[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[HKing]

Salve a tutti. Quando avvio msn si apre un windows istaller e succesivamente mi da errore: Si è verificato un errore imprevisto durante l'istallazione di questo pacchetto. Probabile problema con questo pacchetto.Il codice errore è 2771. Ho fatto una scansione Malwarebytes' Anti-Malware e ho trovato dei virus tra cui vundo. Allego i log della scansione: http://www.fileqube.com/shared/eiYHYXng92304. Il problema ancora non si è risolto.

HiJackThis: http://www.fileqube.com/shared/gvMrsUS92303
VirtumundoBeGone: http://www.fileqube.com/shared/tEeSLq92307
ComboFix: http://www.fileqube.com/shared/gSjGXXezD92309

[HKing]

Problema risolto ho disistallo e ristallato msn non mi da errore e funziona ma non so se il vundo si è levato.

[Chill-Out]

Per poter ricevere assistenza dovete allegare i log dei tool indicati in Guida ovvero:

VirtumundoBeGone
ComboFix
F-secure o Kaspersky removal tool
SuperAntiSpyware
HijackThis

grazie per la collaborazione

[HKing]

F-Secure OnLine Scanner come faccio a vedere i log?? E superantyspyware non ha trovato nulla quindi è inutile.

[Chill-Out]

Quote:

Originariamente inviato da HKing

F-Secure OnLine Scanner come faccio a vedere i log?? E superantyspyware non ha trovato nulla quindi è inutile.

Per quanto concerne F-Secure leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1751772 in ogni caso i log vanno allegati indipendetemente dal responso.

[dream4somebody]

ecco i links ai vari log:

- virtumundobegone http://www.mediafire.com/?nmy0i9entlc

- combofix http://www.mediafire.com/?io4nvihdmot

- HiJackThis http://www.mediafire.com/?jpitmmolukx

- SUPERAntiSpyware http://www.mediafire.com/?ybwtnwzmfgt

- Fsecure http://www.mediafire.com/?hx3nj1zjgzm

grazie per la cortese attenzione

[Chill-Out]

Quote:

Originariamente inviato da dream4somebody

ecco i links ai vari log:

- virtumundobegone http://www.mediafire.com/?nmy0i9entlc

- combofix http://www.mediafire.com/?io4nvihdmot

- HiJackThis http://www.mediafire.com/?jpitmmolukx

- SUPERAntiSpyware http://www.mediafire.com/?ybwtnwzmfgt

- Fsecure http://www.mediafire.com/?hx3nj1zjgzm

grazie per la cortese attenzione

Ripeti la scansione con Superantispyware impostando i seguenti parametri:

accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

Controlla su http://www.virustotal.com/it/ e http://virscan.org/ il seguente file C:\WINDOWS\system32\CF5719.exe copia ed incolla nel prossimo post il risultato dell'analisi

Dimmi se riscontri ancora problemi, ciao.

[dream4somebody]

Quote:

Originariamente inviato da Chill-Out

Ripeti la scansione con Superantispyware impostando i seguenti parametri:

accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

Controlla su http://www.virustotal.com/it/ e http://virscan.org/ il seguente file C:\WINDOWS\system32\CF5719.exe copia ed incolla nel prossimo post il risultato dell'analisi

Dimmi se riscontri ancora problemi, ciao.

grazie innanzitutto per l'aiuto, ecco i log di SuperAntiSpyware e il report di VirusTotal (vir scan si impalla sullo step 2 analyzing file).
http://www.virustotal.com/it/analisi...020e1280d04188

P.s. il file C:\WINDOWS\system32\CF5719.exe non esiste ho scansionato con VirusTotal C:combofix.exe

[Chill-Out]

Quote:

Originariamente inviato da dream4somebody

grazie innanzitutto per l'aiuto, ecco i log di SuperAntiSpyware e il report di VirusTotal (vir scan si impalla sullo step 2 analyzing file).
http://www.virustotal.com/it/analisi...020e1280d04188

P.s. il file C:\WINDOWS\system32\CF5719.exe non esiste ho scansionato con VirusTotal C:combofix.exe

bene dimmi come và il Pc, il file xhe ti ho chiesto di scansionare è questo C:\WINDOWS\system32\CF5719.exe ed è presente nel tuo log di HJT vedi http://www.mediafire.com/?jpitmmolukx, allega un nuovo log.

[dream4somebody]

Quote:

Originariamente inviato da Chill-Out

bene dimmi come và il Pc, il file xhe ti ho chiesto di scansionare è questo C:\WINDOWS\system32\CF5719.exe ed è presente nel tuo log di HJT vedi http://www.mediafire.com/?jpitmmolukx, allega un nuovo log.

ho capito cosa è successo, avevo combofix in esecuzione quando ho fatto girare hjt, quindi quello dovrebbe essere l'eseguibile di combofix che di sicuro è stato rimosso appena finita la scansione..

cmq il Pc sembra tutto ok, non rilevo vundo o simili..niente pop up strani, solo che ora ho resident S&D, avira e online armor , prima usavo avast e winzozz firewall, grazie per l'aiuto

[Chill-Out]

Quote:

Originariamente inviato da dream4somebody

ho capito cosa è successo, avevo combofix in esecuzione quando ho fatto girare hjt, quindi quello dovrebbe essere l'eseguibile di combofix che di sicuro è stato rimosso appena finita la scansione..

cmq il Pc sembra tutto ok, non rilevo vundo o simili..niente pop up strani, solo che ora ho resident S&D, avira e online armor , prima usavo avast e winzozz firewall, grazie per l'aiuto

Non ho capito perchè hai allegato il log qui http://www.hwupgrade.it/forum/showpo...postcount=9740 comunqeu adesso sei Ok, aggiungo inoltre che la tua configurazione di sicurezza attuale supera di gran lunga la precedente, ti consiglio di leggere qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

[dream4somebody]

Quote:

Originariamente inviato da Chill-Out

Non ho capito perchè hai allegato il log qui http://www.hwupgrade.it/forum/showpo...postcount=9740 comunqeu adesso sei Ok, aggiungo inoltre che la tua configurazione di sicurezza attuale supera di gran lunga la precedente, ti consiglio di leggere qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

in quanto volevo sapere se c'era altro oltre a virutumonde/vundo, e aumentare le prestazioni, grazie di nuovo, avevo già letto il post-disinfezione

[superkairo]

Ecco i miei files:

http://www.mediafire.com/file/bdrk6bpqivz/ComboFix.txt

http://www.mediafire.com/file/nrnn0cxfehw/VBG.TXT

http://www.mediafire.com/file/lwz22mw5cdh/Kaspersky.txt

http://www.mediafire.com/file/n4s1bk...hijackthis.log

Come sono messo?
Superantispyware è tornato a piantarsi.

Anche se torno a dire che per me il mio pc non presenta anomalie all'uso.

Anche se stavolta, e la seconda procedura che lancio, combofix ha trovato un file nascosto e l'orologio e sfasato di 4 ore, non è tornato a posto.

[Chill-Out]

Quote:

Originariamente inviato da superkairo

Ecco i miei files:

http://www.mediafire.com/file/bdrk6bpqivz/ComboFix.txt

http://www.mediafire.com/file/nrnn0cxfehw/VBG.TXT

http://www.mediafire.com/file/lwz22mw5cdh/Kaspersky.txt

http://www.mediafire.com/file/n4s1bk...hijackthis.log

Come sono messo?
Superantispyware è tornato a piantarsi.

Anche se torno a dire che per me il mio pc non presenta anomalie all'uso.

Anche se stavolta, e la seconda procedura che lancio, combofix ha trovato un file nascosto e l'orologio e sfasato di 4 ore, non è tornato a posto.

- Apri il Blocco Note copia e incolla queste righe:

Quote:

File::
C:\DOCUME~1\Fabio\IMPOST~1\Temp\TMP4352$.TMP

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Per quanto riguarda l'orologio verifica qui Start -> Pannello di controllo -> Opzioni internazionali e della lingua -> Standard e formati che sia tutto in regola

[superkairo]

Ecco qui il nuovo log di Combofix
http://www.mediafire.com/file/djdnnbioalm/ComboFix.txt

Ho cmq commesso un errore: la prima volta ho creato e trascinato sull'icona di combo fix un file chiamato CFScript.txt, alla fine ho eliminato il log , creato un nuovo file CFScript e trascinato quest'ultimo su combo fix.
Risultato messaggio di errore "impossibile accedere alla periferica......." do ok, parte combofix e in automatico messa di nokia pc sync.

Allego ancora log di HJ di oggi non si sa mai, magari serve:
http://www.mediafire.com/file/ycuzfw...hijackthis.log

[Chill-Out]

Quote:

Originariamente inviato da superkairo

Ecco qui il nuovo log di Combofix
http://www.mediafire.com/file/djdnnbioalm/ComboFix.txt

Ho cmq commesso un errore: la prima volta ho creato e trascinato sull'icona di combo fix un file chiamato CFScript.txt, alla fine ho eliminato il log , creato un nuovo file CFScript e trascinato quest'ultimo su combo fix.
Risultato messaggio di errore "impossibile accedere alla periferica......." do ok, parte combofix e in automatico messa di nokia pc sync.

Allego ancora log di HJ di oggi non si sa mai, magari serve:
http://www.mediafire.com/file/ycuzfw...hijackthis.log

Direi che sei ok, leggi attentamente questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

[superkairo]

Se dici che sono ok, allora ok .
Una domanda: come mai la scansione di spybot mi passa sempre i soliti 290000 oggetti e 100000 di questi sono virtumonde.dll virtumonde.sci etc etc???
Mi viene il dubbio che spybot in realtà, i file che mi mostra sul contatore, non sono i miei ma quelli che lui ha nel database......

[Chill-Out]

Quote:

Originariamente inviato da superkairo

Se dici che sono ok, allora ok .
Una domanda: come mai la scansione di spybot mi passa sempre i soliti 290000 oggetti e 100000 di questi sono virtumonde.dll virtumonde.sci etc etc???
Mi viene il dubbio che spybot in realtà, i file che mi mostra sul contatore, non sono i miei ma quelli che lui ha nel database......

Non uso Spybot da tempo immemorabile allega uno screenshot della stesso su fileqube

[superkairo]

Spybot http://www.mediafire.com/?vzm4yvezzfl

Comunque penso che spybot ogni aggiornamento ampli il data base difatti adesso mi passa 295000 oggetti: appena aggiornato.

Volevo inoltre cambiare avg con antivir, la versione che scarico è quella per xp home anche se io uso il professional, vero???

Scusa se ti rompo ancora: cambio o no il mio buon vecchio fidato firewall sygate con quello che viene specificato alla guida alla quale mi hai rimandato???

[wjmat]

Quote:

Originariamente inviato da superkairo

Spybot http://www.mediafire.com/?vzm4yvezzfl

Comunque penso che spybot ogni aggiornamento ampli il data base difatti adesso mi passa 295000 oggetti: appena aggiornato.

Volevo inoltre cambiare avg con antivir, la versione che scarico è quella per xp home anche se io uso il professional, vero???

Scusa se ti rompo ancora: cambio o no il mio buon vecchio fidato firewall sygate con quello che viene specificato alla guida alla quale mi hai rimandato???

la scritta che dici indica lo stato di avanzamemnto della scansione e le firme virali conosciute, che ovviamente aumentano aggiornandolo

per antivir si

idem per il firewall