[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[pino92]

quale programma posso usare per fixarla? quindi mi consigli di eliminare definitivamente norton?

[lancetta]

Quote:

Originariamente inviato da pino92

quale programma posso usare per fixarla? quindi mi consigli di eliminare definitivamente norton?

per fixarla devi usare lo stesso hijackthis apri hijackthis e nella schermata clicchi su "do a system scan only" nella schermata che si apre hai tutto il log del programma con le voci e delle caselline a fianco ogni voce,clicchi sulla casellina in corrispondenza della voce da fixare mettendo così la spunta e dopodichè clicchi su "fix cheked"....hai appena fixato
per il norton in quel link che ti ho indicato c'è tutto al limite usa
questo della symantec stessa http://service1.symantec.com/support...50407160511924
per il resto sei a posto ciao

[pino92]

ciao e grazie di tutto ancora

[TeamMMR]

Salve A Tutti ho seguito la guida per rimuovere vundo dal mio pc e vorrei avere la conferma di avere il pc pulito e quindi vi allego tutti i log che mi sn venuti... Spero in una vostra risposta...
Grazie

Vundo Fix:
http://www.zshare.net/download/706345358bd91d/

Fix Vundo:
http://www.zshare.net/download/7063519a39cea0/

ComboFix:
http://www.zshare.net/download/7063535901ef4a/

VirtuMundoBeGone:
http://www.zshare.net/download/7063578136fd7c/

Hijackthis:
http://www.zshare.net/download/7063664868ba80/

[Chill-Out]

Mancano le scansioni con VirIt e Prevx CSI e ralativi log, se è stata redatta una Guida bisogna seguire i passagg indicati, se no perdiamo tempo noi e tu, grazie per la collaborazione.

[TeamMMR]

Prevx CSI Ha trovato un file ma nn lo toglie perchè nn ho la key per rigistrarlo virit l'ho fatta la scansione ha tolto tre file ma nn so dove è il log... grazie

[Chill-Out]

Prevx Csi è solo un tool diagnostico per salvare ilog fai così dopo aver terminato la scansione cliccare su "Option - Save log"

Il log di VirIt lo trovi qui: C:\VIRITLITE\VIRITEXP.log

[hiler]

Quote:

Originariamente inviato da Nuz

Finora credo che nessuno abbia dovuto reinstallare windows per colpa del Vundo.
Ti consiglio di seguire la guida e solo dopo con i vari log ti verrà detto se c'è qualche traccia da rimuovere.

Ok ecco i logs. Ho fatto girare VundoFix più di una volta all'inizio perchè mi ero accorto che non cancellava i files indicati.

vundofix http://www.fileup.itadib.com/downloa...BYYMYJuXNg0qo4
virit http://www.fileup.itadib.com/downloa...ttqLHENZ8B6CYw
virtumundobegone http://www.fileup.itadib.com/downloa...sH73E9Mu2NNCmK
prevxcsi http://www.fileup.itadib.com/downloa...uIgzr67fnp09zc
hijackthis http://www.fileup.itadib.com/downloa...SNg387XTjqN5MI
Combofix http://www.fileup.itadib.com/downloa...gxaKJq5GnWN7ey
renv http://www.fileup.itadib.com/downloa...WVIlmXYoYDjszr

FixVundo e awf non hanno trovato nulla.

Due problemi:
- "nTrayFw .exe" penso faccia parte dei drivers della sk madre; ora cerco al riguardo, voi che ne pensate? Ma è stato Vundo a rinominare l'originale (che ora pare chiamarsi "nTrayFw.exe.manifest") e mettere quello con lo spazio al suo posto? Ho anche questi altri nella stessa dir:

Directory di C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin

30/11/2004 10.09 659 app_popup.exe.manifest
30/11/2004 10.09 658 fw_watch.exe.manifest
30/11/2004 10.09 660 nSvcAppFlt.exe.manifest
30/11/2004 10.10 657 nTrayFw.exe.manifest

- credo che c:\windows\Explorer.exe mi stia creando problemi: ho notato per caso che se creo un file in una dir qualsiasi e lo rinomino .exe, dopo non posso cestinarlo perchè risulta usato da explorer.exe. L'unica è uccidere il processo della shell e cancellarlo... Che ne pensate?

[TeamMMR]

Ecco gli altri due:
PrevxCSI
http://www.zshare.net/download/70643989b72aaf/

VirIT
http://www.zshare.net/download/7064429cc0da9b/

Scusa se li metto ora
Grazie

[lancetta]

Quote:

Originariamente inviato da hiler

Ok ecco i logs. Ho fatto girare VundoFix più di una volta all'inizio perchè mi ero accorto che non cancellava i files indicati.

vundofix http://www.fileup.itadib.com/downloa...BYYMYJuXNg0qo4
virit http://www.fileup.itadib.com/downloa...ttqLHENZ8B6CYw
virtumundobegone http://www.fileup.itadib.com/downloa...sH73E9Mu2NNCmK
prevxcsi http://www.fileup.itadib.com/downloa...uIgzr67fnp09zc
hijackthis http://www.fileup.itadib.com/downloa...SNg387XTjqN5MI
Combofix http://www.fileup.itadib.com/downloa...gxaKJq5GnWN7ey
renv http://www.fileup.itadib.com/downloa...WVIlmXYoYDjszr

FixVundo e awf non hanno trovato nulla.

Due problemi:
- "nTrayFw .exe" penso faccia parte dei drivers della sk madre; ora cerco al riguardo, voi che ne pensate? Ma è stato Vundo a rinominare l'originale (che ora pare chiamarsi "nTrayFw.exe.manifest") e mettere quello con lo spazio al suo posto? Ho anche questi altri nella stessa dir:

Directory di C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin

30/11/2004 10.09 659 app_popup.exe.manifest
30/11/2004 10.09 658 fw_watch.exe.manifest
30/11/2004 10.09 660 nSvcAppFlt.exe.manifest
30/11/2004 10.10 657 nTrayFw.exe.manifest

- credo che c:\windows\Explorer.exe mi stia creando problemi: ho notato per caso che se creo un file in una dir qualsiasi e lo rinomino .exe, dopo non posso cestinarlo perchè risulta usato da explorer.exe. L'unica è uccidere il processo della shell e cancellarlo... Che ne pensate?

trascina il file Log txt che ti ha rilasciato RenV su RenV.exe riesegui e se ti chiede di riavviare fallo tranquillamente e posta qui il log dei risultati

[Chill-Out]

Quote:

Originariamente inviato da TeamMMR

Ecco gli altri due:
PrevxCSI
http://www.zshare.net/download/70643989b72aaf/

VirIT
http://www.zshare.net/download/7064429cc0da9b/

Scusa se li metto ora
Grazie

Allega anche il log di Renv ed un nuovo log di HijackThis

[hiler]

Quote:

Originariamente inviato da lancetta

trascina il file Log txt che ti ha rilasciato RenV su RenV.exe riesegui e se ti chiede di riavviare fallo tranquillamente e posta qui il log dei risultati

Eccolo (vuoto), mi dice che non trova il file... In effetti, il file è sparito.

http://www.fileup.itadib.com/downloa...fXdIwqsjBBI9S8

[lancetta]

Quote:

Originariamente inviato da hiler

Eccolo (vuoto), mi dice che non trova il file... In effetti, il file è sparito.

http://www.fileup.itadib.com/downloa...fXdIwqsjBBI9S8

infatti così deve essere
solo che ora ti devo dà na brutta notizia..devi rifar girare tutti i tool (tranne Renv naturalmente)

[hiler]

Quote:

Originariamente inviato da lancetta

infatti così deve essere
solo che ora ti devo dà na brutta notizia..devi rifar girare tutti i tool (tranne Renv naturalmente)

Ok, pensavo lo scrivesse "ho ammazzato coso qui..."
Faccio il giro e poi posto. Ma poi, brutta notizia... perchè? Non farmi preoccupà

Grazie.

[Chill-Out]

Stessa cosa temo la dovrà fare anche TeamMMR visto che ha seguito un'ordine tutto suo

[lancetta]

Quote:

Originariamente inviato da hiler

Ok, pensavo lo scrivesse "ho ammazzato coso qui..."
Faccio il giro e poi posto. Ma poi, brutta notizia... perchè? Non farmi preoccupà

Grazie.

perchè si poteva evitare un giro inutile di scansioni (però male non fà tranquillo..anzi direi quasi che è meglio )

[hiler]

Secondo giro di scansioni:

combofix http://www.fileup.itadib.com/downloa...gfd4jWzBpbRab0
hijackthis http://www.fileup.itadib.com/downloa...N7oaQEtAdOszvl
prevxcsi http://www.fileup.itadib.com/downloa...YBDTHHwvXYoWiT
virtumundobegone http://www.fileup.itadib.com/downloa...XeAqXz65Hbrpsm
virit http://www.fileup.itadib.com/downloa...pBTYaEGVbCbeCg

scan online con Kaspersky http://www.fileup.itadib.com/downloa...3aTpHZFangiQBX

Ok, da quello che capisco:

- swreg.exe è un falso positivo (ho letto in un vecchio post di Lancetta di rinominarlo per sicurezza)
- fixare hqtjiwub.dll
- fixare il servizio SGLFDC
- fixare servizio C:\WINDOWS\system32\windows
- NBJ.exe (Ahead Nero) va eliminato -> reinstallare Nero
- mi sono perso per strada nTrayFw.exe (Nvidia) e come detto prima trovo questi .manifest che... boh!
- i files infetti di restore tipo 00000044.exe posso eliminarli?
- files java in cache da eliminare...

Ah, ma sarà stato Vundo a cambiare l'icona di C: in Risorse del Computer?

Lancetta (o altri ), che mi dici? E grazie davvero per tutto!

[TeamMMR]

AllorA Chill-Out io nn ho segiuto un ordine mio ho seguito la giuda lettera per lettera solo che i due log mancanti nn li ho messi perchè nn li trovavo però le scansioni le avevo già fatte...
Mi potresti dire il log di renV dove si trova perchè a me nn ha fatto niente stava fermo e nn succedeva niente...
Grazie

[Chill-Out]

Quote:

Originariamente inviato da TeamMMR

AllorA Chill-Out io nn ho segiuto un ordine mio ho seguito la giuda lettera per lettera solo che i due log mancanti nn li ho messi perchè nn li trovavo però le scansioni le avevo già fatte...
Mi potresti dire il log di renV dove si trova perchè a me nn ha fatto niente stava fermo e nn succedeva niente...
Grazie

Una volta lanciato Renv.exe (per praticità eseguilo dal DeskTop) produce un log in formato .txt ovvero Log.txt, allega anche un nuovo log di HijackThis

[TeamMMR]

Ecco Gli ultimi due log:

RenV:
http://www.zshare.net/download/7089749adc4fab/

Hijackthis:
http://www.zshare.net/download/7089771950659f/


Grazie di tutto e scusa ma nn sn molto pratico aspetto una tua risposta...
Grazie
Ciauzzzzzzzz