[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[xcdegasp]

novità?

[Nuz]

Segnalo Norman Vundo Clean:

http://download.norman.no/public/Nor...do_Cleaner.exe

[sensitive]

Ragazzi anche io mi son beccato virtumonde ed ho eseguito quanto suggerito nella prima pagina:
a) ho disabilitato ripristino del sistema
b) ho utilizzato VirtumundoBeGone.exe
di cui riporto il log:
log rimosso, leggere le Regole di Sezione

Adesso sto effettuando una scansione con Spybot!
Speriamo che sia la volta buona.
Attendo istruzioni.
GRAZIEEEEEEE

[sensitive]

Credo che possa tornarvi utile, vi allego anche il file (grazie):


Logfile of Trend Micro HijackThis v2.0.2
log rimosso, leggere le Regole di Sezione

--
End of file - 6532 bytes

[wjmat]

Riedita i tuoi post caricando i log secondo le modalità
Poi cominceremo a guardarci sopra

modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati → si aprirà una finestra → Click su Sfoglia → seleziona il file da caricare → Click su Carica → sotto allegati correnti vedrai il tuo log caricato → Chiudi la finestra
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito → clicca su sfoglia → seleziona il file da caricare → poi invia o upload → aspetta che venga caricato → copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse salvale in JPG, essendo più leggere, e caricale su fileqube.com che permette di visualizzarle direttamente online.

spyboot lascialo perdere per il momento

[Chill-Out]

Quote:

Originariamente inviato da Nuz

Segnalo Norman Vundo Clean:

http://download.norman.no/public/Nor...do_Cleaner.exe

Grazie Nuz aspettavo il momento per testarlo

[alex75it]

Ragazzi, scusate se riposto qui....ho notato che non mi parte piu' in automatico l'autoplay del lettore CD/DVD.
Mi riferisco a quella schermata che compare, quando inserisco un supporto,
che mi permette di scegliere con quale applicazione partire.
E' stato disattivato volutamente nel processo che abbiamo fatto?
No perche' non son riuscito a riattivarlo.
Grazie

[sensitive]

Quote:

Originariamente inviato da wjmat

Riedita i tuoi post caricando i log secondo le modalità
Poi cominceremo a guardarci sopra

modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati → si aprirà una finestra → Click su Sfoglia → seleziona il file da caricare → Click su Carica → sotto allegati correnti vedrai il tuo log caricato → Chiudi la finestra
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito → clicca su sfoglia → seleziona il file da caricare → poi invia o upload → aspetta che venga caricato → copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse salvale in JPG, essendo più leggere, e caricale su fileqube.com che permette di visualizzarle direttamente online.

spyboot lascialo perdere per il momento

Ok.
Allora l'ordine è sempre quello che ho fornito nel precedente post e cioè:
ho disabilitato il ripristino del sistema.
b) ho utilizzato VirtumundoBeGone.exe
e di seguito c'è l'allegato.

[sensitive]

ed ancora il log combofix.log

[sensitive]

E per concludere il log di hijackthis.log

Adesso vi prego datemi una mano!!
Ciao e grazie

[wjmat]

Quote:

Originariamente inviato da sensitive

E per concludere il log di hijackthis.log

Adesso vi prego datemi una mano!!
Ciao e grazie

cosi va meglio anche se hjt manca e dovevi editare i post precedenti
pensa se 4-5 persone come te incollano log chilometrici contemporaneamente...già fa caldo.... abbiamo bisogno di collaborazione

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [HP Software Update] c:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware15] "D:\Programmi\ScanSoft\OmniPage15.0\Opware15.exe"
O4 - HKLM..Run: [PDF3 Registry Controller] "D:ProgrammiScanSoftOmniPage15.0PDFConverter3\RegistryController.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Fai pulizia con ccleaner
Rimuovi questi files manualmente (in caso il 2° dia problemi vediamo dopo)
D:\WINDOWS\system32\mlJYqRLC.dll.vir
D:\WINDOWS\002699_.tmp

[wjmat]

Quote:

Originariamente inviato da alex75it

Ragazzi, scusate se riposto qui....ho notato che non mi parte piu' in automatico l'autoplay del lettore CD/DVD.
Mi riferisco a quella schermata che compare, quando inserisco un supporto,
che mi permette di scegliere con quale applicazione partire.
E' stato disattivato volutamente nel processo che abbiamo fatto?
No perche' non son riuscito a riattivarlo.
Grazie

guarda qui
http://support.microsoft.com/kb/330135/it

[sensitive]

Quote:

Originariamente inviato da wjmat

cosi va meglio anche se hjt manca e dovevi editare i post precedenti
pensa se 4-5 persone come te incollano log chilometrici contemporaneamente...già fa caldo.... abbiamo bisogno di collaborazione

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [HP Software Update] c:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware15] "D:\Programmi\ScanSoft\OmniPage15.0\Opware15.exe"
O4 - HKLM..Run: [PDF3 Registry Controller] "D:ProgrammiScanSoftOmniPage15.0PDFConverter3\RegistryController.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Fai pulizia con ccleaner
Rimuovi questi files manualmente (in caso il 2° dia problemi vediamo dopo)
D:\WINDOWS\system32\mlJYqRLC.dll.vir
D:\WINDOWS\002699_.tmp

Condivido tutto ciò che hai riportato.
Però sai cosa succede (credo a tutti) che quando abbiamo un problema simile, entriamo in agitazione, magari anche psicomotoria, e spesso non ci soffermiamo a leggere ciò che altri hanno fatto. Ci facciamo prendere dall'ansia che spesso ci induce a commettere più errori.
Comunque adesso sono al lavoro, non appena rientrerò provvederò a mettere in atto i tuoi suggerimenti,

Ancora: cosa si può fare per prevenire queste emerite rotture !!!
Il pc è protetto da Avira e fino ad un paio di giorni addietro avevo anche spyware terminator installato ma come vedi mi sono infettato lo stesso!!
Mi sono rotto e l'ho disinstallato e ho caricato spybot.
Infine hai idea come ripristinare il windows update ? Credo che quel maledetto spyware mi abbia corrotto wupdmgr.exe
GRAZIE MILLEEEEEEE

[sensitive]

Ho fatto tutto quello consigliato da wjmat.
Ti allego quindi il log di hijackthis.txt
Fammi sapere.
Ciao

[wjmat]

x sensitive
Fai una scansione completa con Superantispyware
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

[sensitive]

Quote:

Originariamente inviato da wjmat

x sensitive
Fai una scansione completa con Superantispyware
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

Tutto fatto.
Ecco in allegato il log
Credo che dovrebber essere tutt ok.
Aspetto confortanti notizie.Grazie
(SPERO!)

[wjmat]

ti avevo detto completa non fare il furbo

[sensitive]

Quote:

Originariamente inviato da wjmat

ti avevo detto completa non fare il furbo

Non ho fatto il furbo!!
E' completo! Ho ricontrollato ed il log è proprio quello che ti ho allegato!
SOB!!!

[wjmat]

io vedo

Codice:

Scan type       : Quick Scan
Total Scan Time : 00:17:44

[sensitive]

Quote:

Originariamente inviato da wjmat

io vedo

Codice:

Scan type       : Quick Scan
Total Scan Time : 00:17:44

Non l'ho fatto coscientemente!

Non me ne sono completamente accorto. Ma secondo te è il caso di rifarla ?