[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[Riverside]

Quote:

Originariamente inviato da lancetta

Ti piace la nuova bestiolina/variante del vundo? è molto str@@za

Moltissimo direi ..... ma anche questa, ora è imbrigliata.
Ottimo lavoro Lancetta (bisogna solo aggiornare la Guida, a questo punto).

[lancetta]

bè bisognerebbe solo tirare bene le linee guida appena ho un pò di tempo lo faccio e contatto Bugs oppure Degasp per la prima pagina.
Come variante credo sia appena arrivata in Italia(non ho trovato nulla a riguardo nei forum),all'estero gira da poco,(quasi quasi la posto nelle news )quindi questi sono i primi giri per l'estirpazione...da definire un pò meglio,ma continuando nelle cure saremo sempre più precisi

[Bugs Bunny]

Quote:

Originariamente inviato da lancetta

bè bisognerebbe solo tirare bene le linee guida appena ho un pò di tempo lo faccio e contatto Bugs oppure Degasp per la prima pagina.
Come variante credo sia appena arrivata in Italia(non ho trovato nulla a riguardo nei forum),all'estero gira da poco,(quasi quasi la posto nelle news )quindi questi sono i primi giri per l'estirpazione...da definire un pò meglio,ma continuando nelle cure saremo sempre più precisi

aggiunto renV. se c'è altro contattami

[lancetta]

Quote:

Originariamente inviato da Bugs Bunny

aggiunto renV. se c'è altro contattami

Ok socio per il momento va bene così,il funzionamento penso si sia capito,l'importante è che una volta rilasciato il log del renV non si vadano a cancellare le voci ma si faccia l'operazione drag & drop....Adesso ne sto testando un altro per vedere l'efficacia....

Saluti

[klaw]

ciao a tutti, ho seguito la vostra guida e ora riporto i log che ho ottenuto (spero di non aver fatto errori, nel caso ditemelo che rimedio subito)

-fixvundo: fixvundo.log - 0.00MB

-combofix: combo fix.txt - 0.01MB

-renv: log.txt - 0.00MB

-prevx csi: prevx.txt - 0.00MB

-hijackthis:hijackthis.log - 0.01MB

ho anche fatto la scansione con virit, ma non mi ha fatto salvare un log, mi ha detto che però dopo il riavvio devo spostare un file in cartella di quarantena.

[Chill-Out]

@klaw

per favore allega anche questo log:
C:\ComboFix-quarantined-files.txt

[klaw]

Quote:

Originariamente inviato da Chill-Out

@klaw

per favore allega anche questo log:
C:\ComboFix-quarantined-files.txt

non sono sicuro sia questo, ma è l'unico txt di combofix che si trova in C:
se non fosse il file giusto dimmelo al massimo lo provo a rifare

combofix.txt - 0.01MB

difattti lo avevo già postato, chiedo scusa.

posto il file corretto : combofix-quarantined-files.txt - 0.00MB

[Chill-Out]

no, non ha importanza, risegui Prevx CSI e salva il log in questo modo, al termine della scansione clicca su Options - Save Log e riallegalo, ciao.

[klaw]

eccolo: prevx csi.log - 0.39MB

[Chill-Out]

Esegui HJT clicca su Do a system scan - metti il segno di spunta nella casella bianca a sx delle voci sottoindicate - clicca su Fix checked:

O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programmi\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL (file missing)
O2 - BHO: (no name) - {86F7E114-5B7B-47AF-BCE5-9B7F5B6C023B} - C:\WINDOWS\system32\awtqq.dll (file missing)
O2 - BHO: (no name) - {B3AB6338-3E1C-4386-9D1F-6B79F869EC46} - C:\WINDOWS\system32\vturo.dll (file missing)

Apri il Blocco Note copia e incolla queste righe:

Quote:

File::
C:\WINDOWS\system32\awtqq.dll
C:\WINDOWS\system32\vturo.dll
C:\Programmi\update2.exe
C:\Programmi\update1.exe

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06663B51-0D73-4f9f-BCC5-4AA941470AFD}
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{86F7E114-5B7B-47AF-BCE5-9B7F5B6C023B}
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B3AB6338-3E1C-4386-9D1F-6B79F869EC46}

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix


al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt + nuovo log di HJT e Prevx CSI, ciao.

[klaw]

-combofix: log cmbofix.txt - 0.01MB

-hijackthis: hijackthis.log - 0.01MB

-prevxcsi: prevxcsi.log - 0.39MB

[Chill-Out]

Dovresti essere OK, riscontri altri eventuali problemi? Ti suggerisco inoltre di installare un Firewall software.

[klaw]

putroppo mi continuano ad apparire delle schermate tipo dos, per esempio, quando apro internet explorer, mi si apre anche una schermata tutta nera con scritto googletoolbar e carica per un bel pò ( per ovviare a questo problema ho fatto che disinstallare la googlebar), però ad ogni riavvio tutti i programmi che mi partivano in autoplay adesso non partono più ma mi compaiono le solite schermate nere con in cima i nomi dei programmi.se vuoi ti posto un immagine dato che non credo di essere stato troppo chiaro
comunque grazie per l'aiuto datomi finora

[Chill-Out]

Quote:

putroppo mi continuano ad apparire delle schermate tipo dos

quindi il problema è antecedente alla procedura di rimozione del Vundo

Quote:

per esempio, quando apro internet explorer, mi si apre anche una schermata tutta nera con scritto googletoolbar e carica per un bel pò ( per ovviare a questo problema ho fatto che disinstallare la googlebar), però ad ogni riavvio tutti i programmi che mi partivano in autoplay adesso non partono più ma mi compaiono le solite schermate nere con in cima i nomi dei programmi.

quali programmi?

Quote:

se vuoi ti posto un immagine dato che non credo di essere stato troppo chiaro

si allega un'immagine

[klaw]

non so se sia antecedente o meno perchè ieri il nod mi ha segnalato un allarme generato da un trojan, alchè io ho premuto termina e non ho avuto problemi fino al riavvio.al riavvio mi apparso un errore che adesso però non mi appare più ( explorer.exe immagine danneggiata l'applicazione C:\eccecc non è un immagine di windows verificare con dischetto di installazione) e poi queste schermate






allora i programmi sono:

- C:\PROGRA~1\DAEMON~1\daemon.exe
- C:\VEXPLITE\MONLITE.EXE
- C:\PROGRA~1\ITUNES~1.EXE
- C:\PROGRA~1\Eset\nod32kui.exe
- C\PROGRA~1\PowerISO\PWRISOVM.EXE
-C:\PROGRA~1\HP\HPSOFT~1\HPWUSC~1.EXE

[Chill-Out]

mi alleghi il log di VirIt, poi facciamo questa prova Start - Esegui - digita MSCONFIG seleziona la scheda Avvio e disabilita tutto tranne Nod32, riavvia il PC e vediamo se si ripresente l'errore/i.

[klaw]

qui c'è il log : viritexp.txt - 0.01MB

allora ho fatto la prova ma il problema delle schermate si ripresenta, si apre quella del nod

[Chill-Out]

Quote:

Originariamente inviato da klaw

qui c'è il log : viritexp.txt - 0.01MB

allora ho fatto la prova ma il problema delle schermate si ripresenta, si apre quella del nod

solo quella del Nod o tutte?

[klaw]

solo quella del nod

ho notato un altra cosa msn non mi parte più, quando clicco sull'icona si apre la solita schermata nera (non riesco a leggere il nome nella stringa blu) che scompare sunito e il programma non parte

[Chill-Out]

ultima verifica, controllando nel report del Nod, mi potresti indicare che cosa ha rimosso mi riferisco a questo: "perchè ieri il nod mi ha segnalato un allarme generato da un trojan"