[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[Kala]

Quote:

Originariamente inviato da wjmat

configura antivir come da guida e fai una bella scansione completa e caricaci il log

Av Scan: http://www.fileqube.com/shared/HJRJR118455
HiJackThis: http://www.fileqube.com/shared/uQQPwpBDo118456
c'è qualcosa in particolare attraverso quest'ultimo che mi consigli di "analizzare"?

[Kala]

Quote:

Originariamente inviato da wjmat

verifica anche il ripristino conf. sia ancora disattivato

azz... non era spuntato... può esser stato quello?

[Kala]

Quote:

Originariamente inviato da Chill-Out

Elimina il secondo link a Fileqube

come? non riesco più a risalire alla pagina che mi permetteva il delete

[Kala]

Quote:

Originariamente inviato da Kala

come? non riesco più a risalire alla pagina che mi permetteva il delete

ok risolto il remove

[wjmat]

Quote:

Originariamente inviato da Kala

Av Scan: http://www.fileqube.com/shared/HJRJR118455
HiJackThis: http://www.fileqube.com/shared/uQQPwpBDo118456
c'è qualcosa in particolare attraverso quest'ultimo che mi consigli di "analizzare"?

Codice:

Primary action...................: repair
Secondary action.................: delete
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, E:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

come da trattamento post sistema la conf. di antivir
Primary action...................: repair
Secondary action.................: quarantine
senza la spunta su copy....

l'euristica io terrei media

adobe va ancora aggiornato

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [CmSkype346814] C:\Programmi\XX-SkyPhone\CmSkype.exe RUNSTART
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Programmi\Google\Google Pinyin\GooglePinyinDaemon.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O16  - tutte le voci senza riferimenti a microsoft

[Kala]

mah, il settaggio con la secondary su "delete" e l'heuristica high era consigliato proprio da voi: http://www.hwupgrade.it/forum/showthread.php?t=1514684
comunque ho cambiato come mi hai appena detto.
quanto ad adobe, non posso aggiornarlo che è crackato
ecco il log che mi hai chiesto: http://www.fileqube.com/shared/rgoNrT118660

[wjmat]

Quote:

Originariamente inviato da Kala

mah, il settaggio con la secondary su "delete" e l'heuristica high era consigliato proprio da voi: http://www.hwupgrade.it/forum/showthread.php?t=1514684
comunque ho cambiato come mi hai appena detto.
quanto ad adobe, non posso aggiornarlo che è crackato
ecco il log che mi hai chiesto: http://www.fileqube.com/shared/rgoNrT118660

a me sembra che tu abbia eliminato qualche O4 di troppo...
oppure il log non è corretto...

[Kala]

Quote:

Originariamente inviato da wjmat

a me sembra che tu abbia eliminato qualche O4 di troppo...
oppure il log non è corretto...

oh merda! lì per lì avevo capito che dovevo cancellarle tutte.
e ora?

[wjmat]

da bigino in firma cerca su hjt come recuperare il backup
poi lo rilanci e fixi solo quello che ti ho indicato

[Kala]

Quote:

Originariamente inviato da wjmat

da bigino in firma cerca su hjt come recuperare il backup
poi lo rilanci e fixi solo quello che ti ho indicato

Sistemati gli 04 secondo indicazione; solo, non ho trovato O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
In più ho messo
09 - Extra 'Tools' menuitem: Windows Messengers
016 - DPF (Trend Micro Activex Scan Agent)
018 - Protocol: skype4com

Ecco il nuovo log: http://www.fileqube.com/shared/kEAje118736

[wjmat]

Quote:

Originariamente inviato da Kala

Sistemati gli 04 secondo indicazione; solo, non ho trovato O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
In più ho messo
09 - Extra 'Tools' menuitem: Windows Messengers
016 - DPF (Trend Micro Activex Scan Agent)
018 - Protocol: skype4com

Ecco il nuovo log: http://www.fileqube.com/shared/kEAje118736

schermate blu?

[Kala]

Quote:

Originariamente inviato da wjmat

schermate blu?

no more...

[wjmat]

Quote:

Originariamente inviato da Kala

no more...

facci sapere se tiene....

[Toxic[Blood]]

Ho seguito alla lettera le istruzioni x la rimozione di stò capsula di virus... sono riuscito a toglierlo, grazie 1000 davvero!

[wjmat]

Quote:

Originariamente inviato da Toxic[Blood]

Ho seguito alla lettera le istruzioni x la rimozione di stò capsula di virus... sono riuscito a toglierlo, grazie 1000 davvero!

ciao
riesci a caricarci i log, in quello di combo si trovano spesso riferimenti a chiavette infette da eliminare

[Kala]

Quote:

Originariamente inviato da wjmat

facci sapere se tiene....

eccoci qua di nuovo...
dunque, stamane mentre usavo il pc l'ho dovuto riavviare perché il sistema era parecchio imballato. mentre chiudeva i programmi è comparsa al volo una voce relativa ai DLL ma non sono riuscito a vedere molto di più.
Ecco il log: http://www.fileqube.com/shared/WdAEugag120151
Altra cosa: vorrei fare in modo che il mio Avira Antivir partisse in automatico come prima; forse l'abbiamo disattivato l'ultima volta attraverso hijackthis?

[wjmat]

Quote:

Originariamente inviato da Kala

eccoci qua di nuovo...
dunque, stamane mentre usavo il pc l'ho dovuto riavviare perché il sistema era parecchio imballato. mentre chiudeva i programmi è comparsa al volo una voce relativa ai DLL ma non sono riuscito a vedere molto di più.
Ecco il log: http://www.fileqube.com/shared/WdAEugag120151
Altra cosa: vorrei fare in modo che il mio Avira Antivir partisse in automatico come prima; forse l'abbiamo disattivato l'ultima volta attraverso hijackthis?

disabilita il ripr. conf. su e:

[Kala]

Quote:

Originariamente inviato da wjmat

disabilita il ripr. conf. su e:

è disabilitata. la finestra d'altronde parla espressamente di "tutte le unità" e sotto, sia c: che e: risultano "disattivata"

[wjmat]

Quote:

Originariamente inviato da Kala

è disabilitata. la finestra d'altronde parla espressamente di "tutte le unità" e sotto, sia c: che e: risultano "disattivata"

Fai un check-up veloce

carica secondo le modalità i log di:
HiJackThis
Eset Sysinspector
Gmer
Prevx

[3vil Dr4g0n]

Ciao, mi sposto qui dal 3d di analisi log HijackThis, ho seguito le istruzioni di questo 3d incontrando qualche problema (vbg non trova niente, f-secure online scanner si inchioda appena inizia lo scanning dandomi blue screen e rebootando il sistema e combofix si inchioda appena apre una finestra promt con scritto in francese che combofix si sta apprestando ad iniziare)

Ultimo log di Hjt