[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[wjmat]

Quote:

Originariamente inviato da Surdevi

Weeeeeeeee

MITICI......finalmente sono riuscito a risolvere lo sganciamento del trojan DLL dall'esecuzione dei processi iexplorer e winlogon........è stato il MITICO COMBOFIX che alla 1° scansione è riuscito nell'operazione ed al riavvio mi sono ritrovato il maledetto file in quarantena rinominato, con le relative chiavi di registro infettate.

GRAZIE DI ESISTERE !!!!

se ci carichi il log diamo un occhio anche al altre cose

[Rocklee07]

mbam-log-2008-11-18 (13-22-58).txt

http://www.fileqube.com/file/jeAzWLapU150123

http://www.fileqube.com/file/xrHHMgwi150126


non sono riuscito ad eliminare niente...oltre al Vundo ho anche il Rogue...che faccio? grazie a tutti e perdonate la mia ignoranza

[wjmat]

Quote:

Originariamente inviato da Rocklee07

Allegato 66936

http://www.fileqube.com/file/jeAzWLapU150123

http://www.fileqube.com/file/xrHHMgwi150126


non sono riuscito ad eliminare niente...oltre al Vundo ho anche il Rogue...che faccio? grazie a tutti e perdonate la mia ignoranza

il log di kasp filtralo come indicato nelle modalità in firma al punto 4, grazie

carica un log di Combofix (leggi bene le info)

[Rocklee07]

ma al punto 4 dove? io mi sono attenuto alla procedura della prima pagina???devo seguire quella oppure quale??

ma perchè solo con me siete così evasivi??

[wjmat]

Quote:

Originariamente inviato da Rocklee07

ma al punto 4 dove? io mi sono attenuto alla procedura della prima pagina???devo seguire quella oppure quale??

ma perchè solo con me siete così evasivi??

punto 4 di questa
http://www.hwupgrade.it/forum/showthread.php?t=1779308
per evitare di caricare decine di MB di log

[Rocklee07]

ComboFix.txt


http://www.fileqube.com/file/mmxjaKa150150

[wjmat]

Quote:

Originariamente inviato da Rocklee07

Allegato 66938


http://www.fileqube.com/file/mmxjaKa150150

il link del log di kasp filtrato mi fa scaricare altro... potrestri cortesemente verificarlo

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Codice:

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Biagio\AppData\Local\Temp\efcCrPgE.dll,c
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Biagio\AppData\Local\Temp\ddcDuVpq.dll,#1
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (User 'Default user')
O16  - tutte le voci se ce ne sono

[Chill-Out]

Successivamente a quanto detto sopra, fai una Deep Scan con A-Squared come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 3

Ricorda di allegare il log, ciao.

[Rocklee07]

a2scan_081118-151954.txt

http://www.fileqube.com/file/LqSuJNr150184

[wjmat]

Quote:

Originariamente inviato da Rocklee07

Allegato 66945

http://www.fileqube.com/file/LqSuJNr150184

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[Rocklee07]

è tutto ok?? a me sembra di si...ma ad ogni riavvio mi si apre sempre la finestra di SpyBot con il MSServer - valore modificato...non è stato eliminato. ma cos'è?

[Chill-Out]

Quote:

Originariamente inviato da Rocklee07

è tutto ok?? a me sembra di si...ma ad ogni riavvio mi si apre sempre la finestra di SpyBot con il MSServer - valore modificato...non è stato eliminato. ma cos'è?

Fixa con HJT le seguenti voci:

Quote:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Biagio\AppData\Local\Temp\wvUmnNHx.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Biagio\AppData\Local\Temp\awtuuRHx.dll,c
O4 - HKCU\..\Run: [96d0adb2] rundll32.exe "C:\Users\Biagio\AppData\Local\Temp\xvuqjnnk.dll",b

allega nuovo log, così dovremmo risolvere anche il problema di SpyBot

[Rocklee07]

ho fixato:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Biagio\AppData\Local\Temp\wvUmnNHx.dll,#1

le altre due voci non le ho trovate,però queste due voci "cmds" e "96d0adb2" mi vengono segnalate sempre da Spybot...ma non è meglio cancellarlo Spybot?

http://www.fileqube.com/file/lzxVva150237

[Chill-Out]

Quote:

Originariamente inviato da Rocklee07

ho fixato:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Biagio\AppData\Local\Temp\wvUmnNHx.dll,#1

le altre due voci non le ho trovate,però queste due voci "cmds" e "96d0adb2" mi vengono segnalate sempre da Spybot...ma non è meglio cancellarlo Spybot?

http://www.fileqube.com/file/lzxVva150237

Eliminale con SpyBot

[Rocklee07]

volevo ringraziare tutti quelli che con grande pazienza mi hanno aiutato a risolvere il problema...grazie e buon lavoro!

[wjmat]

di nulla, ciao

[Rocklee07]

vi posso chiedere quale procedura devo seguire x l'installazione dell'antivirus Avira AntiVir Personal - FREE?
la versione Avira AntiVir Premium è a pagamento??

grazie

[wjmat]

trattamento in firma ci sono tutte le info, hai già visto?
la premium si è a pagamento

[Slide]

Salve ragazzi

secondo voi sono riuscito a debellare il maledettissimo virus?!

Vi allego il log di hijackthis:

hijackthis.log
fileqube: hijackthis

Grazie per l'aiuto!

[renaulto86]

mi aggiungo anche io ai bisognosi..

Malwarebytes log:
http://www.mediafire.com/file/d00l4z...log-2008-11-28

hijackthis log:
http://www.mediafire.com/file/z4y1rg...hijackthis.log

grazie in anticipo!