[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[dardo70]

@wjmat: qui il link delle scansioni..
virtumundobegone l'avevo gia eseguito, ma lo vedrai da te..

Clicca qui per scaricare

[dardo70]

perdonatemi i post uno dietro l'altro ma volevo solo dire che i log sono in uno zip, si puo' fare oppure ho sbagliato? scusate ma sono praticamente un newbie!

[wjmat]

Quote:

Originariamente inviato da dardo70

perdonatemi i post uno dietro l'altro ma volevo solo dire che i log sono in uno zip, si puo' fare oppure ho sbagliato? scusate ma sono praticamente un newbie!

ricaricali singolarmente secondo le modalità che ho in firma

[wjmat]

dal log di hjt che hai messo di là

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O2 - BHO: (no name) - {90ED80CB-EA25-45D1-B1E0-FBD727967AFF} - C:\WINDOWS\system32\khfDtSmk.dll (file missing)
O2 - BHO: (no name) - {B5692A49-DD43-432C-AF77-4846DA4E47F0} - (no file)
O2 - BHO: (no name) - {F22B7E8D-83B6-4369-A6B6-35312541D85F} - (no file)
O4 - HKCU\..\Run: [\YUR25.exe] C:\Windows\system32\YUR25.exe
O4 - HKCU\..\Run: [\YUR26.exe] C:\Windows\system32\YUR26.exe
O4 - HKCU\..\Run: [\YUR27.exe] C:\Windows\system32\YUR27.exe
O4 - HKCU\..\Run: [\YUR28.exe] C:\Windows\system32\YUR28.exe
O4 - HKCU\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKCU\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKCU\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKCU\..\Run: [\YUR4.exe] C:\Windows\system32\YUR4.exe
O4 - HKCU\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe
O4 - HKCU\..\Run: [\YUR7.exe] C:\Windows\system32\YUR7.exe
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O20 - AppInit_DLLs: kooijg.dll
O20 - Winlogon Notify: pmnLDWOi - C:\WINDOWS\
O20 - Winlogon Notify: __c00982B1 - C:\WINDOWS\

[dardo70]

scusa..

log di mbam:Clicca qui per scaricare

log di a-squared:Clicca qui per scaricare

f-secure:Clicca qui per scaricare

cureit:Clicca qui per scaricare

sysinspector:Clicca qui per scaricare

spero di non avere sbagliato anche stavolta, se si martellatemi...

[wjmat]

nuovo log di hjt dopo il fix che ti ho indicato sopra

[dardo70]

come mi chiesto, ecco il nuovo log di hijack:

[wjmat]

non ho visto quello di combofix

[dardo70]

non lo avevo ancora eseguito... cosa faccio lo eseguo e poi rifaccio tutte le scansioni?

[wjmat]

solo combo

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
Scarica da qui Combofix
Scollegati da internet → Chiudi ogni altra finestra o programma
Lancialo → Aspetta che appaia una finestra in cui ti chieda di digita 1 per continuare → Digita 1 → Attendi la scansione evitando di fare qualsiasi altra operazione → Dai conferma nel caso ti chieda di rimuovere alcuni driver → Attendi pazientemente senza toccare nulla → Al termine verrà mostrato il log che si trova in C:\ComboFix.txt. → Carica il log

[dardo70]

log di combofix:Clicca qui per scaricare

[dardo70]

mi sto rileggendo tutto il 3ad dall' inizio,combofix era da fare in modalita' provvisoria... va bene lo stesso o rifaccio?

nel frattempo ho disinstallato spybot s&d, dava segni di forte squilibrio al riavvio..

[wjmat]

il log mostra qualcosa ancora e combo ha comunque eliminato altre cose....

voglio analizzarlo meglio con chill

intanto comincia a mettere al sicuro il pc leggendo il trattamento che ho in firma

[dardo70]

so di essere OT ma vorrei chiedere due cose :

1: avast non va proprio bene come antivirus?

2: sono dietro a un router con le sue belle regole del firewall gia' inserite, me ne devo procurare uno software lo stesso?

[wjmat]

1 noi lo sconsigliamo
2 io lo metterei comunque, il router non controlla tutto il trafficoo

x chill

Codice:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1ea8417-6f5c-11dd-abdf-000c6ef4ffc9}]
\Shell\AutoRun\command - L:\ClickMe.exe

queste le seghiamo entrambe?

tu vedi altro?

[dardo70]

non so proprio dirti cosa siano, per non rischiare io le eliminerei comunque..

come lo faccio?

[wjmat]

quando chill li vede probabilmente li facciamo sparire, magari lui ti trova anche altro

[dardo70]

scusa la domanda da ignorante ma cos'e' chill? lo devo scaricare?

[wjmat]

qualche donna forse, l'avrà "scaricato".....

http://www.hwupgrade.it/forum/member.php?u=195361
è l'esperto dei log di combo, e non solo

[dardo70]

Quote:

Originariamente inviato da wjmat

qualche donna forse, l'avrà "scaricato".....

http://www.hwupgrade.it/forum/member.php?u=195361
è l'esperto dei log di combo, e non solo

che figura da cioccolataio...

chill,ti chiedo umilmente scusa..

adesso controllero' il 3ad piu' di rado, causa mocciosa in casa, se mi segnalate qualcosa cerchero' di rispondere prima possibile..