[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[Chill-Out]

Quote:

Originariamente inviato da Kala

dunque, intanto grazie mille.
1-non capisco bene con quale tempistica debbo fare quest'operazione, cioè se dopo la trascrizione dello script, a prescindere da esso o cosa
2-combofix l'ho già eseguito, come da indicazioni di bugs bunny, in modalità provvisoria
3-vedo che suggerite di leggere bene il manuale italiano e che l'operazione non è una cosa da due secondi; visto che sto andando fuori per il weekend, forse è il caso che mi applico con calma e pazienza da lunedì?
4-non mi hai risposto sulle 4 questioni che ponevo nel post precendente; in particolare sono spaventato dal punto3, il fatto che il mio windows crackato mi allerti sull'improvvisa NON presenza di un firewall.
grazie ancora

Cosa vuol dire con quale tempistica, apri il blocco note copi ed incolli lo Script che ti ho indicato lo salvi come indicato e lo tracini sull'icona di combo in modalità normale.

Per le altre cose le sistemiamo via via

[Kala]

no, quello che non mi tornava era che prima dicevi di incollare-salvare-trascinare quel .txt, poi invece (forse solo nel caso in cui il pc non si riavvia da solo?) dici di allegare il log che trovo in C:\ComboFix.txt.

comunque, ho fatto l'operazione relativa al CFScript.txt, e ora?

[Chill-Out]

Quote:

Originariamente inviato da Kala

no, quello che non mi tornava era che prima dicevi di incollare-salvare-trascinare quel .txt, poi invece (forse solo nel caso in cui il pc non si riavvia da solo?) dici di allegare il log che trovo in C:\ComboFix.txt.

comunque, ho fatto l'operazione relativa al CFScript.txt, e ora?

Hai creato il file denominato CFScript.txt? Se si trascinalo sull'icona di Combofix

[Kala]

ecco il nuovo log:
http://www.mediafire.com/?sharekey=5...db6fb9a8902bda

[Chill-Out]

Quote:

Originariamente inviato da Kala

ecco il nuovo log:
http://www.mediafire.com/?sharekey=5...db6fb9a8902bda

Non hai fatto nulla di ciò che ti ho chiesto ti riallego le istruzioni

Apri il Blocco Note copia e incolla questa riga:

Quote:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{53bc054e-3795-11dd-a7b0-001e8c07a32f}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

NB: allega i prossimi log qui http://www.fileqube.com/

[Kala]

forse ho sbagliato non copiando anche registry::
ora dovrebbe essere corretto:
http://www.fileqube.com/shared/XUeLEVHUY114275

[Chill-Out]

Quote:

Originariamente inviato da Kala

forse ho sbagliato non copiando anche registry::
ora dovrebbe essere corretto:
http://www.fileqube.com/shared/XUeLEVHUY114275

Ok adesso và bene ora allegami un log di HijackThis http://www.hwupgrade.it/forum/showthread.php?t=1599737 leggi il Punto 7

[Kala]

ora non riesco a leggere la guida. se ha un senso quello che ho fatto, ecco il log di hijackthis:
http://www.fileqube.com/shared/MlYBGNcUF114283

altrimenti ci torno su lunedi.
ancora grazie

[Chill-Out]

Quote:

Originariamente inviato da Kala

ora non riesco a leggere la guida. se ha un senso quello che ho fatto, ecco il log di hijackthis:
http://www.fileqube.com/shared/MlYBGNcUF114283

altrimenti ci torno su lunedi.
ancora grazie

Ok c'è un motivo specifico del perchè utilizzi questi DNS

212.17.192.217
address: BT Italia S.p.A.
address: Via M. Bianchini 15 - 00142 Roma (IT)
address: Via Umberto Saba 11
address: I-00144 Roma

Poi per quanto concerne

Quote:

3- da quando ho fatto tutta l'operazione windows mi segnala che non ho firewall e il pc potrebbe essere esposto a rischi. siccome ho una copia crackata non vorrei fare ulteriori danni...

immagino tu veda la segnalazione a mò di scudetto rosso nella Systray vicino all'orologio, giusto?

[Kala]

Quote:

Originariamente inviato da Chill-Out

Ok c'è un motivo specifico del perchè utilizzi questi DNS

212.17.192.217
address: BT Italia S.p.A.
address: Via M. Bianchini 15 - 00142 Roma (IT)
address: Via Umberto Saba 11
address: I-00144 Roma

Poi per quanto concerne



immagino tu veda la segnalazione a mò di scudetto rosso nella Systray vicino all'orologio, giusto?

nessun motivo specifico, credo siano le coordinate immesse dal negozio che mi ha installato il pc.
per quanto concerne il punto 3 esatto, proprio lo scudo in basso a dx

[Chill-Out]

Quote:

Originariamente inviato da Kala

nessun motivo specifico, credo siano le coordinate immesse dal negozio che mi ha installato il pc.
per quanto concerne il punto 3 esatto, proprio lo scudo in basso a dx

OK successivamente sistemiamo anche i DNS, sarebbe opportuno installare un Firewall visto che ne sei sprovvisto, l'installazione comporta anche la sparizione dello scudetto.

[paolom65]

allora ho preso un virus vundo con windows home premium sul mio portatile ora allego i files

combo fix http://rapidshare.com/files/148870782/ComboFix.txt.html

vertmundobegone http://rapidshare.com/files/148870783/VBG.TXT.html

ho eseguito la scansione in modalità provvisoria e riavviato poi ho eseguito la scansione con kaspersky virus removal tool e anche f-secure online scanner purtroppo non ho i file.txt per questi programmi allego un file di hijackthis

http://rapidshare.com/files/14887205...kthis.log.html

vorrei chiedere se ho eliminato il virus vundo

[wjmat]

Quote:

Originariamente inviato da paolom65

allora ho preso un virus vundo con windows home premium sul mio portatile ora allego i files

combo fix http://rapidshare.com/files/148870782/ComboFix.txt.html

vertmundobegone http://rapidshare.com/files/148870783/VBG.TXT.html

ho eseguito la scansione in modalità provvisoria e riavviato poi ho eseguito la scansione con kaspersky virus removal tool e anche f-secure online scanner purtroppo non ho i file.txt per questi programmi allego un file di hijackthis

http://rapidshare.com/files/14887205...kthis.log.html

vorrei chiedere se ho eliminato il virus vundo

i log caricali secondo le modalità che ho in firma please

[paolom65]

Quote:

Originariamente inviato da wjmat

i log caricali secondo le modalità che ho in firma please

scusa siete un po' rompi

ti carico i file txt di combo.fix e di vertmundobegone e di hijackthis i primi due ho fatto in modalità provvisoria e poi avviato in modalità normale avviando kaspersky removal virus tool e f-secure online scanner dopo aver deselezionato riconfigurazione di sistema non ho i files di questi due ultimi antivirus


http://www.mediafire.com/?tnmznmzjcmm


http://www.mediafire.com/?mmtzqmtz2mz

vi chiedo se ho eliminato il virus vundo

[maivia87]

ragazzi anche io purtroppo sono incappato in questo maledetto!

ho seguito alla lettera la guida proposta in prima pagina ecco i log fatti ovviamente in modalità provvisoria

log VirtumundoBeGone:

http://www.mediafire.com/?sharekey=0...db6fb9a8902bda

log combofix:
http://www.mediafire.com/?sharekey=0...db6fb9a8902bda

ho fatto poi la scansione online con F-Secure OnLine Scanner che non ha trovato nulla, mentre con la scansione finale con SuperAntiSpyware ho trovato file che sono stati correttamente eliminati.

Il problema è che spesso e volentieri vengono fuori queste schermate:

http://i37.tinypic.com/2edb62g.jpg
http://i36.tinypic.com/ynd5z.jpg
http://i37.tinypic.com/9leqhf.jpg

Vi allego anche il log di HJT eseguito dopo tutta la procedura:

http://www.mediafire.com/?sharekey=c...db6fb9a8902bda

[wjmat]

Quote:

Originariamente inviato da maivia87

ragazzi anche io purtroppo sono incappato in questo maledetto!

ho seguito alla lettera la guida proposta in prima pagina ecco i log fatti ovviamente in modalità provvisoria

log VirtumundoBeGone:

http://www.mediafire.com/?sharekey=0...db6fb9a8902bda

log combofix:
http://www.mediafire.com/?sharekey=0...db6fb9a8902bda

ho fatto poi la scansione online con F-Secure OnLine Scanner che non ha trovato nulla, mentre con la scansione finale con SuperAntiSpyware ho trovato file che sono stati correttamente eliminati.

Il problema è che spesso e volentieri vengono fuori queste schermate:

http://i37.tinypic.com/2edb62g.jpg
http://i36.tinypic.com/ynd5z.jpg
http://i37.tinypic.com/9leqhf.jpg

Vi allego anche il log di HJT eseguito dopo tutta la procedura:

http://www.mediafire.com/?sharekey=c...db6fb9a8902bda

ciao
ci carichi anche il log di SuperAntiSpyware

[maivia87]

Quote:

Originariamente inviato da wjmat

ciao
ci carichi anche il log di SuperAntiSpyware

eccolo qua

http://www.mediafire.com/?sharekey=c...db6fb9a8902bda

[wjmat]

Quote:

Originariamente inviato da maivia87

eccolo qua

http://www.mediafire.com/?sharekey=c...db6fb9a8902bda

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)

Codice:

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Vidalia] "C:\Programmi\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVIZIO LOCALE')
O4 - Global Startup: Privoxy.lnk = C:\Programmi\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: Baixar com o Rapidown... - C:\Programmi\Rapidown\rapidownGet.htm
O8 - Extra context menu item: Baixar tudo com o Rapidown... - C:\Programmi\Rapidown\rapidownGetAll.htm
O20 - AppInit_DLLs: ahwndm.dll hzkmud.dll tjltjt.dll
O16  - tutte le voci senza riferimenti a microsoft

poi scansione completa con Kaspersky removal tool

[Kala]

Quote:

Originariamente inviato da Chill-Out

OK successivamente sistemiamo anche i DNS, sarebbe opportuno installare un Firewall visto che ne sei sprovvisto, l'installazione comporta anche la sparizione dello scudetto.

ok quando vuoi sono di nuovo operativo.
thanx

[maivia87]

Quote:

Originariamente inviato da wjmat

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)

Codice:

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Vidalia] "C:\Programmi\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVIZIO LOCALE')
O4 - Global Startup: Privoxy.lnk = C:\Programmi\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: Baixar com o Rapidown... - C:\Programmi\Rapidown\rapidownGet.htm
O8 - Extra context menu item: Baixar tudo com o Rapidown... - C:\Programmi\Rapidown\rapidownGetAll.htm
O20 - AppInit_DLLs: ahwndm.dll hzkmud.dll tjltjt.dll
O16  - tutte le voci senza riferimenti a microsoft

poi scansione completa con Kaspersky removal tool

ecco il log di HJT prima di aver effettuato la scansione con Kaspersky

http://www.mediafire.com/?kljbzy9xinm

ed ecco il log della scansione

http://www.mediafire.com/?xtoutugppwi