto e' tornato alla normalita'....ecco il log della scansione completa son SAS:

SUPERAntiSpyware Scan Log - 06-30-2008 - 14-50-47.log

**Chill-Out** · 30-06-2008, 15:42

Quote:

Originariamente inviato da alex75it

NON ho piu' quel problema....e apparentemente tutto e' tornato alla normalita'....ecco il log della scansione completa son SAS:

SUPERAntiSpyware Scan Log - 06-30-2008 - 14-50-47.log

Bene, ti suggerisco di leggere il Trattamento di prevenzione / post disinfezione

alex75it · 30-06-2008, 16:02

Quote:

Originariamente inviato da Chill-Out

Bene, ti suggerisco di leggere il Trattamento di prevenzione / post disinfezione

Lo faro' stasera....problema risolto?

**Chill-Out** · 30-06-2008, 16:08

Quote:

Originariamente inviato da alex75it

Lo faro' stasera....problema risolto?

Direi di si, davanti al Pc ci sei tu, se non riscontri anomalie abbiamo finito

Steel89 · 30-06-2008, 21:38

Ciao a tutti.
Da qualche giorno ho qualche problema con internet, ed ho notato che anche io mi sono beccato il Vundo.
Ora sono al punto di SuperAntiSpyware, però volevo chiedervi una cosa.

Praticamente, ormai tutte le volte che utilizzo Firefox3, dopo un certo momento mi crasha explorer (Esplora risorse ha smesso di funzionare) e quando lo chiudo mi fa impossibile connettersi, cosi' devo fare il refresh della pagina...
Qualcuno sa dirmi se può essere un problema riguardante al Vundo?

Ora finisco la scansione, poi vedrò... al massimo allego i log domani...

EDIT: Rimosso, riavviato e tolto i Run da regedit..
ora sembra che esplora risorse non crashi più.. e la linea cada di meno...

alex75it · 01-07-2008, 00:15

Ragazzi, allora mio personale e pubblico ringraziamento a WJMAT e CHILL-OUT
....senza di voi avrei formattato.....grazie siete dei genii.

Untima rottura:
Mi consigliate di sostituire Avast con Avira Antivir come indicato in guida post infezione ?

wjmat · 01-07-2008, 00:22

Quote:

Originariamente inviato da alex75it

Ragazzi, allora mio personale e pubblico ringraziamento a WJMAT e CHILL-OUT
....senza di voi avrei formattato.....grazie siete dei genii.

Untima rottura:
Mi consigliate di sostituire Avast con Avira Antivir come indicato in guida post infezione ?

antivir a vita!

wjmat · 01-07-2008, 00:28

Quote:

Originariamente inviato da Steel89

Ciao a tutti.
Da qualche giorno ho qualche problema con internet, ed ho notato che anche io mi sono beccato il Vundo.
Ora sono al punto di SuperAntiSpyware, però volevo chiedervi una cosa.

Praticamente, ormai tutte le volte che utilizzo Firefox3, dopo un certo momento mi crasha explorer (Esplora risorse ha smesso di funzionare) e quando lo chiudo mi fa impossibile connettersi, cosi' devo fare il refresh della pagina...
Qualcuno sa dirmi se può essere un problema riguardante al Vundo?

Ora finisco la scansione, poi vedrò... al massimo allego i log domani...

EDIT: Rimosso, riavviato e tolto i Run da regedit..
ora sembra che esplora risorse non crashi più.. e la linea cada di meno...

postaci i log che verifichiamo, non basta disattivarli dallo startup

28-06-2008, 21:21	#844
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	in quel post ho dovuto farti rimpiazzare il file originale a quello corrotto Codice: C:\Programmi\MSN Messenger\bak\MsnMsgr.Exe \| C:\Programmi\MSN Messenger\MsnMsgr.Exe probabilmente si è corrotto anche altro... prova con una reinstallazione di msn __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

29-06-2008, 23:24	#849
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	Il log di superantispyware lo recuperi dal programma -> Preferences... -> Statistics/Logs oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso %appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio) Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log _________________________________________________________________________________________ Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema. Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli. Le eventuali voci O16 dovranno essere fixate con IE chiuso. Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Codice: O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [BMf3cef77f] Rundll32.exe "C:\WINDOWS\system32\nubcrdoe.dll",s O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

30-06-2008, 09:35	#852
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Dimmi se hai ancora il problema indicato qui: http://www.hwupgrade.it/forum/showpo...&postcount=854 che non è nulla di preoccupante è solo un rimasuglio del Vundo per il resto dovremmo essere ok, allega il log completo di SAS. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

30-06-2008, 21:38	#857
Steel89 Senior Member Iscritto dal: Oct 2005 Città: Cuneo Messaggi: 1633	Ciao a tutti. Da qualche giorno ho qualche problema con internet, ed ho notato che anche io mi sono beccato il Vundo. Ora sono al punto di SuperAntiSpyware, però volevo chiedervi una cosa. Praticamente, ormai tutte le volte che utilizzo Firefox3, dopo un certo momento mi crasha explorer (Esplora risorse ha smesso di funzionare) e quando lo chiudo mi fa impossibile connettersi, cosi' devo fare il refresh della pagina... Qualcuno sa dirmi se può essere un problema riguardante al Vundo? Ora finisco la scansione, poi vedrò... al massimo allego i log domani... EDIT: Rimosso, riavviato e tolto i Run da regedit.. ora sembra che esplora risorse non crashi più.. e la linea cada di meno... __________________ CASE: Asus Vento A8 \|MBR: Asus P5B \|CPU: Intel Core 2 Quad Q9550 \|HDD: 400Gb Maxtor \|RAM: 8Gb Kingston 800Mhz \|VGA: Asus GeForce GTX 560 TI DirectCuII TOP \| MOUSE: Razer Lachesis 3G \|LCD: ASUS 19" \|OS: Windows 7 RTM x64 \|TV: Sony Bravia KDL-40 NX700 La mia galleria di DeviantART. \|® SteelFlash Visual Style Creator. \|® Cur7ed Beta Visual Style Creator. \|Audi A3 Ultima modifica di Steel89 : 30-06-2008 alle 22:55.

28-06-2008, 20:42	#843
alex75it Member Iscritto dal: Dec 2006 Città: Napoli Messaggi: 116	Ok provvedo al + presto a postare quanto richiesto. Nota. Dopo aver fatto le operazioni del post # 846, il pc ad ogni avvio mi da il seguente errore:

30-06-2008, 00:21	#850
alex75it Member Iscritto dal: Dec 2006 Città: Napoli Messaggi: 116	Ecco: SUPERAntiSpyware Scan Log - 06-29-2008 - 21-11-06.log nuovohijackthis.txt non vorrei illudermi.....ma dopo gli ultimi passaggi il pc mi sembra che va meglio....o cmq almeno le pagine web ora si aprono....

30-06-2008, 15:02	#853
alex75it Member Iscritto dal: Dec 2006 Città: Napoli Messaggi: 116	NON ho piu' quel problema....e apparentemente tutto e' tornato alla normalita'....ecco il log della scansione completa son SAS: SUPERAntiSpyware Scan Log - 06-30-2008 - 14-50-47.log

01-07-2008, 00:15	#858
alex75it Member Iscritto dal: Dec 2006 Città: Napoli Messaggi: 116	Ragazzi, allora mio personale e pubblico ringraziamento a WJMAT e CHILL-OUT ....senza di voi avrei formattato.....grazie siete dei genii. Untima rottura: Mi consigliate di sostituire Avast con Avira Antivir come indicato in guida post infezione ?

Strumenti
Mostra una versione stampabile Invia questa pagina per email