[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!! - Pagina 47

rob_xxl · 17-07-2008, 08:48

Quote:

Originariamente inviato da rob_xxl

grazie ora provo a farlo i problemi e che ogni tanto mi dice che esplora risorse ha smesso di funzionare che deve riavviare e lo stesso capita con explorer.

lo ho fatto girare mi dice nessun file infetto i porblemi sembrano non comparire piu ma windows defender mi trova sempre trojan.vundo-gen qualcosa di simile...
consigli? è stato eliminato?
grazie

wjmat · 18-07-2008, 09:22

windows defender potresti anche disattivarlo e per le sue rilevazioni non saprei...

per gli errori
Fai Start -> esegui -> digita eventvwr (invio)
A sinistra clicca su Applicazione -> nella finestra di destra cerca l'eventuale errore controllando la data e l'ora dell'evento
La stessa cosa falla anche per le altre voci sulla sinistra.
Quando trovi i probabili errori doppio click su di essi -> nella finestra che si apre clicca sul simbolo "Copia" sotto la freccia in giù -> incolla tutte le informazioni così copiate in un file di testo -> carica il file di testo con la funzione gestisci allegati

albe_89_ · 19-07-2008, 17:50

ecco i miei log:

http://www.mediafire.com/?nht3tynj2g7

adesso è in corso la scansione con Kaspersky Virus Removal Tool e dopo faccio quella con SuperAntiSpyware

wjmat · 20-07-2008, 13:04

Quote:

Originariamente inviato da albe_89_

ecco i miei log:

http://www.mediafire.com/?nht3tynj2g7

adesso è in corso la scansione con Kaspersky Virus Removal Tool e dopo faccio quella con SuperAntiSpyware

un pò di roba è stata eliminata
elimina manualmente

Codice:

C:\WINDOWS\system32\ssqOHyyV.dll.vir
C:\WINDOWS\system32\pxklapkg.dll.vir
C:\WINDOWS\system32\xxyaYqRl.dll.vir

massi88dux · 21-07-2008, 20:04

idem con patate...stesso palloso virus...

ecco il log con hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.03.26, on 21/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\uTorrent\uTorrent.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it&source=iglk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [uTorrent] "C:\Programmi\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Transfer with Image Converter 2 - C:\Programmi\Sony\Image Converter 2\menu.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1216503671703
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe

--
End of file - 5822 bytes

mi potete aiutare?????

wjmat · 21-07-2008, 20:13

segui la guida nel primo post

sarebbe meglio che tu caricassi tutti i log secondo le modalità

ClaKK · 28-07-2008, 12:38

Ciao ragazzi, ho appena rimosso (spero) Virtumonde seguendo svariate guide trovate su questo e altri forum...volevo qualche conferma e magari consigli su altra roba da rimuovere o installare (visto che fino ad oggi credevo che spybot fosse il miglior antispyware sulla piazza

)

ecco il log di HJT:

wjmat · 28-07-2008, 12:40

Quote:

Originariamente inviato da ClaKK

Ciao ragazzi, ho appena rimosso (spero) Virtumonde seguendo svariate guide trovate su questo e altri forum...volevo qualche conferma e magari consigli su altra roba da rimuovere o installare (visto che fino ad oggi credevo che spybot fosse il miglior antispyware sulla piazza

)

ecco il log di HJT:

ciao
carica anche il log di combo e virtumondo

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [RemoteControl8] C:\Programmi\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programmi\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O20 - Winlogon Notify: yayyvtUk - yayyvtUk.dll (file missing)

ClaKK · 28-07-2008, 12:56

ecco gli altri due log e il nuovo log di hjt...odio combofix, mi cambia troppe impostazioni nel pc

Non so perchè, ma quel yayyvtUk.dll è rimasto lì anche dopo che l'ho fixato...

wjmat · 28-07-2008, 13:13

Quote:

Originariamente inviato da ClaKK

ecco gli altri due log e il nuovo log di hjt...odio combofix, mi cambia troppe impostazioni nel pc

Non so perchè, ma quel yayyvtUk.dll è rimasto lì anche dopo che l'ho fixato...

combo sembra non abbia rimosso nulla relativo a vundo, che altri tool hai utilizzato? hai dei loro log?

vedo riferimenti nel registro a ufo.exe....

Fai una scansione completa con Superantispyware
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

Fai una scansione con Kaspersky Removal Tool che puoi scaricare da qui

Doppio click sul file scaricato → Next → Next → Si aprirà il tool
Lascia spuntati System Memory, Startup Objects, Disk boot sector
Spunta Risorse del Computer → Clicca su scan
A fine scansione apparirà una finestrella con le eventuali segnalazioni ed operazioni da fare → metti la spunta su "Apply to all" e clicca su Delete
Clicca su Reports... → Save to file → scegli un nome → salva
Esci dal programma e clicca su Si per disinstallare il tool, → Si per riavviare il Pc
Carica il log

I log dato che sarà molto pesante o lo zippi e lo carichi secondo le modalità sui server remoti, oppure scarichi da qui un programmino in java per alleggerire il log.

Estrailo in una cartella
Lancia cureit.jar
Clicca Scegli file
Seleziona il log
Spunta upload automatico e conversione
Esegui conversione
Attendi il termine delle operazioni nella finestra che si apre e poi clicca sulla X per chiuderla
Ora ci sarà il nuovo log "filtrato" o sul desktop o già caricato su un server remoto all'indirizzo che appare nell finestra del programma
Per comodità incolla nella discussione l'indirizzo ti fornisce il programma (es.http://www.hwupgrade.helloweb.eu/Par...0123456789.txt)

ClaKK · 28-07-2008, 13:25

i programmi che ho usato sono quelli segnalati in prima pagina e a-squared...però i log che ho postato sono di una scansione fatta ora,non di quella che ha rimosso il virtumonde!! purtroppo quelli li ho cancellati

l'ultima scansione di superantispyware non ha rilevato nulla, se vuoi posto il log anche di quella..intanto uso kaspersky removal tool!

wjmat · 28-07-2008, 13:37

carica entrambi i log (erano tutte scansioni complete? sas era configurato adeguatamente?)

Il log di A-squared lo recuperi facendo Start -> Esegui -> Copia ed incolla il testo rosso
%USERPROFILE%\My Documents\a-squared\Reports (invio)

ClaKK · 28-07-2008, 13:50

entrambi configurati come spiegato nelle guide

la cartella reports di a-squared free è vuota...però ho trovato il log di SAS quando ha rimosso le ultime tracce del virus!

wjmat · 28-07-2008, 14:54

ok, aspettiamo il log di kasp

Fai una anche scansione completa con Malwarebytes' Anti-Malware è molto veloce rispetto agli altri, e voglio vedere se elimina alcune tracce nel registro che altrimenti dovremo eliminare con combo...
Lancialo e sotto la scheda " Aggiornamento" clicca su "Controlla aggiornamenti" fallo aggiornare, o riavviare e reinstallare se trova una nuova versione.
Una volta aggiornato sotto la scheda "Scansione" seleziona "Effettua una scansione completa"
Clicca su scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione"

A fine scansione seleziona tutte le voci trovate e metti tutto in quarantena.

Si aprirà il log che dovrai caricare, lo recuperi o dal programma sotto la scheda "Files di log" oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)

ClaKK · 28-07-2008, 17:48

questo è quello di malwarebytes...ha trovato altri vundo

wjmat · 28-07-2008, 18:00

manca quello di kasp e poi facciamo un intervento manuale con combo

ClaKK · 28-07-2008, 18:19

ecchilo! http://wikisend.com/download/570660/kaspersky.txt

**Chill-Out** · 28-07-2008, 23:23

Quote:

Originariamente inviato da ClaKK

ecchilo!

Devi prestare attenzione a cosa scarichi da emule, ci sono valide alternative free rispetto ai software più blasonati quindi a pagamento, non mi sembra di aver visto il log di combofix, ciao.

wjmat · 29-07-2008, 19:45

nel log di combo ci sono questi che non mi piacciono

Codice:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8606fe0c-f5be-11dc-9aea-0011675ac4b7}]
\Shell\Auto\command - UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6a7f41b-0e4b-11dc-80ca-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

aspettiamo che dia un occhio anche chill, e poi preparariamo uno script da dare in pasto a combo per pulire il registro

x chill
cosi può andare o va sistemata?

Codice:

registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8606fe0c-f5be-11dc-9aea-0011675ac4b7}]
\Shell\Auto\command - UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6a7f41b-0e4b-11dc-80ca-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

**Chill-Out** · 29-07-2008, 22:49

Quote:

Originariamente inviato da wjmat

nel log di combo ci sono questi che non mi piacciono

Codice:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8606fe0c-f5be-11dc-9aea-0011675ac4b7}]
\Shell\Auto\command - UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6a7f41b-0e4b-11dc-80ca-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

aspettiamo che dia un occhio anche chill, e poi preparariamo uno script da dare in pasto a combo per pulire il registro

x chill
cosi può andare o va sistemata?

Codice:

registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8606fe0c-f5be-11dc-9aea-0011675ac4b7}]
\Shell\Auto\command - UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6a7f41b-0e4b-11dc-80ca-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

Così è Ok

Quote:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8606fe0c-f5be-11dc-9aea-0011675ac4b7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6a7f41b-0e4b-11dc-80ca-806d6172696f}]

18-07-2008, 09:22	#922
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	windows defender potresti anche disattivarlo e per le sue rilevazioni non saprei... per gli errori Fai Start -> esegui -> digita eventvwr (invio) A sinistra clicca su Applicazione -> nella finestra di destra cerca l'eventuale errore controllando la data e l'ora dell'evento La stessa cosa falla anche per le altre voci sulla sinistra. Quando trovi i probabili errori doppio click su di essi -> nella finestra che si apre clicca sul simbolo "Copia" sotto la freccia in giù -> incolla tutte le informazioni così copiate in un file di testo -> carica il file di testo con la funzione gestisci allegati __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

21-07-2008, 20:13	#926
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	x massi88dux segui la guida nel primo post sarebbe meglio che tu caricassi tutti i log secondo le modalità __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

28-07-2008, 13:37	#932
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	carica entrambi i log (erano tutte scansioni complete? sas era configurato adeguatamente?) Il log di A-squared lo recuperi facendo Start -> Esegui -> Copia ed incolla il testo rosso %USERPROFILE%\My Documents\a-squared\Reports (invio) __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

28-07-2008, 14:54	#934
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	ok, aspettiamo il log di kasp Fai una anche scansione completa con Malwarebytes' Anti-Malware è molto veloce rispetto agli altri, e voglio vedere se elimina alcune tracce nel registro che altrimenti dovremo eliminare con combo... Lancialo e sotto la scheda " Aggiornamento" clicca su "Controlla aggiornamenti" fallo aggiornare, o riavviare e reinstallare se trova una nuova versione. Una volta aggiornato sotto la scheda "Scansione" seleziona "Effettua una scansione completa" Clicca su scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione" A fine scansione seleziona tutte le voci trovate e metti tutto in quarantena. Si aprirà il log che dovrai caricare, lo recuperi o dal programma sotto la scheda "Files di log" oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio) __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 28-07-2008 alle 14:56.

28-07-2008, 18:00	#936
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	manca quello di kasp e poi facciamo un intervento manuale con combo __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

19-07-2008, 17:50	#923
albe_89_ Junior Member Iscritto dal: Jul 2008 Messaggi: 12	ecco i miei log: http://www.mediafire.com/?nht3tynj2g7 adesso è in corso la scansione con Kaspersky Virus Removal Tool e dopo faccio quella con SuperAntiSpyware

21-07-2008, 20:04	#925
massi88dux Senior Member Iscritto dal: May 2006 Città: Firenze Messaggi: 502	idem con patate...stesso palloso virus... ecco il log con hijack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21.03.26, on 21/07/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programmi\HP\HP Software Update\HPWuSchd2.exe C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Programmi\Windows Live\Messenger\usnsvc.exe C:\Programmi\uTorrent\uTorrent.exe C:\Programmi\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it&source=iglk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [uTorrent] "C:\Programmi\uTorrent\uTorrent.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Transfer with Image Converter 2 - C:\Programmi\Sony\Image Converter 2\menu.htm O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1216503671703 O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe -- End of file - 5822 bytes mi potete aiutare?????

28-07-2008, 13:25	#931
ClaKK Junior Member Iscritto dal: Apr 2006 Città: Roma Messaggi: 22	i programmi che ho usato sono quelli segnalati in prima pagina e a-squared...però i log che ho postato sono di una scansione fatta ora,non di quella che ha rimosso il virtumonde!! purtroppo quelli li ho cancellati l'ultima scansione di superantispyware non ha rilevato nulla, se vuoi posto il log anche di quella..intanto uso kaspersky removal tool!

28-07-2008, 18:19	#937
ClaKK Junior Member Iscritto dal: Apr 2006 Città: Roma Messaggi: 22	ecchilo! http://wikisend.com/download/570660/kaspersky.txt Ultima modifica di ClaKK : 29-07-2008 alle 00:14.

Strumenti
Mostra una versione stampabile Invia questa pagina per email