[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[wjmat]

Quote:

Originariamente inviato da Chill-Out

Così è Ok

grazie chill, le sottostringhe vengono così eliminate di conseguenza...

x ClaKK

Apri il Blocco Note e incolla tutto il codice qui sotto

Codice:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8606fe0c-f5be-11dc-9aea-0011675ac4b7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6a7f41b-0e4b-11dc-80ca-806d6172696f}]

Salva il file sul Desktop come CFScript.txt → Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione → al termine il PC si dovrebbe ravviare ( eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

[heruannie]

Ciao! Non riesco ad utilizzare VirtumundoBeGone in modalità provvisoria, si riavvia il sistema. Adesso non ricordo il messaggio in inglese, diceva qualcosa a proposito di un'impostazione. Cosa devo fare? Ci tengo a seguire tutto il procedimento ><

[wjmat]

Quote:

Originariamente inviato da heruannie

Ciao! Non riesco ad utilizzare VirtumundoBeGone in modalità provvisoria, si riavvia il sistema. Adesso non ricordo il messaggio in inglese, diceva qualcosa a proposito di un'impostazione. Cosa devo fare? Ci tengo a seguire tutto il procedimento ><

virtumonde è poco rilevante
Scarica Norman Vundo cleaner da qui → Disconnetti il pc da internet → Riavvia il pc → Esegui il file precedentemente scaricato → Clicca sulle dll infette trovate e seleziona Clean All
Segnala poi se è stato trovato qualcosa
Poi passa a combofix

[xcdegasp]

Quote:

Originariamente inviato da heruannie

Ciao! Non riesco ad utilizzare VirtumundoBeGone in modalità provvisoria, si riavvia il sistema. Adesso non ricordo il messaggio in inglese, diceva qualcosa a proposito di un'impostazione. Cosa devo fare? Ci tengo a seguire tutto il procedimento ><

perchè quasi sicuramente hai ancora attiva la funzine di riavvio automatico in caso di errore e sicuramente quel bsod (= schermata blu) è causta da un virus, quindi vai in:
pannello dicontrollo -> sistema -> avanzate -> avvio e ripristino -> impostazioni e disabilita "Riavvia automaticamente in caso d'errore"

[heruannie]

uhm questi i log

virtumondebegone

combo

kaspersky (proprio non arrivo a capire come potevo avere tutti questi file, ci sono volute 6 ore per cancellare tutto)

superantispyware

hijackthis

[wjmat]

Quote:

Originariamente inviato da heruannie

uhm questi i log

virtumondebegone

combo

kaspersky (proprio non arrivo a capire come potevo avere tutti questi file, ci sono volute 6 ore per cancellare tutto)

superantispyware

hijackthis

azzz kasp ti ha travato infetto tutta la musica... aspetta a rimuovere kasp, in modo da tenere ancora tutta la roba nella quarantena

Fai una scansione completa con Superantispyware
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

[heruannie]

il punto è che tutta quella musica io non l'ho mai avuta, inoltre non era visibile tranne quando facevo la scansione boh!

[wjmat]

Quote:

Originariamente inviato da heruannie

il punto è che tutta quella musica io non l'ho mai avuta, inoltre non era visibile tranne quando facevo la scansione boh!

come ti sembra il pc ora?

[heruannie]

Quote:

Originariamente inviato da wjmat

come ti sembra il pc ora?

credo meglio

[wjmat]

dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[HKing]

ciao a tutti ho eliminato virtumonde infatti gli aggiornamenti automatici sn attivi e prima diceva di no ed erano attivi.Adesso la lan è scollegata e non riesco + a connettermi a internet.Ho seguito la guida TUTTA. aiuto!! La connessione senza fili funziona infatti ora sto scrivendo con il portatile.Ogni tnt quando riavvio mi dice acquisizione indirizzo di rete ma lo fa sempre e nn dice attiva.
hjackthis http://www.fileqube.com/shared/kxZyxB71801

combofix http://www.fileqube.com/shared/iIVIY71803
vitumondebegone http://www.fileqube.com/shared/ARxgeixDB71804

[wjmat]

Quote:

Originariamente inviato da HKing

ciao a tutti ho eliminato virtumonde infatti gli aggiornamenti automatici sn attivi e prima diceva di no ed erano attivi.Adesso la lan è scollegata e non riesco + a connettermi a internet.Ho seguito la guida TUTTA. aiuto!! La connessione senza fili funziona infatti ora sto scrivendo con il portatile.Ogni tnt quando riavvio mi dice acquisizione indirizzo di rete ma lo fa sempre e nn dice attiva.
hjackthis http://www.fileqube.com/shared/kxZyxB71801

combofix http://www.fileqube.com/shared/iIVIY71803
vitumondebegone http://www.fileqube.com/shared/ARxgeixDB71804

Fai una scansione completa con Superantispyware
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

[ClaKK]

Quote:

Originariamente inviato da wjmat

...

Ecco il log!!

[wjmat]

Quote:

Originariamente inviato da ClaKK

Ecco il log!!

il pc come sta ora?

[ClaKK]

Sembra stia molto meglio, e ora a-squared non trova più nulla!! Grazie mille dell'aiuto!! C'è ancora quella chiave strana che trova HJT:

Codice:

O20 - Winlogon Notify: yayyvtUk - yayyvtUk.dll (file missing)

come faccio a toglierla?

Un'altra domanda...ora la situazione "sicurezza" del mio pc è:

Nod32
Zonealarm
Spybot S&D
Superantispyware
Malwarebytes Anti-Malware
A-squared

Cosa mi consigliate di togliere/aggiungere/sostituire?

[wjmat]

Quote:

Originariamente inviato da ClaKK

Sembra stia molto meglio, e ora a-squared non trova più nulla!! Grazie mille dell'aiuto!! C'è ancora quella chiave strana che trova HJT:

Codice:

O20 - Winlogon Notify: yayyvtUk - yayyvtUk.dll (file missing)

come faccio a toglierla?

Un'altra domanda...ora la situazione "sicurezza" del mio pc è:

Nod32
Zonealarm
Spybot S&D
Superantispyware
Malwarebytes Anti-Malware
A-squared

Cosa mi consigliate di togliere/aggiungere/sostituire?

fixala pure quella voce, o carica il log di hjt che do un occhio

per il resto dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[ClaKK]

eh il problema è proprio quello, anche facendo "fix checked" quella stringa non va via. L'unica cosa che succede è che si cancellano i risultati della scansione (in pratica la finestra di hjt ritorna bianca).

[wjmat]

Quote:

Originariamente inviato da ClaKK

eh il problema è proprio quello, anche facendo "fix checked" quella stringa non va via. L'unica cosa che succede è che si cancellano i risultati della scansione (in pratica la finestra di hjt ritorna bianca).

start - esegui - digita regedit (invio)
vai a HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
se c'è il riferimento a quel file cancellalo

[HKing]

ho fatto la scansione ha trovato un virus e lo ha cancellato e mi ha detto di riavviare il pc. Adesso sul fisso la connessione lan è attiva infatti si connette ma nn mi fa andare su siti msn ecc.Certe volte mi dice che la linea è occupata e che il tempo di risposta della connessione remoto ci mette tnt a rispondere e la connessione è stata terminata
Log scansione http://www.fileqube.com/shared/RJEZyZnZr72613

L'aggiornamento non lo posso fare xke non ho internet....

[wjmat]

Quote:

Originariamente inviato da HKing

ho fatto la scansione ha trovato un virus e lo ha cancellato e mi ha detto di riavviare il pc. Adesso sul fisso la connessione lan è attiva infatti si connette ma nn mi fa andare su siti msn ecc.Certe volte mi dice che la linea è occupata e che il tempo di risposta della connessione remoto ci mette tnt a rispondere e la connessione è stata terminata
Log scansione http://www.fileqube.com/shared/RJEZyZnZr72613

L'aggiornamento non lo posso fare xke non ho internet....

fai una scansione completa con Malwarebytes' Anti-Malware
Installalo e col programma chiuso aggiornarlo con il file che puoi scaricare da qui
http://www.malwarebytes.org/mbam/dat...mbam-rules.exe

Una volta aggiornato sotto la scheda "Scansione" seleziona "Effettua una scansione completa"
Clicca su scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione"

A fine scansione seleziona tutte le voci trovate e clicca "Rimuovi elementi selezionati"

Si aprirà il log che dovrai caricare secondo le modalità
Lo recuperi dal programma sotto la scheda "Files di log" oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)