[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!! - Pagina 25

GHz · 30-03-2008, 17:38

Uppino

xcdegasp · 30-03-2008, 19:25

guarda te chi viene a fare visita, ti davo per disperso

dal log di CSI vedo queste cose:

Codice:

C:\Programmi\AVS4YOU\AVSVideoConverter\AVSVideoConverter.exe	InMem: 0	Det [UP]	PX5: 0A541B9A009DA4A0DA2B3E3AFCAAC8007EDCBCEB


C:\WINDOWS\system32\dwdlyiap.dll	InMem: 0	Det [BN]	MD5: 1CEE79D05E1196B6E8289BC65A5833C9	PX5: 5CE4EA72409F6020669A019886EDC2003F9B9B4F	Malware Group: Trojan.Vundo


C:\WINDOWS\system32\hhcwynhj.dll	InMem: 0	Det [BN]	MD5: DF6E499A53AC10B35B3661B043170193	PX5: F9A0027A40E7ED49665B01DF66FE4A00D7170693	Malware Group: Trojan.Vundo


C:\WINDOWS\system32\hxqduhfo.dll	InMem: 0	Det [BN]	MD5: FB23113D247445D19AE4403C11E532EA	PX5: 6F0EB5CD400853F77CA601EA52171000F2180233	Malware Group: Trojan.Vundo


C:\WINDOWS\system32\lmplrprd.dll	InMem: 0	Det [BN]	MD5: FB2843EFF8160EEE41009175D0B63E37	PX5: 6FC6B60840829FAC640F0146A4BC2300F6B644C1	Malware Group: Trojan.Vundo



C:\WINDOWS\system32\ltwroppx.dll	InMem: 0	Det [BN]	MD5: 37A5009F19071317A02E2B55BE5D0C7B	PX5: E4DE7751409AF4E66C1C01E117BBEC0097D0F2B0	Malware Group: Trojan.Vundo


C:\WINDOWS\system32\snwpiajs.dll	InMem: 0	Det [BN]	MD5: 7F0989768EED4390BF04C8FA90F011BE	PX5: CE0CCC1C40FA90E06E2601D9B4D7A80053FD8876	Malware Group: Trojan.Vundo


C:\WINDOWS\system32\yjflhsih.dll	InMem: 0	Det [BN]	MD5: 422626731C39E4B947C99DEF77EF982F	PX5: CB20F03A40EA84A666C101739057BA00E16D2D85	Malware Group: Adware.Lop

Il file contrassegnato da UP significa solo che per prevx è sconosciuto quind non per forza malevolo, gli altri file invece vanno assolutamente cancellati tramite avenger:
download -> http://swandog46.geekstogo.com/avenger.zip
(scompattalo in una cartella che sia esclusiva per avenger così ti crea il backup)

poi devi caricare questo script:

Codice:

Files to delete:
C:\WINDOWS\system32\dwdlyiap.dll
C:\WINDOWS\system32\hhcwynhj.dll
C:\WINDOWS\system32\hxqduhfo.dll
C:\WINDOWS\system32\lmplrprd.dll
C:\WINDOWS\system32\ltwroppx.dll
C:\WINDOWS\system32\snwpiajs.dll
C:\WINDOWS\system32\yjflhsih.dll

poi rifai la scansione con Prex CSI

ZooleaN · 02-04-2008, 17:27

salve a tutti
ho la vaga sensazione di essere stato infettato da Vundo (e forse non solo). sono su xp
i log in allegato (quello di findawf è pulito)
quello di prevx non stava e l'ho messo qui: http://www.mediafire.com/?mymxthmg4jb

non so cosa devo fare ancora, nonostante tutto mi continuano ad uscire dei fastidiosi popup con IE...
grazie per il vs aiuto ragazzi

ZooleaN · 03-04-2008, 13:57

up

murack83pa · 03-04-2008, 14:17

Quote:

Originariamente inviato da ZooleaN

up

ciao..

mancano i seguenti log:

1-fixvundo

2-VirtumundoBeGone DOWNLOAD

li hai fatti girare in mod provv?

il log di prevx csi caricalo su FileUp, copiando qui i link x il download

ho visto virit...hai fatto una scansione? log?

ricordati: il ripristino configurazione sistema lo devi disattivare

ZooleaN · 03-04-2008, 15:20

grazie per il supporto!

allora, virit ho provato a metterlo ma quando lo apro mi crasha e non so perché..
quindi non posso utilizzarlo

i log di prima sono sempre gli stessi
fixVundo ci ha messo una vita ma ce l'ha fatta, sembra pulito.

prevxcsi:

http://www.fileup.itadib.com/downloa...0nQ3beQ2PBEZvA

il pc ha il ripristino sitema disattivato

credo che la chiave del problema sia nel file usbintell.sys che mi segnala Prevx CSI

ZooleaN · 04-04-2008, 10:34

SOLVED

il problema non era Vundo (o meglio, lo era ma lo avevo già eliminato)
era il driver usbintell.sys che non so come diavolo si sia installato

rimosso tramite opportuno script per ComboFix
grazie comunque

**Chill-Out** · 04-04-2008, 10:44

Forse è meglio che alleghi un log di ComboFix

ZooleaN · 05-04-2008, 10:39

Quote:

Originariamente inviato da Chill-Out

Forse è meglio che alleghi un log di ComboFix

eccolo

**Chill-Out** · 05-04-2008, 20:02

Ok

maxone78 · 17-04-2008, 18:40

Ragazzi, aiuto!

Mi sa che ho beccato pure io stò stronzo. Allora, ho eseguito tutto quanto detto nel topic, ma i problemi persistono.

Partiamo con ordine. Ho avuto ieri mattina il PC infetto con un trojan che fingeva di essere un antivirus, tale AntiSpywareMaster. NON ho scaricato nulla ma nonostante abbia eliminato chiavi infette anche manualmente, fatto scansioni ed eliminato i vari infetti con Ewido e dopo con AVG e Spybot S&D entrambi aggiornatissimi in modalità provvisoria il problema, anche se più limitato, si è ripresentato oggi.

Mentre navigo mi si aprono pubblicità ed inoltre ho notato che questo figlio di ..... mi azzera l'opzione per i cookie alla voce "Privacy" di IE.

Inoltre genera un errore nella library di questo tipo "Buffer overrun detected! Program: C:\Windows\Explorer.exe"

Fra le chiavi trovo uno spa_start che fixo con HijackThis ma al riavvio riappare

Ecco cosa ho fatto: fra ieri con i programmi che vi dicevo sopra ed oggi ho sempre mantenuto disabilitata l'opzione per il ripristino della conf di sistema.

Poi:
scan con Prevx CSI: siccome non mifa salvare ho fatto una "foto" del risultato. potete vedere nell'allegato che trova il Vundu

Poi in modalità provvisoria

fatto scan con revn. niente

fatto scan in mod provvisoria con VundoFix. non ha trovato nulla.

fatto scan con FixVundo. niente

VirtumundoBeGone pare non trovare nulla e mi fa riavviare.

In modalità normale nuovo scan con Prevx CSI: sempre quanto potete vedere nell'allegato.

Scan finale con VirIT. Nulla (vedi allegato)
Scan con HiJackthis: non riesco a salvare il log. Se faccio "Save log" si quitta il programma. Tuttavia l'unica voce insolita è la solita, start_spa. La fixo ma tanto torna al prossimo riavvio.

Tuttavia anche qui, mentre caricavo allegati etc, si aprivano spot su antivirus, casinò, etc e tale Debello o roba simile...

Ragazzi, vi prego, non ne posso più!

PS: queste due dll?

{89c393a9-6109-2908-e78e-911a79637b7f}.dll

{89c393a9-6109-2908-e78e-911a79637b7f}.dll-uninst

maxone78 · 17-04-2008, 20:34

Kaspersky mi ha trovato questi

snapsnet[1].exe - Trojan-Downloader.Win32.VB.dza
Trojan.Win32.Agent.eek
rasesnet[1].exe

**Chill-Out** · 17-04-2008, 20:37

Quote:

Originariamente inviato da maxone78

Kaspersky mi ha trovato questi

snapsnet[1].exe - Trojan-Downloader.Win32.VB.dza
Trojan.Win32.Agent.eek
rasesnet[1].exe

Ciao come indicato in Guida allega un log di ComboFix ed un log di HijackThis, ti chiedo inoltre di caricare lo screenshot di Prevx Csi su questo server remoto www.mediafire.com

maxone78 · 18-04-2008, 15:08

Quote:

Originariamente inviato da Chill-Out

Ciao come indicato in Guida allega un log di ComboFix ed un log di HijackThis, ti chiedo inoltre di caricare lo screenshot di Prevx Csi su questo server remoto www.mediafire.com

Ops, scusate. nella foga per il virus mi son sbagliato

Prevx Csi

http://www.mediafire.com/imageview.p...hpbmzd&thumb=4

Oggi son riuscito a salvare il log di Hijackthis. Credetemi, ieri in piena infezione non andava, il programma si quittava se provavo.

NOTA: SEMBRA che con tutti gli antivirus, trojan removal tool, interventi manuali su chiavi di registro farlocche e eseguibili sparsi in varie cartelle che ho fatto fuori sia riuscito ad eliminare quasi tutto. Oggi nessun pop up, pc non lento, navigazione ok e le opzioni sulla Privacy di IE sono settate come le ho lasciate io.

Tuttavia credo che qualcosa sia rimasto e voglio fare totale pulizia. Ad esempio la .dll segnalatami da Kaspersky come infetta, tale nnnkliif.dll è rimasta e non riesco ad eliminarla.

Non è un .dll di sistema, giusto? Perchè vorrei usare Killbox

**Chill-Out** · 18-04-2008, 15:39

Ammazza quanti tool hai fatto girare su questo PC

NB: il ripristino configurazione sistema deve essere disabilitato

Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked:

O2 - BHO: nextads browser optimizer - {97b9d75a-efac-e03b-ae40-1a05432c1a02} - H:\WINDOWS\system32\{89c393a9-6109-2908-e78e-911a79637b7f}.dll (file missing)
O2 - BHO: (no name) - {B3C97798-7A85-451A-AD54-E1D54EFDC0DD} - H:\WINDOWS\system32\nnnkkiif.dll

Scarica Avenger http://swandog46.geekstogo.com/avenger.zip ed inserisci questo Script (copia ed incolla nel box bianco)

Quote:

Files to delete:
H:\WINDOWS\system32\{89c393a9-6109-2908-e78e-911a79637b7f}.dll
H:\WINDOWS\system32\nnnkkiif.dll

clicca su Execute, al termine il Pc si dovrebbe riavviare se non si riavvia fallo tu manualmente

Fai pulizia con Ccleaner come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1589984 al punto 2

Riepilogo log da allegare:
Avenger che trovi in C:\avenger.txt
Nuovo log di HijackThis

Poi fai girare nuovamente Prevx CSI e mi indichi per esteso se rileva altri eventuali problemi, ciao

maxone78 · 18-04-2008, 15:43

Quote:

Originariamente inviato da Chill-Out

Ammazza quanti tool hai fatto girare su questo PC

Pur di liberarmi di quella monnezza sarei entrato pure io a pestarlo

Grazie, provvedo subito e ti faccio sapere

maxone78 · 18-04-2008, 16:17

Rieccomi, allego i log. CCleaner per la parte della guida in cui dice

"clicca sulla voce Registro, spunta tutte le voci comprese nella sezione,

clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce

Ripara selezionati e prosegui;" temendo di cancellare cose utili ho fatto prima uno screen da sottoporti

http://www.mediafire.com/imageview.p...xxp7ym&thumb=4

Allego i due rapport che mi avevi detto.

Prevx CSI non ha rivelato più niente. Eureka!

Domanda: puoi consigliarmi un tool o un servizio di scan online sicuro che controlla che tutte le dll di sistema siano ok? O presenti?

O posso farlo con CCleaner?

**Chill-Out** · 18-04-2008, 16:23

Utilizza CCleaner, sarebbe inoltre opportuno controllare questa .dll in questo percorso: H:\WINDOWS\system32\kbfwfovr.dll

Poi bisogna mettere in sicurezza il PC, sei ancora alla versione 6 di IE

maxone78 · 18-04-2008, 16:42

Quote:

Originariamente inviato da Chill-Out

Utilizza CCleaner, sarebbe inoltre opportuno controllare questa .dll in questo percorso: H:\WINDOWS\system32\kbfwfovr.dll

Poi bisogna mettere in sicurezza il PC, sei ancora alla versione 6 di IE

La kbfwfovr.dll non c'è più in quella directory. La volevo far controllare su Virus Total

Trovo traccia con MSConfig da esegui in Esecuzione Automatica: ma li l'ho disabilitato già ieri perchè sospettavo fosse legato al trojan. Il percorso completo li mi dice: Rundll32.exe e ancora SOFTWARE\Microsoft\Windows\Current Version\Run, etc

Ed ancora tramite RegEdit

Altra cosa, non so se hai visto la "foto" del mio scan con CCleaner del registro. Mi segnala anche elementi legati a certi programmi normali. Devo lo stesso spuntarli tutto e fixarli?

Ultima: installo IE7

**Chill-Out** · 18-04-2008, 17:01

Si puoi cliccare su ripara selezionati, nel frattempo ti scrivo quello che ci sarebbe da fare

30-03-2008, 17:38	#481
GHz Senior Member Iscritto dal: Sep 2001 Città: Vicopisano (PI) Messaggi: 11652	Uppino __________________ >>PARTECIPA AI PROGETTI DI CALCOLO DISTRIBUITO CON BOINC.Italy!<< *You may say I'm a dreamer - But I'm not the only one - I hope someday you'll join us - And the team will be the 1# one* BoincEmperor 1° Livello - Rotoloni DOCET!! Cactus rulez!!

03-04-2008, 13:57	#484
ZooleaN Member Iscritto dal: May 2006 Città: Triest Messaggi: 393	up __________________ LAPTOP: HP dv7-6090el (i7-2630QM; 17,3"; Radeon HD6490M; 4GB DDR3; HD 640GB; LAN 1G; USB3.0; Win7 Ent.) PHONE: HTC Desire HD (ROOT; ENG S-OFF; Revolution HD 7.0.4) VISITA IL MIO BLOG: zoolean.wordpress.com

04-04-2008, 10:34	#487
ZooleaN Member Iscritto dal: May 2006 Città: Triest Messaggi: 393	SOLVED il problema non era Vundo (o meglio, lo era ma lo avevo già eliminato) era il driver usbintell.sys che non so come diavolo si sia installato rimosso tramite opportuno script per ComboFix grazie comunque __________________ LAPTOP: HP dv7-6090el (i7-2630QM; 17,3"; Radeon HD6490M; 4GB DDR3; HD 640GB; LAN 1G; USB3.0; Win7 Ent.) PHONE: HTC Desire HD (ROOT; ENG S-OFF; Revolution HD 7.0.4) VISITA IL MIO BLOG: zoolean.wordpress.com

04-04-2008, 10:44	#488
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Forse è meglio che alleghi un log di ComboFix __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

05-04-2008, 20:02	#490
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ok __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

17-04-2008, 20:34	#492
maxone78 Senior Member Iscritto dal: Sep 2003 Messaggi: 346	Kaspersky mi ha trovato questi snapsnet[1].exe - Trojan-Downloader.Win32.VB.dza Trojan.Win32.Agent.eek rasesnet[1].exe

18-04-2008, 16:23	#498
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Utilizza CCleaner, sarebbe inoltre opportuno controllare questa .dll in questo percorso: H:\WINDOWS\system32\kbfwfovr.dll Poi bisogna mettere in sicurezza il PC, sei ancora alla versione 6 di IE __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

18-04-2008, 17:01	#500
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Si puoi cliccare su ripara selezionati, nel frattempo ti scrivo quello che ci sarebbe da fare __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email