[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[foxtre]

Fatto tutto come da ultime indicazioni, posto i log di HijackThis e Combo

ComboFix.txt

hijackthis5.log

[wjmat]

l'errore all'avvio non dovresti più averlo vero?
procedi pure con il trattamento post

[foxtre]

Quote:

Originariamente inviato da wjmat

l'errore all'avvio non dovresti più averlo vero?
procedi pure con il trattamento post

No, nessun errore all'avvio! Ok, allora procedo con il trattamento post.
Intanto grazie mille a tutti voi. Troppo gentili e competenti!

[wjmat]

di niente

[Chill-Out]

Quote:

Originariamente inviato da foxtre

No, nessun errore all'avvio! Ok, allora procedo con il trattamento post.
Intanto grazie mille a tutti voi. Troppo gentili e competenti!

Sicuro di aver puilito gli ADS come indicato qui: http://www.hwupgrade.it/forum/showpo...&postcount=798

[foxtre]

Quote:

Originariamente inviato da Chill-Out

Sicuro di aver puilito gli ADS come indicato qui: http://www.hwupgrade.it/forum/showpo...&postcount=798

Sì, avevo fatto la scansione con ADS Scanner. come da te indicato, e mi aveva trovato 5-6 files che ho istantaneamente ripulito.

[Chill-Out]

Ok, allora inserisci in Combofix questo Script

Quote:

ADS::
C:\WINDOWS\system32:winsock32.exe

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{0DA3B9B7-3DB5-97A1-DA31-969D6950BB42}]

allega il log

[foxtre]

Quote:

Originariamente inviato da Chill-Out

Ok, allora inserisci in Combofix questo Script



allega il log

Eccoti il log dopo aver eseguito ciò che mi hai indicato.

ComboFix.txt

[Chill-Out]

Quote:

Originariamente inviato da foxtre

Eccoti il log dopo aver eseguito ciò che mi hai indicato.

ComboFix.txt

Ok ultima cosa e poi dovremmo essere a posto:

scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/R...ools/SDFix.exe

[foxtre]

Quote:

Originariamente inviato da Chill-Out

Ok ultima cosa e poi dovremmo essere a posto:

scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/R...ools/SDFix.exe

Scusa il ritardo, fatto come tue indicazioni.

Eccoti il log: Report.txt

[Chill-Out]

Ok metti in sicurezza il Pc seguendo la Guida linkata da wjmat

Ciao

[foxtre]

Quote:

Originariamente inviato da Chill-Out

Ok metti in sicurezza il Pc seguendo la Guida linkata da wjmat

Ciao

Grazie mille per la disponibiltà. Ciao!

[Chill-Out]

Quote:

Originariamente inviato da foxtre

Grazie mille per la disponibiltà. Ciao!

Prego ciao

[Radmaster]

ragazzi ieri ho formattato, riinstallo windows, alla ricerca di ritrovare online i software che avevo prima del format mi sono infettato con questi vundo...

potevo riformattare, ma perchè dargliela vinta??? quindi dopo ore di scan e fix credo che siano tutti defunti.

ora il sistema mi sembra leggermente piu lento di prima e scannando con nod32 viene fuori che in c:\windows\system32 ho un exe chiamato process.exe che viene rivelato come riskware.

uppato su virustotal mi da queste segnalazioni process.exe

quindi vi chiedo come devo procedere con questo exe...

vi allego anche il log di HJT così vedete se ho eliminato i file dannosi.

grazie a tutti in advance

[wjmat]

Quote:

Originariamente inviato da Radmaster

ragazzi ieri ho formattato, riinstallo windows, alla ricerca di ritrovare online i software che avevo prima del format mi sono infettato con questi vundo...

potevo riformattare, ma perchè dargliela vinta??? quindi dopo ore di scan e fix credo che siano tutti defunti.

ora il sistema mi sembra leggermente piu lento di prima e scannando con nod32 viene fuori che in c:\windows\system32 ho un exe chiamato process.exe che viene rivelato come riskware.

uppato su virustotal mi da queste segnalazioni process.exe

quindi vi chiedo come devo procedere con questo exe...

vi allego anche il log di HJT così vedete se ho eliminato i file dannosi.

grazie a tutti in advance

ciao il log di hjt non lo vedo
vorremmo vedere anche i 4 log richiesti dalla guida

[Radmaster]

Quote:

Originariamente inviato da wjmat

ciao il log di hjt non lo vedo
vorremmo vedere anche i 4 log richiesti dalla guida

si scusa ho edittato dopo per il log di hijackthis

questo è il log di ComboFix, vundofix,fixvundo e virtumundotobegone non mi trovano più risultati.

[wjmat]

Quote:

Originariamente inviato da Radmaster

si scusa ho edittato dopo per il log di hijackthis

questo è il log di ComboFix, vundofix,fixvundo e virtumundotobegone non mi trovano più risultati.

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programmi\ASUS\SmartDoctor\SmartDoctor.exe /start

Fai una scansione completa con Superantispyware
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

[Radmaster]

log di hijackthis

questo è invece il file di superantispyware txt


cosa ne pensi dell'exe Process? sono pulito secondo te?

[wjmat]

ho trovato in giro che quel file può essere lecito, ma può essere corrotto, un utente l'aveva cancellato e da li aveva avuto problemi con l'avvio di alcuni programmi....

fai anche una scansione completa con antivir aggiornato e posta il log

[Radmaster]

Quote:

Originariamente inviato da wjmat

ho trovato in giro che quel file può essere lecito, ma può essere corrotto, un utente l'aveva cancellato e da li aveva avuto problemi con l'avvio di alcuni programmi....

fai anche una scansione completa con antivir aggiornato e posta il log

fatto ma non mi trova niente...