[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[wjmat]

Quote:

Originariamente inviato da 3vil Dr4g0n

Ciao, mi sposto qui dal 3d di analisi log HijackThis, ho seguito le istruzioni di questo 3d incontrando qualche problema (vbg non trova niente, f-secure online scanner si inchioda appena inizia lo scanning dandomi blue screen e rebootando il sistema e combofix si inchioda appena apre una finestra promt con scritto in francese che combofix si sta apprestando ad iniziare)

Ultimo log di Hjt

fixa
O2 - BHO: (no name) - {BAE72624-6786-442D-8982-79197E35E1B8} - C:\Windows\system32\nnnkKDut.dll
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\ssqPjgFv.dll,#1

combo l'hai eseguito da mod. provvisoria?

[3vil Dr4g0n]

Quelle due voci si ripresentano sempre, mentre combofix non l'ho usato in mod provvisoria, chiedo venia e provvedo subito.

[3vil Dr4g0n]

Aggiornamento: ho eseguito combofix da mod provv ed è andato "quasi tutto" a buon fine (c'è stato qualche crash e qualche froz in modalità provvisoria) e sembra essersi sistemato tutto.
Posto i log di Combofix e quello di hjt fatto ora e apparentemente pulito.

ComboFix log

HjT log

[wjmat]

Quote:

Originariamente inviato da 3vil Dr4g0n

Aggiornamento: ho eseguito combofix da mod provv ed è andato "quasi tutto" a buon fine (c'è stato qualche crash e qualche froz in modalità provvisoria) e sembra essersi sistemato tutto.
Posto i log di Combofix e quello di hjt fatto ora e apparentemente pulito.

ComboFix log

HjT log

hai una chiavetta infetta, non collegarla per ora...
combo ha eliminato molta roba, prova ora a fare il resto delle scansioni della guida

[Kala]

Quote:

Originariamente inviato da wjmat

Fai un check-up veloce

carica secondo le modalità i log di:
HiJackThis
Eset Sysinspector
Gmer
Prevx

HiJacThis: http://www.fileqube.com/shared/WfSMQnlj121060
Eset SysInspector: http://www.fileqube.com/shared/hXigip121062
Prevx: http://www.fileqube.com/shared/YQeRgz121063
Purtroppo non riesco a estrarre il zip di Gmer, mi dice "accesso negato".
Ti allego anche l'ultimo log di AvScan; con l'occasione ti ricordo che (forse dopo il fix di HiJackThis) non si attiva più in autoplay: http://www.fileqube.com/shared/vYEHhmV121064

[wjmat]

per l'autorun vedi se basta questo
http://support.microsoft.com/kb/330135/it

prova a disattivare OA e dimmi come va...

[Kala]

Quote:

Originariamente inviato da wjmat

per l'autorun vedi se basta questo
http://support.microsoft.com/kb/330135/it

prova a disattivare OA e dimmi come va...

doppio pardon, forse mi sono spiegato male:
1. non ho problemi di autoplay con cd et similia. intendevo solo dire che il mio antivirus (avira) prima compariva da solo con l'ombrello chiuso in basso a dx, ora neanche più quello. forse non cambia niente ma ho l'impressione che se mi dimentico di attivarlo io manualmente non mi protegge.
2. cos'è OA?

[wjmat]

1 prova ad aggiornarlo e avviarlo manualmente e riavviare
2 online armor

[Kala]

Quote:

Originariamente inviato da wjmat

1 prova ad aggiornarlo e avviarlo manualmente e riavviare
2 online armor

niente, avira continua a non attivarsi da solo e OA non me lo fa neanche disinstallare, mi pare dica errore accesso negato

[wjmat]

ho scritto disattivare oa non disinstallare... tasto dx sull'icona a fianco dell'orologio

per ogni problema specifico chiedi pure nei loro 3d dedicati

[Kala]

comunque oggi sono stato tutto il giorno sul pc e - apparentemente - nessun problema; eccetto che:
1. ad un certo punto vedevo un film e improvvisamente è caduta la connessione (mai fatto prima)
2. differentmente dagli inizi, continuano a non attivarsi da soli né avira antivi né online armor
3. cosa debbo fare di sysinspector, prevx e gmer (lo zip del quale non sono mai riuscito ad aprire)

[lucaaab]

Sono stato infettato da Vundo. Dopo diversi minuti è stato trovato e ucciso con un fulmine da ComboFix Di seguito la procedura eseguita:

Primo tentativo con VirtumundoBeGone. Il programma ha fallito

VBG

[10/05/2008, 23:39:02] - VirtumundoBeGone v1.5 ( "D:\Downloads\VirtumundoBeGone.exe" )
[10/05/2008, 23:39:04] - Detected System Information:
[10/05/2008, 23:39:04] - Windows Version: 5.1.2600, Service Pack 2
[10/05/2008, 23:39:04] - Current Username: Administrator (Admin)
[10/05/2008, 23:39:04] - Windows is in SAFE mode with Networking.
[10/05/2008, 23:39:04] - Searching for Browser Helper Objects:
[10/05/2008, 23:39:04] - BHO 1: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} (Adobe PDF Link Helper)
[10/05/2008, 23:39:04] - BHO 2: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[10/05/2008, 23:39:04] - Finished Searching Browser Helper Objects
[10/05/2008, 23:39:04] - Finishing up...
[10/05/2008, 23:39:04] - Nothing found! Exiting...

Secondo tentativo con ComboFix. Il programma lo ha trovato ed eliminato

Log

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\WINDOWS\system32\ckvo0.dll
C:\WINDOWS\system32\ckvo1.dll
D:\Autorun.inf
D:\tyktjfww.exe

Infine è stata fatta una scansione completa dal programma F-Secure OnLine Scanner. Adesso che il troyan non c'è più come tolgo le schifezze che mi ha installato F-Secure OnLine Scanner?

[wjmat]

Quote:

Originariamente inviato da lucaaab

Sono stato infettato da Vundo. Dopo diversi minuti è stato trovato e ucciso con un fulmine da ComboFix Di seguito la procedura eseguita:

Infine è stata fatta una scansione completa dal programma F-Secure OnLine Scanner. Adesso che il troyan non c'è più come tolgo le schifezze che mi ha installato F-Secure OnLine Scanner?

ciao

ci carichi i log completi secondo le modalità che ho in firma?
per f-secure leggi nel bigino che ho in firma

[Kala]

stamane ho rifatto lo scan, ti allego una particina relativa alle warnings, forse indicativa:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'E:\' <HD 250>
E:\System Volume Information\_restore{2A84D906-FC6C-4AC8-85B6-D49577E97069}\RP174\A0015595.exe
[0] Archive type: CAB SFX (self extracting)
--> \Setup\db_pcc.dat
[WARNING] No further files can be extracted from this archive. The archive will be closed
[WARNING] No further files can be extracted from this archive. The archive will be closed

dal basso della mia ignoranza emergono due problemi apparentemente collegati con i dubbi dei giorni precedenti:
- cosa fare dei software scaricati per ulteriori analisi (in questo caso non riesce ad aprire C:\hiberfil.sys, che forse ha a che fare con SysInspector)
- cosa fare con l'HD esterno (segnala un problema che non so se è grave o meno)
mi permetto di ribadire la questione avira e online armor: partivano da soli, ora non più.

[wjmat]

Quote:

Originariamente inviato da Kala

stamane ho rifatto lo scan, ti allego una particina relativa alle warnings, forse indicativa:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'E:\' <HD 250>
E:\System Volume Information\_restore{2A84D906-FC6C-4AC8-85B6-D49577E97069}\RP174\A0015595.exe
[0] Archive type: CAB SFX (self extracting)
--> \Setup\db_pcc.dat
[WARNING] No further files can be extracted from this archive. The archive will be closed
[WARNING] No further files can be extracted from this archive. The archive will be closed

dal basso della mia ignoranza emergono due problemi apparentemente collegati con i dubbi dei giorni precedenti:
- cosa fare dei software scaricati per ulteriori analisi (in questo caso non riesce ad aprire C:\hiberfil.sys, che forse ha a che fare con SysInspector)
- cosa fare con l'HD esterno (segnala un problema che non so se è grave o meno)
mi permetto di ribadire la questione avira e online armor: partivano da soli, ora non più.

C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!

sono files di sistema e sono ok

E:\System Volume Information\_restore{2A84D906-FC6C-4AC8-85B6-D49577E97069}\RP174\A0015595.exe
disabilita il ripristino conf. su e:

per antivir e oa chiedi nelle rispettive guide

[lucaaab]

Quote:

Originariamente inviato da wjmat

ciao

ci carichi i log completi secondo le modalità che ho in firma?
per f-secure leggi nel bigino che ho in firma

Ok!

log VirtumundoBeGone

[lucaaab]

log ComboFix

Anche il log di F-secure?

[wjmat]

Quote:

Originariamente inviato da lucaaab

log ComboFix

Anche il log di F-secure?

si
carica anche un log di Gmer

[Kala]

Quote:

Originariamente inviato da wjmat

C:\hiberfil.sys
E:\System Volume Information\_restore{2A84D906-FC6C-4AC8-85B6-D49577E97069}\RP174\A0015595.exe
disabilita il ripristino conf. su e:

non me lo fa disattivare, mi esce una finestra che recita:
"Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità. Riavviare il computer, quindi riprovare".
ho già riavviato più volte, ma niente... Qualche volta mi scompare persino la tabella "Ripristino configurazione di sistema" dalle proprietà del sistema delle risorse del computer.

[wjmat]

Quote:

Originariamente inviato da Kala

non me lo fa disattivare, mi esce una finestra che recita:
"Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità. Riavviare il computer, quindi riprovare".
ho già riavviato più volte, ma niente... Qualche volta mi scompare persino la tabella "Ripristino configurazione di sistema" dalle proprietà del sistema delle risorse del computer.

guarda qui
http://www.zonapc.it/downloads/ripar...ig_sistema.php
scarica System Restore Repair
poi se si sistema vedi se riesci a disattivarlo