[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[ClaKK]

Grazie ancora!!

Con il metodo che dici tu non si cancellava, però ho usato regseeker facendo una ricerca del nome e ho cancellato tutte le chiavi!!ora non compare più!

Ciao!!

[wjmat]

Quote:

Originariamente inviato da ClaKK

Grazie ancora!!

Con il metodo che dici tu non si cancellava, però ho usato regseeker facendo una ricerca del nome e ho cancellato tutte le chiavi!!ora non compare più!

Ciao!!

bene,
dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[HKing]

il prog che mi hai dato a trovato dei virus tra cui due trojan vundo _-_ e altri due virus uno di qst mi ha detto di riavviare e adesso all'avvio mi da errore rundll
C:\WINDOWS\system32\xfhxcqqj.dll quello che ho cancellato. Help!

[wjmat]

Quote:

Originariamente inviato da HKing

il prog che mi hai dato a trovato dei virus tra cui due trojan vundo _-_ e altri due virus uno di qst mi ha detto di riavviare e adesso all'avvio mi da errore rundll
C:\WINDOWS\system32\xfhxcqqj.dll quello che ho cancellato. Help!

c'è una stringa che lo richiama e non lo trova...ora la togliamo

Scarica da qui l'ultima versione di Hijackthis, mettila in una sua cartella dedicata, lancialo e clicca su "Do a system scan and save a log file" e carica secondo le modalità il log che verra visualizzato e salvato nella cartella di Hijackthis

[HKing]

cioè? che cartella? non lo posso lanciare dal desktop?

[wjmat]

Quote:

Originariamente inviato da HKing

cioè? che cartella? non lo posso lanciare dal desktop?

dagli un nome qualsiasi e estrailo li

[HKing]

Fatto. Scusa se te lo mando i log via sito ma quello di qst sito nn funziona boh o.O http://www.fileqube.com/shared/AhYikCQcz74109

[wjmat]

Quote:

Originariamente inviato da HKing

Fatto. Scusa se te lo mando i log via sito ma quello di qst sito nn funziona boh o.O http://www.fileqube.com/shared/AhYikCQcz74109

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {62BA437C-7712-48C6-9F0B-D251FA43192B} (SayaTV Control) - http://www.sayatv.com/download/SayaTV.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

[HKing]

Fatto. Ora la lan mi dice connettività limitata o assente e l'errore all'avvio non me lo fa +
Log:
http://www.fileqube.com/shared/pxKJeLj74116

[wjmat]

Quote:

Originariamente inviato da HKing

Fatto. Ora la lan mi dice connettività limitata o assente e l'errore all'avvio non me lo fa +
Log:
http://www.fileqube.com/shared/pxKJeLj74116

Allega un log di ESET SysInspector che puoi scaricare da qui
Lancia SysInspector → Scorri in basso la licenza fina a quando si accente il pulsante "I agree" → attendi l'analisi del sistema → una volta che si sarà aperta l'interfaccia del programma clicca File → Save Log → Yes → Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml) → Ok
Ora carica secondo le modalità il log ottenuto.

[HKing]

Eccolo http://www.fileqube.com/shared/DPCRGl74132

[wjmat]

Quote:

Originariamente inviato da HKing

Eccolo http://www.fileqube.com/shared/DPCRGl74132

non vedo impostati i dns

Start → Impostazioni → Pannello di Controllo → Rete e connessioni internet → Doppio click Connessione di rete → Doppio click su Protocollo Internet TCP/IP → Metti la spunta su Utilizza i Seguenti DNS → Inserisci
208.67.222.222
208.67.220.220

Fai Start -> Esegui -> Digita cmd (invio)
Nella finestra dos che si apre digita

Codice:

ipconfig /all

poi click sx in alto a sinistra sul simbolo c:\ della finestra dos -> modifica -> seleziona tutto -> batti INVIO
apri il blocco note, incolla, salva il file e allegalo con il comando Gestisci allegati"

[HKing]

Eccoli

[wjmat]

Quote:

Originariamente inviato da HKing

Eccoli

com'è impostato il tuo collegamento internet?

vedo il DHCP abilitato
questo programma che fa?
O4 - HKLM\..\Run: [TWCU] C:\Programmi\TP-LINK\TWCU\TWCU.exe -nogui

[HKing]

Ho un router quello è un prog che non serve a nnt ma nn si cancella xD xrò è dell'router...

[HKing]

SIIIII grande ho modificato delle cose sulle impostazione ip gatwey ecc. stava su ottieni informazioni automaticamente ho messe quelle del router.

[wjmat]

disabilita il dhpc

nelle impostazioni tcp/ip

Indirizzo IP configurazione manuale: 169.254.68.8 imposta come ultimo numero 8 per esempio
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 169.254.68.75 <--assiscurati che sia l'indirizzo del router

[HKing]

-.- dice errore 718 il computer remoto non ha risposto al termpo previsto la connessione è stata annulata.

[wjmat]

se in firefox o ie nell'indirizzo metti 169.254.68.75, entri nel menù del router?

[HKing]

No il getewey è un altro. ma il dchp come faccio a disabilitarlo?