[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[ORNELLA_90]

Quote:

quando hai tempo riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:
Codice:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {00534B55-3155-CA4F-B41D-0E922121D03C} - (no file)
O2 - BHO: (no name) - {1B3DE3E5-DC06-4ADE-ADFE-092005F499F6} - (no file)
O2 - BHO: (no name) - {256E2B19-9812-45C5-842A-689767590779} - (no file)
O2 - BHO: (no name) - {317D1095-5B74-4CC5-8995-327989567562} - (no file)
O2 - BHO: (no name) - {43C31B69-A452-48AD-85C4-A25F41116D62} - (no file)
O2 - BHO: (no name) - {481E7983-1F2B-4250-951A-44E0902DF978} - (no file)
O2 - BHO: (no name) - {50908BCE-B9E2-46BF-8D18-A3C999500864} - (no file)
O2 - BHO: (no name) - {50DFD47B-2672-4E44-B681-E01CE39BE990} - (no file)
O2 - BHO: (no name) - {5B83DE18-2E04-456B-B338-576179AF9285} - (no file)
O2 - BHO: (no name) - {5C5AF64F-B0E8-41F8-8C3C-19E15B00C8DF} - (no file)
O2 - BHO: (no name) - {5CB8E310-CF64-4537-AD89-02E8EF2747AB} - (no file)
O2 - BHO: (no name) - {638F224D-608F-4F75-94EE-EDDEE34A0976} - (no file)
O2 - BHO: (no name) - {65A6F7FC-424B-4CDF-9B29-53DAEC48412C} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: (no name) - {7CAC2CA0-B6A4-444D-9104-06DEFF4C38B5} - (no file)
O2 - BHO: (no name) - {87631AF9-1BB4-4015-846A-AD0B61AAD7C5} - (no file)
O2 - BHO: (no name) - {8D7D2FCD-F428-4FC8-B34A-C670A23BB570} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: (no name) - {ADCFA266-329E-43B9-9D3E-630A85BC8EF0} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {B7625BD7-32AD-4373-BC81-5E6CFE783657} - (no file)
O2 - BHO: (no name) - {B91B5D5E-5429-456A-9EE1-687CB535A799} - (no file)
O2 - BHO: (no name) - {C122F664-5C0D-4263-8623-61B140886C18} - (no file)
O2 - BHO: (no name) - {CCDCE380-7BA0-4C96-BDF3-E617B34E25DB} - (no file)
O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - (no file)
O2 - BHO: (no name) - {E3086A3F-FE82-4A63-897F-A76B7B71699A} - (no file)
O2 - BHO: (no name) - {EC518A6A-E443-414A-8057-A77021E3F93B} - (no file)
O2 - BHO: (no name) - {F3FEA70A-A834-40EC-8A81-A2BAC19B0674} - (no file)
O2 - BHO: (no name) - {FEA1A32B-F9BF-4336-A9E3-4ED1DFED928D} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IndexSearch] "C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programmi\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1167233963359
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1198136318187
O16 - DPF: {BD0D1F18-5561-11DC-A0D9-692F56D89593} - http://zxcd.info/code/1027.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{82C6FCFF-E052-436B-8D20-98D8D9BD5370}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{96968AEC-2429-45B4-9BF9-F68DFDA68D61}: NameServer = 208.67.222.222,208.67.220.220
O20 - Winlogon Notify: awtqo - C:\WINDOWS\
O20 - Winlogon Notify: awtsp - C:\WINDOWS\
O20 - Winlogon Notify: awvvu - C:\WINDOWS\
O20 - Winlogon Notify: ddabc - C:\WINDOWS\
O20 - Winlogon Notify: ddcyx - C:\WINDOWS\
O20 - Winlogon Notify: fcccawu - fcccawu.dll (file missing)
O20 - Winlogon Notify: gebyx - C:\WINDOWS\
O20 - Winlogon Notify: geebc - C:\WINDOWS\
O20 - Winlogon Notify: geebx - C:\WINDOWS\
O20 - Winlogon Notify: jkhhf - C:\WINDOWS\
O20 - Winlogon Notify: jkhhg - C:\WINDOWS\
O20 - Winlogon Notify: mlljh - C:\WINDOWS\
O20 - Winlogon Notify: mllml - C:\WINDOWS\
O20 - Winlogon Notify: opnllkj - opnllkj.dll (file missing)
O20 - Winlogon Notify: pmkhi - C:\WINDOWS\
O20 - Winlogon Notify: pmkji - C:\WINDOWS\
O20 - Winlogon Notify: pmnno - C:\WINDOWS\
O20 - Winlogon Notify: rqroopm - rqroopm.dll (file missing)
O20 - Winlogon Notify: rqrromm - rqrromm.dll (file missing)
O20 - Winlogon Notify: ssqpm - C:\WINDOWS\
O20 - Winlogon Notify: ssqpp - C:\WINDOWS\
O20 - Winlogon Notify: sstts - C:\WINDOWS\
O20 - Winlogon Notify: ssttu - C:\WINDOWS\
O20 - Winlogon Notify: vtsqr - C:\WINDOWS\
O20 - Winlogon Notify: vtutt - C:\WINDOWS\
O20 - Winlogon Notify: xxyvvtu - xxyvvtu.dll (file missing)

giàun bel macello ma prima fixi queste voci è meglio è per il tuo pc, poi imposta i dns di www.opendns.com così eviti che l'infezione si autiripristini tra una scansione e l'altra

proseguiamo qui:
http://www.hwupgrade.it/forum/showthread.php?t=1603273

Scusa non era mia intenzione non curarmi di quello che mi hai scritto è solo che non avevo + aperto quella discussione visto che avevo sbagliato a scrivere lì, comunque non ho capito cosa devo fare con dns (l'ho detto che non so fare proprio niente XD) ma ho fixato quelle voci con HiJackThis (qualcosa la sto imparando grazie a voi) metto ora il nuovo log:
http://wikisend.com/download/929994/hijackthis.log

[Chill-Out]

Quote:

Originariamente inviato da ORNELLA_90

macchè figurati so benissimo che non se po' stà incollati tutto il tempo al pc a risolvere i problemi degli altri! anzi mi dispiace se ho dato fastidio con la mia insistenza comunque a quanto pare tutto è stato risolto (sei l'angelo custode del mio pc!!!) ecco qui i log che mi hai detto di mettere

avenger ---> http://wikisend.com/download/504962/avenger.txt

Prevx CSI ---> http://wikisend.com/download/971138/Prevx CSI.log

Beh che altro dire... grazie (moltiplicato per un numero infinito di volte) di tutto e ciao!!

Quote:

Originariamente inviato da ORNELLA_90

Scusa non era mia intenzione non curarmi di quello che mi hai scritto è solo che non avevo + aperto quella discussione visto che avevo sbagliato a scrivere lì, comunque non ho capito cosa devo fare con dns (l'ho detto che non so fare proprio niente XD) ma ho fixato quelle voci con HiJackThis (qualcosa la sto imparando grazie a voi) metto ora il nuovo log:
http://wikisend.com/download/929994/hijackthis.log

Ciao Ornella sei ok se desideri approfondire leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Come ti diceva il Mod. per ragioni di sicurezza che non sono legate solo all'infezione debellata sarebbe opportuno utilizzare per navigare i server di http://www.opendns.com/

Buon proseguimento sul Forum di HWU

[Red Hot Rocks]

Salve a tutti! Ho anche io il problema di eliminare il malefico virtumonde. Dopo aver cercato la soluzione con spybot e una ventina di programmi simili ( ), ho letto su questo forum che è necessario fixare delle voci nel log di hijackthis. Ora, fatto questo procedimento, credo di aver migliorato qualcosa visto che i messaggi pubblicitari non compaiono più, e il sistema è molto più veloce. Rimane però il problema del browser che credo sia causa del virus ovvero funziona tutto a meraviglia tranne che con i campi di ricerca. Esempio: cerco qualcosa in google o su youtube o wikipedia, vado a farmi un caffè torno e non ha ancora finito di caricare la pagina.
Uso Vista 32bit SP1
Vi posto il log di hjt
http://wikisend.com/download/532562/hijackthis2.txt

Grazie mille in anticipo!

[Chill-Out]

Quote:

Originariamente inviato da Red Hot Rocks

Salve a tutti! Ho anche io il problema di eliminare il malefico virtumonde. Dopo aver cercato la soluzione con spybot e una ventina di programmi simili ( ), ho letto su questo forum che è necessario fixare delle voci nel log di hijackthis. Ora, fatto questo procedimento, credo di aver migliorato qualcosa visto che i messaggi pubblicitari non compaiono più, e il sistema è molto più veloce. Rimane però il problema del browser che credo sia causa del virus ovvero funziona tutto a meraviglia tranne che con i campi di ricerca. Esempio: cerco qualcosa in google o su youtube o wikipedia, vado a farmi un caffè torno e non ha ancora finito di caricare la pagina.
Uso Vista 32bit SP1
Vi posto il log di hjt
http://wikisend.com/download/532562/hijackthis2.txt

Grazie mille in anticipo!

Devi semplicemente seguire questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1603273 ed allegare i log per il controllo, ciao.

[lupin80]

Salve ank'io son incappato in questo virus ma ho un problema in + infatti dopo essermi loggato dopo la schermata di avvio di winxp mi appare la finestra "windows warning message"
dove mi dice ke è stato trovato questo virus

ma poi tutto mi rimane vuoto.
Nessuna icona , nessuna barra niente di niente
Ho provato anke ad entrare in modalità provvisoria ma anke la stesso discorso ,
dopo essermi loggato (qui nn mi appare nessuna immagine) lo schermo rimane vuoto
cosa posso fare ???

p.s. non lo so se è importante comunque il pc infetto è un portatile
spero sappiate aiutarmi

[lupin80]

ecco l'immagine che mi appare

[Gle89]

Quote:

Originariamente inviato da lupin80

ma poi tutto mi rimane vuoto.
Nessuna icona , nessuna barra niente di niente

Prova ad usare questa guida per risolvere il problema delle icone e della barra: http://www.hwupgrade.it/forum/showthread.php?t=1555416

[lupin80]

Quote:

Originariamente inviato da Gle89

Prova ad usare questa guida per risolvere il problema delle icone e della barra: http://www.hwupgrade.it/forum/showthread.php?t=1555416

Purtroppo nn mi affaccia niente ne dal tasto destro del mouse ne dalla combinazione alt+ctrl+canc

Posso muovere solo il puntatore del mouse ma niente di +

[Red Hot Rocks]

Quote:

Originariamente inviato da Chill-Out

Devi semplicemente seguire questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1603273 ed allegare i log per il controllo, ciao.

ecco qui ho seguito il procedimento e sto finendo un ultimo scan da F-Secure (finora solo uno spyware). Nel frattempo posto i log:

Log di Hijack---> http://wikisend.com/download/519268/hijacklog2.txt
VirtumundoBeGone---> http://wikisend.com/download/593678/VBGlog.txt
Combofix---> http://wikisend.com/download/515274/logcombofix.txt

grazie mille per la pazienza


EDIT: l'ultimo scan ha trovato solo un cookie pericoloso.

ri-EDIT: ragazzi scusate ora è tutto ok! il browser funzioona alla grande! grazie mille!

[Chill-Out]

Quote:

Originariamente inviato da Red Hot Rocks

ecco qui ho seguito il procedimento e sto finendo un ultimo scan da F-Secure (finora solo uno spyware). Nel frattempo posto i log:

Log di Hijack---> http://wikisend.com/download/519268/hijacklog2.txt
VirtumundoBeGone---> http://wikisend.com/download/593678/VBGlog.txt
Combofix---> http://wikisend.com/download/515274/logcombofix.txt

grazie mille per la pazienza


EDIT: l'ultimo scan ha trovato solo un cookie pericoloso.

ri-EDIT: ragazzi scusate ora è tutto ok! il browser funzioona alla grande!

grazie mille!

Esegui anche il Punto 6 dopodichè leggi questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

[Chill-Out]

Quote:

Originariamente inviato da lupin80

Purtroppo nn mi affaccia niente ne dal tasto destro del mouse ne dalla combinazione alt+ctrl+canc

Posso muovere solo il puntatore del mouse ma niente di +

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1689812 per creare ed utilizzare Antivir Rescue System ==>> opzione 2 per disinfettare il PC

Ovviamente devi creare il DVD su un Pc funzionante

[lupin80]

Sono riuscito a rimettere in sesto il pc grazie ad un copia live di ubuntu ,
infatti altre a eliminare il virus , ho dovuto ricopiare i file explorer.exe e svchost.exe che erano letteralmente scomparsi (i file li ho presi da un pc con xp pro mentre il portatile monta xp home succede niente?? intanto il pc funziona benissimo )

[ioo]

Quote:

Originariamente inviato da Chill-Out

Elimina, poi segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1603273

per ora ho usato solo combo fix: solo ke durante l acreazione del report mi ha dato 2 errori...


Qst è il log:

Quote:

ComboFix 08-08-21.02 - Administrator 2008-08-22 18.17.19.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.708 [GMT 2:00]
Eseguito da: C:\Documents and Settings\Administrator\Desktop\ComboFix.exe

log rimosso, leggere le Regole di Sezione

189 --- E O F --- 2008-08-15 09:13:18

[Chill-Out]

Rimuovi l'immagine che sfalsa il layout del Forum ed allega tutti i rimanenti log in un'unico post, grazie.

[ioo]

scusa ma era x farti vedere gli errori ke mi aveva dato! ora al riavvio del pc me li ha dati di nuovo!

prima d fare tutto il resto volevo kiederti due cose: dopo aver fatto la scansione mi ha creato in ( C: ) la cartella "QooBox" . Presumo ke qll ke sn dentro siano i presunti file infetti; cosa devo fare cn qst?!
...e poi come disinstallo combofix?! nn c'è tra i programmi... grazie!

[Chill-Out]

Quote:

Originariamente inviato da ioo

scusa ma era x farti vedere gli errori ke mi aveva dato! ora al riavvio del pc me li ha dati di nuovo!

prima d fare tutto il resto volevo kiederti due cose: dopo aver fatto la scansione mi ha creato in ( C: ) la cartella "QooBox" . Presumo ke qll ke sn dentro siano i presunti file infetti; cosa devo fare cn qst?!
...e poi come disinstallo combofix?! nn c'è tra i programmi... grazie!

Non preoccuparti gli errori sono residui del virus, per il resto ovvero come disinstallare Combo e relative cartelle vediamo tutto alla fine

[xcdegasp]

@ ioo:
log rimosso, leggere le Regole di Sezione

[ioo]

Questi sn i log:

http://wikisend.com/download/911288/VBG.TXT


http://wikisend.com/download/649886/ComboFix.txt


http://wikisend.com/download/226664/SUPERAntiSpyware

F-Secure Online l'ho provato 2 volte, e mi si è bloccato il pc, la seconda volta mi si è bloccato mentre scansionava il file "spuninst", nn so cos'è, ma l'ho cercato nel mio pc e tra file e cartelle ho trovato piu d 700 file cn ql nome ....boh, magari nn centra nulla....cmq da qst log ke mi dite!? il pc sembra nn avere piu nulla! solo ke mi rimane un file infetto in "QooBox", la cartella creata da ComboFix, il file è "ljJDWQKc.dll.vir"....ke devo fare!? grazie

[Chill-Out]

Quote:

Originariamente inviato da ioo

Questi sn i log:

http://wikisend.com/download/911288/VBG.TXT


http://wikisend.com/download/649886/ComboFix.txt


http://wikisend.com/download/226664/SUPERAntiSpyware

F-Secure Online l'ho provato 2 volte, e mi si è bloccato il pc, la seconda volta mi si è bloccato mentre scansionava il file "spuninst", nn so cos'è, ma l'ho cercato nel mio pc e tra file e cartelle ho trovato piu d 700 file cn ql nome ....boh, magari nn centra nulla....cmq da qst log ke mi dite!? il pc sembra nn avere piu nulla! solo ke mi rimane un file infetto in "QooBox", la cartella creata da ComboFix, il file è "ljJDWQKc.dll.vir"....ke devo fare!? grazie

Ripeti la scansione con Superantispyware impostando i seguenti parametri:

accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

In alternativa a F-Secure c'è Kaspersky Removal Tool come indicato in Guida

Per quanto riguarda Combo come ti ho già detto precedentemente ci guardiamo alla fine

[ioo]

ho rifatto cm mi hai detto la scansione cn SAS:

http://wikisend.com/download/557520/SUPERAntiSpyware Scan Log - 08-23-2008 - 14-05-20(2).log

per kaspersky ho provato a far la scan on line ma dice ke ho la licenza scaduta!