[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[wjmat]

Quote:

Originariamente inviato da renaulto86

ecco il log di combofix

dovrebbe essere tutto risolto, giusto? grazie mille dell'aiuto! spero di non dover tornare

si ha eliminato altra robaccia, ora dovresti essere ok

[Slide]

Quote:

Originariamente inviato da wjmat

i fix che ti ho consigliato sono solo per velocizzare l'avvio del pc
avast e spybot io li lascerei perdere... leggi il trattanmento che ho in firma dove trovi i software che consigliamo e altre info utili
importante aggiornare win a sp3 e IE alla 7

Alla fine ho fixato

[pumpkiniri]

Quote:

Originariamente inviato da Bugs Bunny

CHI HA PROBLEMI CON IL TROJAN VUNDO SEGUA TUTTA LA GUIDA E POSTI I LOG DELLE SCANSIONI IN QUESTO THREAD.

Eccomi qui, ho preso questo (e purtroppo credo anche altri) trojan... Ho cambiato l'hard disk del portatile venerdì scorso e ho formattato, probabilmente mi sono infettata cercando dei software dato che ho appena formattato ho ancora Internet Explorer 6 e Win XP SP2, uso Firefox 3. Ho fatto varie scansioni con spybot, avast, ewido, ccleaner.. trovavano, pulivano, ma al riavvio del pc la situazione era uguale. Poi ho trovato questo thread e ho seguito bene le istruzioni ma non sono ancora riuscita a risolvere.

-Ho disattivato il ripristino configurazione di sistema
-Ho usato ATF Cleaner e pulito tutto
-Ho fatto una scansione con Malwarebytes anti malware (log)
-Ho provato a fare una scansione online con Eset ma si è bloccato e dopo un po' ho stoppato
-Ho fatto una scansione con Kaspersky Virus Removal Tool (kaspersky.txt)

Ed ecco infine il log della scansione di Hijackthis: hijackthis.log



edit: forse invece è tutto pulito!! ora aggiorno explorer etc, se ho altri problemi lo scrivo, intanto se mi date un'occhiata al log di hijackthis e mi confermate che è tutto pulito mi farebbe piacere, grazie mille in ogni caso del tutorial

[wjmat]

Quote:

Originariamente inviato da pumpkiniri

Eccomi qui, ho preso questo (e purtroppo credo anche altri) trojan... Ho cambiato l'hard disk del portatile venerdì scorso e ho formattato, probabilmente mi sono infettata cercando dei software dato che ho appena formattato ho ancora Internet Explorer 6 e Win XP SP2, uso Firefox 3. Ho fatto varie scansioni con spybot, avast, ewido, ccleaner.. trovavano, pulivano, ma al riavvio del pc la situazione era uguale. Poi ho trovato questo thread e ho seguito bene le istruzioni ma non sono ancora riuscita a risolvere.

-Ho disattivato il ripristino configurazione di sistema
-Ho usato ATF Cleaner e pulito tutto
-Ho fatto una scansione con Malwarebytes anti malware (log)
-Ho provato a fare una scansione online con Eset ma si è bloccato e dopo un po' ho stoppato
-Ho fatto una scansione con Kaspersky Virus Removal Tool (kaspersky.txt)

Ed ecco infine il log della scansione di Hijackthis: hijackthis.log



edit: forse invece è tutto pulito!! ora aggiorno explorer etc, se ho altri problemi lo scrivo, intanto se mi date un'occhiata al log di hijackthis e mi confermate che è tutto pulito mi farebbe piacere, grazie mille in ogni caso del tutorial

ciao

per sicurezza carica un log di Combofix (leggi bene le info)

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Codice:

O2 - BHO: (no name) - {05EBE611-C43D-4E4C-AAD5-25D8C9E2F78E} - (no file)
O2 - BHO: (no name) - {2AF4CCCE-BC69-4366-8F03-5D32F94FA4B7} - (no file)
O2 - BHO: (no name) - {494FED01-E71B-416B-9F2E-05212A212A4E} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O20 - Winlogon Notify: ddcBQifc - C:\WINDOWS\
O16  - tutte le voci

[mimmuzzo81]

Salve a tutti,
Spero che qualcuno possa aiutarmi a capire se ho risolto tutti i problemi, credo di aver beccato vundo a quanto ho letto da malwarebytes, ora allego i log ottenuti tramite HIJACK ed eset sysinspector.

hijackthis.log


SysInspector-CDMCS-1-081202-1944.zip

Ed allego anche il log ottenuto da malwarebytes fatto prima della cancellazione.

mbam-log-2008-12-02 (15-52-59).txt



Grazie a tutti in anticipo.

[wjmat]

Quote:

Originariamente inviato da mimmuzzo81

Salve a tutti,
Spero che qualcuno possa aiutarmi a capire se ho risolto tutti i problemi, credo di aver beccato vundo a quanto ho letto da malwarebytes, ora allego i log ottenuti tramite HIJACK ed eset sysinspector.

hijackthis.log


SysInspector-CDMCS-1-081202-1944.zip

Ed allego anche il log ottenuto da malwarebytes fatto prima della cancellazione.

mbam-log-2008-12-02 (15-52-59).txt



Grazie a tutti in anticipo.

aspettiamo anche il log della scansione completa con un antivirus di quelli indicati

[mimmuzzo81]

L'ultima scansione effettuata con kaspersky removal tool non ha trovato nulla.

f-secure non riuscivo a farlo partire.

Provo anche Cureit di nuovo?

[wjmat]

Quote:

Originariamente inviato da mimmuzzo81

L'ultima scansione effettuata con kaspersky removal tool non ha trovato nulla.

f-secure non riuscivo a farlo partire.

Provo anche Cureit di nuovo?

se riscontri altri problemi carica un log di Combofix (leggi bene le info)

[mimmuzzo81]

Ok grazie ora sto rifancendo la scansione con cureit; speriamo bene!

[sandrix23]

raga stesso problema...ho scritto qualke giorno fa...sn infetto da vundo!ho eseguito tutte le operazioni da voi elencate!questi file log sono il risultato


grazie ragazzi!

a voi l interpretazione....

[sandrix23]

questo l altro...

[sandrix23]

opss...scusate mancava questo!!

[Chill-Out]

Quote:

Originariamente inviato da sandrix23

raga stesso problema...ho scritto qualke giorno fa...sn infetto da vundo!ho eseguito tutte le operazioni da voi elencate!questi file log sono il risultato


grazie ragazzi!

a voi l interpretazione....

Quote:

Originariamente inviato da sandrix23

questo l altro...

Quote:

Originariamente inviato da sandrix23

opss...scusate mancava questo!!

Manca il log della scansione al Punto 4

[sandrix23]

eccoli...ti allego l'ultimo log che mancava...

[wjmat]

Quote:

Originariamente inviato da sandrix23

opss...scusate mancava questo!!

dovresti avere in giro anche un altro log di combofix, dato che l'hai lanciato 2 volte

[sandrix23]

no ascolta non l ho trovato...credo sia l unico!ma quindi dai log riportati...sono infetto??

[wjmat]

Quote:

Originariamente inviato da sandrix23

no ascolta non l ho trovato...credo sia l unico!ma quindi dai log riportati...sono infetto??

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Codice:

O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [fmecjba] "c:\users\jo\appdata\local\fmecjba.exe" fmecjba
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - http://www.coolstreaming.us/consolle/plug-in/SOPCORE.CAB
O23 - Service: VHYDN - Unknown owner - C:\Users\Jo\AppData\Local\Temp\VHYDN.exe (file missing)

Fai controllare su www.virustotal.com e su http://virscan.org/

Codice:

c:\users\jo\appdata\local\fmecjba.exe

Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema
Alla fine della verifica rimetti le impostazioni originali

[sandrix23]

ok grazie ci aggiorniamo..

[sandrix23]

ho fatto come tutto come mi hai indicato...
il file non si trova piu nel computer quindi non ho potuto inviarlo...
però tutti gli altri prog come ad esempio S&D e register mechanic trovano sempre la voce
"HKCU\..\Run: [fmecjba] "c:\users\jo\appdata\local\fmecjba.exe" fmecjba2"
non so cosa sia ma diavolo torna sempre!
cosa faccio??sto impazzendo

[Chill-Out]

Quote:

Originariamente inviato da sandrix23

ho fatto come tutto come mi hai indicato...
il file non si trova piu nel computer quindi non ho potuto inviarlo...
però tutti gli altri prog come ad esempio S&D e register mechanic trovano sempre la voce
"HKCU\..\Run: [fmecjba] "c:\users\jo\appdata\local\fmecjba.exe" fmecjba2"
non so cosa sia ma diavolo torna sempre!
cosa faccio??sto impazzendo

Hai provveduto a fixare le voci indicate qui http://www.hwupgrade.it/forum/showpo...postcount=1485 se si allega nuovo log di HJT