[new] Guida alla disinfezione da Vundo / Virtumonde / Virtumondo / MS Juan

[francy33]

fatto tutto ..grazie per la preziosa disponibilità

[Chill-Out]

Quote:

Originariamente inviato da francy33

fatto tutto ..grazie per la preziosa disponibilità

Prego, ciao

[Lacus]

Quote:

Originariamente inviato da xcdegasp

collega subito eventuali chiavette USB infette cosicchè vengano ripulite

Io ho il PC infetto da Virtumonde.NEO ho letto che nella procedura di disinfestazione devo collegare eventuali chiavette USB infette, personalmente ora non ho il tempo di disinfestare il mio PC però volevo avere la certezza che le chiavette non siano infette, e se lo fossero mi basta formattarle o c'è una procedura più veloce che ne eviti la formattazione?

[Chill-Out]

Quote:

Originariamente inviato da Lacus

Io ho il PC infetto da Virtumonde.NEO ho letto che nella procedura di disinfestazione devo collegare eventuali chiavette USB infette, personalmente ora non ho il tempo di disinfestare il mio PC però volevo avere la certezza che le chiavette non siano infette, e se lo fossero mi basta formattarle o c'è una procedura più veloce che ne eviti la formattazione?

Ciao, il Format è sicuramente la procedura più veloce

[LukLuz]

Eccomi, sera a tutti.

Vengo da questo post:
http://www.hwupgrade.it/forum/showthread.php?t=1978906

Ho fatto la procedura in toto tranne che per F-secure Online che dopo aver scaricato i file necessari per la scansione mi da schermata blu e si riavvia (fatto 2 volte)

Allego i vari log:

MALWAREBYTES:
primo scan
secondo scan dopo riavvio

COMBOFIX:
log

PREVX3:
schermata1
schermata2
log

HIJACKTHIS:
log

aspetto vostri feedback
grazie

Luk-

[xcdegasp]

Quote:

Originariamente inviato da LukLuz

Eccomi, sera a tutti.

Vengo da questo post:
http://www.hwupgrade.it/forum/showthread.php?t=1978906

Ho fatto la procedura in toto tranne che per F-secure Online che dopo aver scaricato i file necessari per la scansione mi da schermata blu e si riavvia (fatto 2 volte)

Allego i vari log:

MALWAREBYTES:
primo scan
secondo scan dopo riavvio

COMBOFIX:
log

PREVX3:
schermata1
schermata2
log

HIJACKTHIS:
log

aspetto vostri feedback
grazie

Luk-

perfetto ora rifai una scansione completa con malwarebytes, prevx e hijackthis in questo ordine

[LukLuz]

bene grazie

vuoi ancora i log?

[xcdegasp]

Quote:

Originariamente inviato da LukLuz

bene grazie

vuoi ancora i log?

sì sì sempre

[LukLuz]

Quote:

Originariamente inviato da xcdegasp

sì sì sempre

rieccomi. allora sembrerebbe tutto pulito, ma io nn saprei dire con esattezza.
ecco i log delle 3 scan che mi hai chiesto di fare:

MALWAREBYTES:
log

PREVX3:
log

HIJACKTHIS:
log

Tnx
Luk-

PS: lo spazio libero dell'HD continua a diminuire da solo senza spiegazione...

[wjmat]

Quote:

Originariamente inviato da LukLuz

rieccomi. allora sembrerebbe tutto pulito, ma io nn saprei dire con esattezza.
ecco i log delle 3 scan che mi hai chiesto di fare:

MALWAREBYTES:
log

PREVX3:
log

HIJACKTHIS:
log

Tnx
Luk-

PS: lo spazio libero dell'HD continua a diminuire da solo senza spiegazione...

i log caricati sui server remoti indicati nelle regole di sezione, grazie

controlla con treesizefree le cartelle che occupano più spazio
potrebbe anche essere semplicemente un programma che genera dei log, peerguardian ad esempio

[LukLuz]

bello sto sw

ho esaminato HD
allora tutto ok tranne la cartella windows:

prima pesava 9,6GB e rotti
ho riavviato e ora pesa 2,5GB e rotti

quindi c'è qlc qui che fa

[LukLuz]

Quote:

Originariamente inviato da wjmat

i log caricati sui server remoti indicati nelle regole di sezione, grazie

sorry, ma pensavo che avendo un mio dominio non commerciale il problema non sussistesse.

[Lee-]

Salve anche io ho un problema con virtumonde,almeno credo.
Ho notato rallentamenti nel pc e allora ho fatto una scansione con avira antivir che mi da tutto ok,allora ho usato spybot che mi ha trovato virtumonde...ovviamente anche eliminandolo si riforma e si riforma...
Ho allora seguito la guida sopra,disattivando il ripristino(io lo tengo sempre disattivato sbaglio....?) e usando ATf-cleaner.
Ho poi eseguito una scansione con Malwarebytes Anti-Malware,combofix e F-secure online che nn trovano pero il virtumundo.....Prevx invece mi trova due file infetti ma necessita di licenza per eliminarli.
Ho poi usato hijackthis e fatto un log che allego in discussione insieme a quello di prevx,gli altri evito di postarli perche sembra che sia tutto ok....ma se sono necessari rifaccio le scansioni e li posto.

http://www.mediafire.com/?sharekey=d...4e75f6e8ebb871

Grazie anticipatamente per l'aiuto.

[wjmat]

Quote:

Originariamente inviato da Lee-

Salve anche io ho un problema con virtumonde,almeno credo.
Ho notato rallentamenti nel pc e allora ho fatto una scansione con avira antivir che mi da tutto ok,allora ho usato spybot che mi ha trovato virtumonde...ovviamente anche eliminandolo si riforma e si riforma...
Ho allora seguito la guida sopra,disattivando il ripristino(io lo tengo sempre disattivato sbaglio....?) e usando ATf-cleaner.
Ho poi eseguito una scansione con Malwarebytes Anti-Malware,combofix e F-secure online che nn trovano pero il virtumundo.....Prevx invece mi trova due file infetti ma necessita di licenza per eliminarli.
Ho poi usato hijackthis e fatto un log che allego in discussione insieme a quello di prevx,gli altri evito di postarli perche sembra che sia tutto ok....ma se sono necessari rifaccio le scansioni e li posto.

http://www.mediafire.com/?sharekey=d...4e75f6e8ebb871

Grazie anticipatamente per l'aiuto.

ciao

carica anche gli altri log apparentemente puliti

[Lee-]

http://www.mediafire.com/?sharekey=d...4e75f6e8ebb871


Dovrei avere aggiunto altri 3 log,spero di aver fatto tutto bene ,è la prima volta che metto mani a questi programmi e alla rimozione virus in generale....

Edit: uno dei programmi ,nn ricordo quale,trova delle voci ma nn vundo.
Mi vengono segnalate queste due voci anche da spybot ma una è un falso spy,anche se poi l'ho corretta uguale,l'altra esssendo una chiave di registro nn l'ho mai toccata anche perche sara un anno che sta li ma nn da alcun problema al pc.

[wjmat]

Quote:

Originariamente inviato da Lee-

http://www.mediafire.com/?sharekey=d...4e75f6e8ebb871


Dovrei avere aggiunto altri 3 log,spero di aver fatto tutto bene ,è la prima volta che metto mani a questi programmi e alla rimozione virus in generale....

rifai la scansione con malwarebytes ed elimina tutto

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Codice:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\Ereg.exe" -r "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\ereg.ini"
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

devi aggiornare
Windows al service pack 3
Explorer alla versione 8

[Lee-]

Ti ringarizo molto provvedo a fare cio che mi dici subito.
Explorer nn lo uso serve aggiornarlo cmq?
Alcuni mi hanno detto che è meglio nn aggiornare windows ai pack superiori....solo cavolate a sto punto immagino!
Ma di virtuvundo vedi traccie?nn ho capito questa cosa....

[wjmat]

Quote:

Explorer nn lo uso serve aggiornarlo cmq?

per aggiornamenti o perchè legato a msn in qualche maniera lo si usa sempre

Quote:

Alcuni mi hanno detto che è meglio nn aggiornare windows ai pack superiori....solo cavolate a sto punto immagino!

è obbligatorio aggiornare win per tappare ogni suo buco

Quote:

Ma di virtuvundo vedi traccie?nn ho capito questa cosa...

penso tu abbia visto le firme virali scorrere a questo punto, ma nei log non ho visto tracce

[Lee-]

cosa vuol dire che ho visto le forme virali scorrere?
Altro problema....mentre gira malwarebytes c'è il programma prevx che continua a monitorare(nn sono riuscito a fermarlo e volevo aspettare a cancellarlo) che mi ha trovato altre 3 minaccie nei file temp di windows.....Ma nn mi sono collegato a niente di strano nel mentre....solo a HU e un'altro forum su cui scrivo e leggo tutti i giorni....bha!

[wjmat]

che hai letto virtumonde nella riga in cui scorrono le forme di spybot
se non è così pazienza... di spybot non ci si può più fidare molto
aspettiamo il log di mbam