[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[nerokufu]

ho messo i link nel post

http://www.hwupgrade.it/forum/showth...0#post24540810

va bene?

[albys]

Ciao ragazzi, ho beccato il Virtumonde (in particolare il Win32 Adware Virtumonde application secondo l'ESET online scanner), e ho applicato quanto da voi scritto nella prima pagina.
Attualmente sono alla fine del punto 4, ho riavviato normalmente dopo aver eseguito VirtumondobeGone e ComboFix.
Vi allego i 2 log:

VirtumondoBeGone: http://www.mediafire.com/download.php?mz4yjiotdd2
ComboFix: http://www.mediafire.com/download.php?2gmjza2mywq

Ora faccio partire l'ESET online scanner, visto che l'F-Secure Online scanner non mi aveva trovato nulla neppure ieri...
Intanto mi potete dire come sono messo attualmente?
E' debellato?

Grazie mille!

[wjmat]

Quote:

Originariamente inviato da albys

Ciao ragazzi, ho beccato il Virtumonde (in particolare il Win32 Adware Virtumonde application secondo l'ESET online scanner), e ho applicato quanto da voi scritto nella guida in prima pagina.
Attualmente sono alla fine del punto 4, ho riavviato normalmente dopo aver eseguito VirtumondobeGone e ComboFix.
Vi allego i 2 log:

VirtumondoBeGone: http://www.mediafire.com/download.php?mz4yjiotdd2
ComboFix: http://www.mediafire.com/download.php?2gmjza2mywq

Ora faccio partire l'ESET online scanner, visto che l'F-Secure Online scanner non mi aveva trovato nulla neppure ieri...
Intanto mi potete dire come sono messo attualmente?
E' debellato?

Grazie mille!

ciao
se non trova nulla non è obbligatorio farne un'altra
fai piuttosto quella successiva

[albys]

Intendevo dire che oggi non ho fatto l'F-secure, e starei per far girare l'Eset. Ma considerato che l'Eset mi ci impiega 1 ora e mezza (ieri ha fatti così) se salto il punto 5 e faccio il 6 (ovvero faccio la scansione col SuperantiSpyware) va bene lo stesso?

[Chill-Out]

Quote:

Originariamente inviato da albys

Intendevo dire che oggi non ho fatto l'F-secure, e starei per far girare l'Eset. Ma considerato che l'Eset mi ci impiega 1 ora e mezza (ieri ha fatti così) se salto il punto 5 e faccio il 6 (ovvero faccio la scansione col SuperantiSpyware) va bene lo stesso?

Si nel frattempo ti preparo uno script da inserire in Combo

Terminata la scansione con SAS, Apri il Blocco Note copia e incolla questa righe:

Quote:

RenV::
C:\Programmi\Analog Devices\Core\smax4pnp .exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ .exe
C:\Programmi\File comuni\Ahead\Lib\NeroCheck .exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger .exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray .exe

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

[Kala]

ciao wjmat,
mi fai sapere per favore qualcosa sulla mia "utilità configurazione di sistema"? cosa debbo spuntare? modalità d'avvio normale, diagnostica o - come ce l'ho settata ora - selettiva?

[wjmat]

Quote:

Originariamente inviato da Kala

ciao wjmat,
mi fai sapere per favore qualcosa sulla mia "utilità configurazione di sistema"? cosa debbo spuntare? modalità d'avvio normale, diagnostica o - come ce l'ho settata ora - selettiva?

avendo tolto delle spunte sui servizi e in avvio in automatico diventa selettiva

vai a vedere nella discussione di online armor
c'è un caso simile al tuo
è utile appena lo sistemi stare un pò con attivo il "learning mode"

[albys]

Quote:

Originariamente inviato da Chill-Out

Terminata la scansione con SAS, Apri il Blocco Note copia e incolla questa righe:
---CUT---
Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Grazie!
Posso chiederti a cosa serve questo script?

Nel frattempo SuperAntiSpyware mi ha levato 278 cookies spioni (quello di hwupgrade l'ho però lasciato) e non ha rilevato nessun virus-malware.

Grazie ancora, siete straordinari!

[gnogno1985]

Questa volta spero di non sbagliare
Intanto i messaggi pubblicitari non mi compaiono più mentre utilizzo internet explorer ma quando accendo il pc mi compaiono quei due errori:

C:\windows\system32\xbpmwuut.dll

C:\windows\system32\hbpbtlei.dll

I log sono qui :
http://www.mediafire.com/?sharekey=f...db6fb9a8902bda

Ho fatto la scansione con superantispyware ma mi ha trovato solo tracking cookies.


Spero nel vostro aiuto per capire se il mio pc è pulito e come non far comparire più quegli errori.

Grazie

[wjmat]

Quote:

Originariamente inviato da gnogno1985

Questa volta spero di non sbagliare
Intanto i messaggi pubblicitari non mi compaiono più mentre utilizzo internet explorer ma quando accendo il pc mi compaiono quei due errori:

C:\windows\system32\xbpmwuut.dll

C:\windows\system32\hbpbtlei.dll

I log sono qui :
http://www.mediafire.com/?sharekey=f...db6fb9a8902bda

Ho fatto la scansione con superantispyware ma mi ha trovato solo tracking cookies.


Spero nel vostro aiuto per capire se il mio pc è pulito e come non far comparire più quegli errori.

Grazie

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Codice:

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - S-1-5-18 Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16  - tutte le voci

[wjmat]

Quote:

Originariamente inviato da albys

Grazie!
Posso chiederti a cosa serve questo script?

Nel frattempo SuperAntiSpyware mi ha levato 278 cookies spioni (quello di hwupgrade l'ho però lasciato) e non ha rilevato nessun virus-malware.

Grazie ancora, siete straordinari!

serve per ripristinare i file elencati
l'infezione ha corrotto il file e li ha rinominati inserendo uno spazio prima alla fine del nome

[gnogno1985]

Grazie mille del tuo aiuto innanzitutto

Scusa la mia ignoranza, in realtà non so nemmeno che significhi fixare con hijackthis ma siccome alcune voci mi sembrano non maligne perchè di programmi che conosco mi chiedevo se le dovevo fixare lo stesso(superantyspyware, sweetim, solidconverterpdf).

Come non detto ho letto le scritte in piccolo e ho capito

[albys]

Fatto (script su ComboFix)!
Qui c'è il log
http://www.mediafire.com/?sharekey=6...db6fb9a8902bda

Ora è tutto ok?

Un'altra domanda poi non vi rompo più... in C:\ ho una cartella fsaua.data che ha due sottocartelle, header e subscriptions entrambe vuote.
é un rimasuglio di qualche antivirus online oppure cosa?
Non le avevo prima, e sono cartelle datate ieri...

ciao!

[wjmat]

Quote:

Originariamente inviato da gnogno1985

Grazie mille del tuo aiuto innanzitutto

Scusa la mia ignoranza, in realtà non so nemmeno che significhi fixare con hijackthis ma siccome alcune voci mi sembrano non maligne perchè di programmi che conosco mi chiedevo se le dovevo fixare lo stesso(superantyspyware, sweetim, solidconverterpdf).

fixare=mettere la spunta
hai letto che vuol dire fixare le voci O4?

[wjmat]

Quote:

Originariamente inviato da albys

Fatto (script su ComboFix)!
Qui c'è il log
http://www.mediafire.com/?sharekey=6...db6fb9a8902bda

Ora è tutto ok?

Un'altra domanda poi non vi rompo più... in C:\ ho una cartella fsaua.data che ha due sottocartelle, header e subscriptions entrambe vuote.
é un rimasuglio di qualche antivirus online oppure cosa?
Non le avevo prima, e sono cartelle datate ieri...

ciao!

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

per quella cartella basta cercare su google

[gnogno1985]

Un attimo prima che scrivessi il tuo post avevo appena editato il mio precedente scrivendo che avevo letto le note in piccolo e avevo capito

ho fatto quello che mi hai detto e gli errori sono scomparsi all'avvio ma la domanda da un milione di dollari è:

Il mio pc sarà davvero libero da quell'orribile mostro di virtumonde????

Questo è il log

http://www.mediafire.com/?sharekey=f...ade7fdd4d9c85d

[wjmat]

Quote:

Originariamente inviato da gnogno1985

Un attimo prima che scrivessi il tuo post avevo appena editato il mio precedente scrivendo che avevo letto le note in piccolo e avevo capito

ho fatto quello che mi hai detto e gli errori sono scomparsi all'avvio ma la domanda da un milione di dollari è:

Il mio pc sarà davvero libero da quell'orribile mostro di virtumonde????

Questo è il log

http://www.mediafire.com/?sharekey=f...ade7fdd4d9c85d

mancano tute queste

Codice:

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://maracaibo237.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://maracaibo237.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[Chill-Out]

Quote:

Originariamente inviato da albys

Fatto (script su ComboFix)!
Qui c'è il log
http://www.mediafire.com/?sharekey=6...db6fb9a8902bda

Ora è tutto ok?

Un'altra domanda poi non vi rompo più... in C:\ ho una cartella fsaua.data che ha due sottocartelle, header e subscriptions entrambe vuote.
é un rimasuglio di qualche antivirus online oppure cosa?
Non le avevo prima, e sono cartelle datate ieri...

ciao!

Il log di Combo è OK, avresti potuto alegare anche il log di SAS per quanto riguarda fsaua.data e relative cartelle fanno riferimento F-Secure

[charlyefun]

ciao a tutti.

rispolvero questo topic perchè mi sono accorto che all'avvio il mio pc (win XP) mi carica un winsock32 che non sono ancora riuscito ad identificare

ho eseguito Hijackthis e questo è il log:

come vedete c'è il malefico:

O4 - HKLM\..\Run: [winsock32] C:\WINDOWS\system32:winsock32.exe

ma anche fixando lo stesso non viene rimosso...

come posso fare?

grazie a chiunque possa darmi una mano.

Log rimosso leggere le Regole di sezione, grazie.

[Chill-Out]

Ciao segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Terminata la Guida allega i log in una nuova discussione che andrai ad aprire qui: http://www.hwupgrade.it/forum/forumdisplay.php?f=125