[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[sienfun]

Dimenticavo

O16 - DPF: {BD0D1F18-5561-11DC-A0D9-692F56D89593} -
non mi ricorda proprio niente

[Naufr4g0]

Salve a tutti, anche io sono stato infettato da un trojan vundo.
Ho scaricato i software consigliati all'inizio del thread e sto facendo le scansioni.
Ma questi tools riusciranno a rimuovere il trojan o sarà necessario fare una passata di tutti gli antivirus nominati?
Inoltre il vundofix cerca di ruomere i file trovati, ma vuole riavviare il computer e in che modalità dovrei riavviare?

[Chill-Out]

@sienfun

edita il link al post #61

[Naufr4g0]

Eccovi il link dell'archivio contenente tutti i log dei programmi suggeriti dal thread --> http://naufr4g0.web-gratis.net/logs.zip

Trascrivo inoltre i file trovati dal VundoFix:

Codice:

d:\windows\system32\ddayv.dll
d:\windows\system32\ddayv.exe
d:\windows\system32\ljjklkh.dll
d:\windows\system32\vyadd.ini
d:\windows\system32\vyadd.ini2

Dopo aver utilizzato gli antivirus la situazione va un po' meglio, tuttavia non riesco ancora a rimuovere i file:

Codice:

d:\windows\system32\ddayv.dll
d:\windows\system32\ddayv.exe

Poi ditemi pure se va bene come ho allegato i logs.
Volevo allegarli tutti come txt, ma c'era il limite di 3 file max.

[sienfun]

@ Chill-Out

Scusa ma cosa intendi per edita il link ?
Lo devo lanciare?
E' una riga del Log di Hthis , lo devo fixare?

[Riverside]

Quote:

Originariamente inviato da sienfun

Ecco il report di Virustotal

Bene Sienfun, ora prosegui cosi:

Scarica AVENGER (Non richiede l’installazione)
clicca qui per il download

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● avvialo
● seleziona Input script manually e clicca sulla lente d'ingrandimento
● nella nuova finestra incolla questo script (tutto il testo in rosso):

Files to delete:
C:\WINDOWS\System32\fisbshgw.dll

● clicca sul pulsante Done
● clicca sull'icona semaforo verde
● rispondi yes
● Il P.C. dovrebbe riavviarsi da solo; altrimenti riavvia manualmente
● al riavvio del sistema verrà salvato un log in C:\avenger.txt
allega il log che verrà rilasciato

Quote:

Originariamente inviato da sienfun

Dimenticavo
O16 - DPF: {BD0D1F18-5561-11DC-A0D9-692F56D89593} - http://zx..........exe
non mi ricorda proprio niente

Fixala con Hthis.

Al termine, allega, anche, un nuovo log di HThis.

[deneb87]

Quote:

Originariamente inviato da sienfun

@ Chill-Out

Scusa ma cosa intendi per edita il link ?
Lo devo lanciare?
E' una riga del Log di Hthis , lo devo fixare?

editala nel senso: modifica il post e fai in modo che il link non sia cliccabile per evitare che qualcuno cliccandoci si infetti

[sienfun]

@ Riverside

Ecco il link per Avenger
http://www.zshare.net/download/62791018442640/
E il nuovo log di Hthis dopo aver fixato la riga indicata
http://www.zshare.net/download/6279130eeeab2f/

@ deneb87 and Chill-Out

Fatto !

[Riverside]

Quote:

Originariamente inviato da sienfun

Ecco il link per Avenger .... E il nuovo log di Hthis dopo aver fixato la riga indicata

Ok, devi fixare questa:

O2 - BHO: {40003cd2-71c9-3f8b-6574-3ee683b134ba} - {ab431b38-6ee3-4756-b8f3-9c172dc30004} - C:\WINDOWS\System32\fisbshgw.dll (file missing)

se non sai di cosa si tratta, fixa anhe questa:

O24 - Desktop Component 0: (no name) - http://nea.ngi.it/splinder/img/sfondo-inch2.jpg

aggiorna INTERNET EXPLORER:
clicca qui per il download

dai una bella ripulita con CCleaner, e per quanto mi riguarda, il tuo problema è risolto.

[Riverside]

Quote:

Originariamente inviato da Naufr4g0

Eccovi il link dell'archivio contenente tutti i log dei programmi suggeriti dal thread --> Poi ditemi pure se va bene come ho allegato i logs.

MODALITA’ DI PUBBLICAZIONE DEI LOG RICHIESTI:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare, pubblicando, nella discussione, il link che verrà rilasciato per il download

quindi riallegali tutti, singolarmente, in formato txt e non zippati, per favore.

[Naufr4g0]

Ok, un file lo ho uppato su zShare:

prevxcsi.txt - 0.36MB

..altri invece sono in allegato in questo post e sul successivo.

[Naufr4g0]

Gli altri due log

[sienfun]

Tutto sembra essere tornato a funzionare per il meglio.
Ringrazio tutti immensamente per l'attenzione.....e per la pazienza
Sienfun

[Naufr4g0]

Ogni volta che riavvio il computer spuntano nel task manager 4-5 programmi che hanno il nome copiato da altri programmi, ma con uno spazio prima dell'estensione .exe.
I tool per rimuovere Vundo sembrano funzionare in un primo momento, ma poi tutti i file cancellati rispuntano prepotentemente.
Consigli? Anche ad altri si è manifestato così questo virus?

Quote:

Originariamente inviato da Naufr4g0

Ogni volta che riavvio il computer spuntano nel task manager 4-5 programmi che hanno il nome copiato da altri programmi, ma con uno spazio prima dell'estensione .exe.
I tool per rimuovere Vundo sembrano funzionare in un primo momento, ma poi tutti i file cancellati rispuntano prepotentemente.
Consigli? Anche ad altri si è manifestato così questo virus?

ciao, se hai seguito alla lettera la procedura indicata nella guida, nel frattempo che aspetti che vengano controllati i log ...io ti consiglierei anche una scansione con superantispyware (un programma rinomato per eliminare infezioni di questo genere) male non fa ...nel caso credo che ti faranno rimuovere gli elementi più resistenti con avenger
ciao

[Chill-Out]

il system restore l'hai disabilitato vero?

[Riverside]

@ Naufr4g0 a guardare i log che hai pubblicato ..... bah ...... lasciamo perdere e stendiamo un velo pietoso .....
Mi serve una informazione: hai, per caso, utilizzato nLite per crearti un cd boot?

[Naufr4g0]

Quote:

Originariamente inviato da Riverside

@ Naufr4g0 a guardare i log che hai pubblicato ..... bah ...... lasciamo perdere e stendiamo un velo pietoso .....
Mi serve una informazione: hai, per caso, utilizzato nLite per crearti un cd boot?

Cosa c'era di sbagliato nei miei log??
No non l'ho usato, però ho scaricato una copia di windows con tutte le ultime patch installate, invece di crearmi un cd di boot io con nLite.
Credo cmq che chi l'ha fatto abbia usato proprio nLite. Non mi pare ci siano altri sistemi più pratici.

[Riverside]

Quote:

Originariamente inviato da Naufr4g0

Cosa c'era di sbagliato nei miei log??

Non è la domanda esatta; di sbagliato non c'era nulla: è quel che c'era

Rilancia Hthis, e fixa queste voci:

O4 - HKCU\..\Policies\Explorer\Run: [NTSecurity] NTSecurity.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O23 - Service: RPC Security - Unknown owner - D:\WINDOWS\svchost.exe (file missing)

Poi, dopo aver Disabilitato il Ripristino configurazione di sistema procedendo in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto

Svuota il contenuto della cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows
● aprila ed, al suo interno, cerca la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno
mi raccomando, non eliminare la cartella

ripeti le scansione con COMBO, ed allega, nuovamente, il relativo log

Scarica PREVX CSI (richiede l’installazione)
clicca qui per il download

Una volta installato, lancialo:
● esegui una scansione
al termine della scansione, clicca su:
● Options
● Save Log
allega il log che verrà rilasciato

[Naufr4g0]

Il log di prevx CSI devo metterlo tutto o solo la parte relativa ai file infetti?
Non vorrei mettere troppe cose!
Intanto incollo il file infetto che ora è solo 1:

Codice:

D:\WINDOWS\system32\ddayv.dll
	Loaded into: D:\WINDOWS\system32\lsass.exe
	Loaded into: D:\WINDOWS\Explorer.EXE
	Loaded into: D:\Programmi\Mozilla Firefox\firefox.exe
	Loaded from: FILE
PX5: A91805770069C14BF452048820F8F300C469883C
MD5: 32273ad4f09bbea40e409cd006785170
Determination: BAD
Malware Group: Trojan.Vundo