[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[dardo70]

quindi? nuovo scan con hjt,fix di quello che hai indicato e basta?

devo postare un nuovo log?

[wjmat]

io le fixerei, poi controlla tu se sono sparite, oramai sei esperto

poi col trattamento che ho in firma sistema sp3
antivir al posto di avast ecc..

[dardo70]

quindi sono pulito?

e riguardo a questo?

chill-out:"attenzione ci sono supporti removibili USB infetti"

a parte alcune SD(compresa quella del tomtom) ho un packard bell(store & play 3500) , mi sembra di non averlo mai collegato, durante l'infezione...
non ho altri supporti sempre collegati.

intanto fixo

[wjmat]

Quote:

Originariamente inviato da dardo70

quindi sono pulito?

e riguardo a questo?

chill-out:"attenzione ci sono supporti removibili USB infetti"

a parte alcune SD(compresa quella del tomtom) ho un packard bell(store & play 3500) , mi sembra di non averlo mai collegato, durante l'infezione...
non ho altri supporti sempre collegati.

intanto fixo

Prima di fare pulizia sulla chiavetta/e, hard disk esterni per sicurezza prima disabilità la riproduzione automatica dei dispositivi ottici (CD/DVD) e rimovibili (chiavette usb/hard disk esterni)...

Per disabilitare la funzione di riproduzione automatica su XP pro
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Sistema → Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

Per disabilitare la funzione di riproduzione automatica su Vista
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Componenti di Windows → Criteri Autoplay → Nella finestra di destra doppio click su Disattiva Autoplay → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

Oppure tieni premuto il tasto Shift ( quello tra Ctrl e Cap Lock) prima di collegarla

Una volta collegato il supporto sottoponilo a scansioni antivirus e antispyware con i programmi aggiornati.

Da risorse computer tasto destro sul supporto e scansiona con:
Antivir
Malwarebytes
A-Squared

Al termine delle scansioni, riabilita la riproduzione automatica, se l'avevi disattivata in precedenza

[Chill-Out]

Quote:

Originariamente inviato da dardo70

log hjt:Clicca qui per scaricare

Bene per il resto segui quanto detto da wj, ciao.

[dardo70]

grazie ancora di tutto, vi sono debitore a vita!!

[wjmat]

Quote:

Originariamente inviato da dardo70

grazie ancora di tutto, vi sono debitore a vita!!

di nulla ma......a chi la intesto la fattura?

[dardo70]

a quelli di avast,magari...
Domani proseguo col trattamento post-infezione, vi trovo per nell'altro thread? Ci sono un paio di cose che mi turbano...
Buonanotte!

[dardo70]

doppio post scusate.

[wjmat]

Quote:

Originariamente inviato da dardo70

a quelli di avast,magari...
Domani proseguo col trattamento post-infezione, vi trovo per nell'altro thread? Ci sono un paio di cose che mi turbano...
Buonanotte!

se avrai problemi col trattamento chiedi di la

[lucozades]

ho seguito questa guida; forse ho risolto ora infatti anche la scritta virus alert dall orologio nn c'è piu e adesso in risorse del computer sono ritornati C: e D:.... ho fatto de varie scansioni: allego i log
non sono riuscito a fare l'antivirus su internet F secure scanner...nn riusciva a connettersi

queso è il primo

http://www.fileqube.com/shared/EooEoZAu101708

queso è il log di cure it o di combo fix li ho confusi
http://www.fileqube.com/shared/SQYAa101707

questo è hyjack
http://www.fileqube.com/shared/GVkAz101710

[wjmat]

ricarica gli allegati come modalità che ho in firma
fai scansione completa con Kaspersky removal tool [info]

[lucozades]

Quote:

Originariamente inviato da wjmat

ricarica gli allegati come modalità che ho in firma
fai scansione completa con Kaspersky removal tool [info]

ok ho fatto anche kaspersky che è questo
kapersky removal tool.txt

Se mi dite che è tutto a posto posso procedere a riettivare il ripristino config sistema e magari posso salvare questo come punto di ripristino...e poi magari vi chiederò come fare per fare un backup


grazie a tutti

[wjmat]

Quote:

Originariamente inviato da lucozades

ok ho fatto anche kaspersky che è questo
Allegato 65206

Se mi dite che è tutto a posto posso procedere a riettivare il ripristino config sistema e magari posso salvare questo come punto di ripristino...e poi magari vi chiederò come fare per fare un backup


grazie a tutti

manca anche la scansione completa con SUPERAntiSpyware [info]

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [SpeedBitVideoAccelerator] "C:\Programmi\SpeedBit Video Accelerator\VideoAccelerator.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\Quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GSISETUP] C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\GsiInst.exe INSTALL C:\DOCUME~1\PROPRI~1\Desktop\DATAWA~1\ 13
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O20 - AppInit_DLLs: pvjskc.dll

[lucozades]

Quote:

Originariamente inviato da wjmat

manca anche la scansione completa con SUPERAntiSpyware [info]

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [SpeedBitVideoAccelerator] "C:\Programmi\SpeedBit Video Accelerator\VideoAccelerator.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\Quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GSISETUP] C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\GsiInst.exe INSTALL C:\DOCUME~1\PROPRI~1\Desktop\DATAWA~1\ 13
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O20 - AppInit_DLLs: pvjskc.dll

grazie mille wjmat

ecco il nuovo log hyjackthis
http://www.fileqube.com/shared/jdpnJBf102747

la scansione con super anty spyware l avevo fatta ma mi son dimenticato di salvare il log
cmq aveva trovato un virus che non era virtumonde e qualche spyware

[Chill-Out]

Quote:

Originariamente inviato da lucozades

grazie mille wjmat

ecco il nuovo log hyjackthis
http://www.fileqube.com/shared/jdpnJBf102747

la scansione con super anty spyware l avevo fatta ma mi son dimenticato di salvare il log
cmq aveva trovato un virus che non era virtumonde e qualche spyware

Il log di HJT è pulito puoi procedere col fix anche di questa voce

Quote:

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

se non riscontri altri problemi direi che siamo a posto

[lofonako]

ciao raga, è la prima volta che scrivo.
dopo aver scansionato con spybot e nod32, virtumonde torna sempre.
ho anche provato a levare manualmente dal registro con regedit, ma torna comunque.

ho seguito la guida:
-levato ripristino sistema
-da modalità provvisoria avviato virtumondobegone e combofix.
-tornato in modalità normale fatto scansione online con FSECURE
-alla fine avviato HJT, ecco i file di log:
1.virtumondobegone(da mod. provv)
2.combofix(da mod. provv)
3.HJT(da mod. normale, prima della scansione con fsecure)
4.fsecure (da mod. normale)
5. HJT (dopo scansione con fsecure)

http://www.mediafire.com/?sharekey=5...db6fb9a8902bda

vi prego aiutatemi!

[wjmat]

Quote:

Originariamente inviato da lofonako

ciao raga, è la prima volta che scrivo.
dopo aver scansionato con spybot e nod32, virtumonde torna sempre.
ho anche provato a levare manualmente dal registro con regedit, ma torna comunque.

ho seguito la guida:
-levato ripristino sistema
-da modalità provvisoria avviato virtumondobegone e combofix.
-tornato in modalità normale fatto scansione online con FSECURE
-alla fine avviato HJT, ecco i file di log:
1.virtumondobegone(da mod. provv)
2.combofix(da mod. provv)
3.HJT(da mod. normale, prima della scansione con fsecure)
4.fsecure (da mod. normale)
5. HJT (dopo scansione con fsecure)

http://www.mediafire.com/?sharekey=5...db6fb9a8902bda

vi prego aiutatemi!

da combo abbiamo da eliminare queste secondo me

Codice:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9cdc8ffd-28b5-11dd-a757-001d602c703a}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL infocamere\bkmlauncher.exe
\Shell\ICBK\command - L:\infocamere\bkmlauncher.exe

manca la scansione completa con SUPERAntiSpyware

[lofonako]

Quote:

Originariamente inviato da wjmat

manca la scansione completa con SUPERAntiSpyware

già...me n'ero dimenticato...
sto scansionando ora, poi salvo il log, rifaccio HJT, e posto.
a tra poco

[lofonako]

ecco qua, rilinko il link dei log

1.virtumondobegone(da mod. provv)
2.combofix(da mod. provv)
3.HJT(da mod. normale, prima della scansione con fsecure)
4.fsecure (da mod. normale)
5. HJT (dopo scansione con fsecure)
http://www.mediafire.com/?sharekey=5...db6fb9a8902bda

e poi qui c'è il risultato di superantispyware
http://img291.imageshack.us/img291/8...spywarels1.jpg

e di nuovo hjt dopo superantispyware...
http://www.fileqube.com/shared/sFcayzup104032