[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[xcdegasp]

Quote:

Originariamente inviato da naz84

Vabbè.. sbaglio a postare gli screen... ma non sono così ciucco!!

Le voci che ha trovato le ho eliminate tutte!

ottimo

[Grizzly87]

Buona Sera a tutti!!

Ultimamente sono stato vittima del virus Vundo e grazie alla vostra guida sono stato capace "speriamo" di rimuoverlo. Non trovo anomali l'unica cosa che mi suscita sospetto è che JackThis mi trova questo quando mi connetto a internet mentre quando sono offline non me lo trova

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A9D5D3B-B7B0-4D42-AD41-427E96AE0580}: NameServer = 85.37.17.15 85.38.28.74

Cosa dite è una voce che dovrei rimuovere??
Grazie Mille per la vostra disponibilità

[wjmat]

Quote:

Originariamente inviato da Grizzly87

Buona Sera a tutti!!

Ultimamente sono stato vittima del virus Vundo e grazie alla vostra guida sono stato capace "speriamo" di rimuoverlo. Non trovo anomali l'unica cosa che mi suscita sospetto è che JackThis mi trova questo quando mi connetto a internet mentre quando sono offline non me lo trova

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A9D5D3B-B7B0-4D42-AD41-427E96AE0580}: NameServer = 85.37.17.15 85.38.28.74

Cosa dite è una voce che dovrei rimuovere??
Grazie Mille per la vostra disponibilità

ciao

caricaci tutti i log per completezza

[Grizzly87]

Quote:

Originariamente inviato da wjmat

ciao

caricaci tutti i log per completezza

Ecco il link con i log:

http://www.fileqube.com/file/HBljoB166438

Ciao e grazie .

[wjmat]

Quote:

Originariamente inviato da Grizzly87

Ecco il link con i log:

http://www.fileqube.com/file/HBljoB166438

Ciao e grazie .

tutti i log

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

[Grizzly87]

Quote:

Originariamente inviato da wjmat

tutti i log

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

Appena vado a casa faccio come mi dici .
Quella voce 17 non mi convince perchè mi esce fuori quando mi connetto a internet, e mi sarebbe piaciuto sapere se gli ip "NameServer = 85.37.17.15 85.38.28.74" sono del mio provider oppure è una voce malevola.

Grazie Ancora che mi dedicate il vostro tempo.

[Chill-Out]

Quote:

Originariamente inviato da Grizzly87

Appena vado a casa faccio come mi dici .
Quella voce 17 non mi convince perchè mi esce fuori quando mi connetto a internet, e mi sarebbe piaciuto sapere se gli ip "NameServer = 85.37.17.15 85.38.28.74" sono del mio provider oppure è una voce malevola.

Grazie Ancora che mi dedicate il vostro tempo.

Sono i DNS di Telecom Italia

[Grizzly87]

Quote:

Originariamente inviato da wjmat

tutti i log

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

Ecco il file di HijackThis che mi avevi chiesto secondo le modalità.

Grazie ancora per il vostro aiuto.

[wjmat]

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide



importante aggiornare
Explorer alla versione 7

[cocoz1]

Quote:

Originariamente inviato da wjmat

certo

ho fatto la scansione con eset ha trovato 7 minacce e le ha rimosse tra queste la toolbar di ask che avevo già disinsallato..ma il problema persiste..

[wjmat]

Quote:

Originariamente inviato da cocoz1

ho fatto la scansione con eset ha trovato 7 minacce e le ha rimosse tra queste la toolbar di ask che avevo già disinsallato..ma il problema persiste..

carica i log di Eset Sysinspector + HiJackThis + Prevx

[Grizzly87]

Quote:

Originariamente inviato da wjmat

prova unlocker da provvisoria

se sei ok puoi eliminare pure la cartella di hjt oppure tienila da parte

Ciao wjmat sono riuscito a eliminare la cartella C:\cmdcons dalla modalità provvisoria come mi hai detto tu . Un ultima cosa c'è qualche programmino che verifica cosa realmente fanno le applicazioni Svchost.exe perchè io quando accendo il pc ne ho 6 nel Task Manager e anche se non mi occupano memoria volevo capire a cosa servissero.

Grazie infinitamente.

[wjmat]

Quote:

Originariamente inviato da Grizzly87

Ciao wjmat sono riuscito a eliminare la cartella C:\cmdcons dalla modalità provvisoria come mi hai detto tu . Un ultima cosa c'è qualche programmino che verifica cosa realmente fanno le applicazioni Svchost.exe perchè io quando accendo il pc ne ho 6 nel Task Manager e anche se non mi occupano memoria volevo capire a cosa servissero.

Grazie infinitamente.

se il file sta nella cartella system32 dovrebbe essere lecito salvo venga corrotto

qui un programma per analizzare i suoi processi
http://www.downloadblog.it/post/7606...svchost-viewer

[naz84]

Quote:

Originariamente inviato da naz84

Scusami..

http://wikisend.com/download/891286/...113-133835.txt

http://wikisend.com/download/497280/f-sec.txt

http://wikisend.com/download/916308/...(13-37-00).txt

http://wikisend.com/download/561640/...90114-1928.zip

http://wikisend.com/download/597256/hijackthis.log

spero di non aver toppato di nuovo..

up..

[wjmat]

Quote:

Originariamente inviato da naz84

up..

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log rinominato in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Codice:

O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

riscontri altri problemi?

[naz84]

Quote:

Originariamente inviato da wjmat

• Carica il nuovo log rinominato in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

Ecco a te..

problemi evidenti non ce ne sono...

[wjmat]

Quote:

Originariamente inviato da naz84

Ecco a te..

problemi evidenti non ce ne sono...

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante aggiornare
Explorer alla versione 7

[batista2]

http://www.hwupgrade.it/forum/showthread.php?t=1908937

Chill-Out io la procedura l'ho seguita passo passo, e l'ho anche scritto.
Se ho aperto una nuova discussione è perchè a questo punto non sono sicuro che questo trojan sia un Vundo, o perlomeno deve essere una nuova "versione" , in quanto i normali tool di rimozione non funzionano.

[wjmat]

ciao

riprova mbam e il kasp removal tool da modalità provvisoria ed elimina tutto

se dovessi riscontrare ancora problemi carica un log di Combofix (leggi bene le info)

[naz84]

Quote:

Originariamente inviato da wjmat

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante aggiornare
Explorer alla versione 7

Per Explorer chiaramente intendi Internet Explorer..

Grazie mille a tutti!
Credevo di essere spacciato. "Sit i megghj!"