|
|||||||
|
|
|
 |
|
|
Strumenti |
17-12-2008, 11:00
|
#1541 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
17-12-2008, 13:57
|
#1542 |
|
Junior Member
Iscritto dal: Feb 2003
Messaggi: 8
|
Help Virtumonde...
Salve a tutti
Virtumonde ha preso la residenza nel mio pc Ho seguito la [GUIDA] Rimuovere trojan vundo/Virutumonde ma sia spybot sia F-secure Online rilevano ancora il virus Ho fatto l'upload di hijackthis qui http://www.mediafire.com/?sharekey=0...db6fb9a8902bda Potreste aiutarmi? |
|
|
|
17-12-2008, 14:27
|
#1543 | |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Quote:
se hai seguito la guida dovresti caricare il log di mbam + quello di fsecure + un log di Combofix (leggi bene le info)
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
|
|
|
|
18-12-2008, 18:35
|
#1544 | |
|
Junior Member
Iscritto dal: Feb 2003
Messaggi: 8
|
Quote:
grazie WJMAT adesso purtroppo non ho il pc infetto a disposizione, quindi non posso. nei prossimi giorni metto tutto appena possibile |
|
|
|
|
20-12-2008, 10:20
|
#1545 |
|
Senior Member
Iscritto dal: Apr 2007
Messaggi: 967
|
Il pc di un amico è infestato da Vundo, ho seguito la guida passo passo ma il problema sembra permanere.
Ecco i log: MBAM: http://www.fileqube.com/file/YDoaqsh160571 F-Secure: http://www.fileqube.com/file/wuZpjAw160572 Ho ripetute le scansioni varie volte ma nulla... |
|
|
|
20-12-2008, 10:32
|
#1546 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe Doppio click su combofix.exe e segui le istruzioni Allegare il log C:\combofix.txt N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire) ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza 2 Scarica Prevx CSI da qui http://www.prevx.com/freescan.asp, terminata la scansione per salvare il log clicca su Impostazioni - Salva file di log Riepilogo log da allegare: Combofix Prevx Log HJT Ciao
__________________
Try again and you will be luckier.
|
|
|
|
|
20-12-2008, 11:51
|
#1547 |
|
Senior Member
Iscritto dal: Apr 2007
Messaggi: 967
|
|
|
|
|
20-12-2008, 19:49
|
#1548 | |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Quote:
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema. Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli. Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico. Le eventuali voci O16 dovranno essere fixate con IE chiuso. Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Logfile of Trend Micro HijackThis v2.0.2 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Codice:
O4 - HKLM\..\Run: [HiYo] E:\Programmi\HiYo\bin\HiYo.exe /RunFromStartup
O4 - HKLM\..\Run: [d8cb7152] rundll32.exe "E:\WINDOWS\system32\dukeyiwa.dll",b
O4 - HKLM\..\Run: [CPMc3f29610] Rundll32.exe "e:\windows\system32\lorizuzu.dll",a
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] E:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - http://powersoccer.giocaregratis.it/applet/PowerLoader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1226415201667
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - AppInit_DLLs: e:\windows\system32\lorizuzu.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - e:\windows\system32\lorizuzu.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - e:\windows\system32\lorizuzu.dll
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente. Al riavvio verrà salvato il log in c:\avenger.txt. caricalo per verificare che l'operazione abbia funzionato. Codice:
Files to delete: E:\WINDOWS\system32\dukeyiwa.dll e:\windows\system32\lorizuzu.dll
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
|
|
|
|
20-12-2008, 23:18
|
#1549 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Esegui quanto detto sopra, lasciando stare Avenger, dopodichè procedi così:
Apri il Blocco Note copia e incolla questa righe: Quote:
Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza
__________________
Try again and you will be luckier.
|
|
|
|
|
21-12-2008, 16:02
|
#1550 |
|
Member
Iscritto dal: Oct 2008
Messaggi: 78
|
Mi affido nuovamente al vostro aiuto per il pc che usa mia sorella che si è ribeccata di nuovo questo malware.
Questi sono i log: http://www.fileqube.com/file/kGBAdHn160802 http://www.fileqube.com/file/ddKWRR160803 http://www.fileqube.com/file/pijCrlAx160804 Sono pulito? Grazie |
|
|
|
21-12-2008, 16:13
|
#1551 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe Doppio click su combofix.exe e segui le istruzioni Allegare il log C:\combofix.txt N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire) ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza 2 Scarica Prevx CSI da qui http://www.prevx.com/freescan.asp, terminata la scansione per salvare il log clicca su Impostazioni - Salva file di log Riepilogo log da allegare: Combofix Prevx Log HJT Ciao
__________________
Try again and you will be luckier.
|
|
|
|
|
21-12-2008, 17:31
|
#1552 | |
|
Junior Member
Iscritto dal: Feb 2003
Messaggi: 8
|
Quote:
http://www.mediafire.com/?sharekey=0...db6fb9a8902bda Ho inserito sia quelli di adesso, sia quelli di qualche giorno fa |
|
|
|
|
22-12-2008, 10:36
|
#1553 | |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Quote:
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema. Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli. Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico. Le eventuali voci O16 dovranno essere fixate con IE chiuso. Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Logfile of Trend Micro HijackThis v2.0.2 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Codice:
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programmi\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site .cab?1204111911910
O16 - DPF: {7F8B1F27-AE54-479D-AACF-0A7B2334E7EE} (HTTPUplListX Control) - http://stampafoto.mediaworld.it/HTTPUplList.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
|
|
|
|
22-12-2008, 10:57
|
#1554 |
|
Senior Member
Iscritto dal: Aug 2006
Città: Moniga del Garda
Messaggi: 424
|
Problema.. inizio a seguire la guida... ma durante la scansione del sistema con Malewarebytes il pc mi si riavvia automaticamente....
Stessa cosa se faccio lo scan con l'antivirus o con windows malaware tool
__________________
- Mobo asrock 890gx extreme3 - CPU AMD Phenom II X 6 1090T - Ati radeon HD 5870 1 Giga - 4 x 1GB RAM DDR3 1333 dual CHANNEL - |
|
|
|
22-12-2008, 11:04
|
#1555 | |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Quote:
prova in modalità provvisoria se non dovesse andare a buon fine carica un log di Combofix (leggi bene le info)
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 22-12-2008 alle 11:12. |
|
|
|
|
22-12-2008, 12:56
|
#1556 | |
|
Junior Member
Iscritto dal: Feb 2003
Messaggi: 8
|
Quote:
ecco il log di hijackthis http://www.mediafire.com/?tzrzkv2itvl |
|
|
|
|
22-12-2008, 13:12
|
#1557 | |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Quote:
importante aggiornare Windows al service pack 3 -> link download
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 22-12-2008 alle 13:14. |
|
|
|
|
22-12-2008, 14:02
|
#1558 | |
|
Member
Iscritto dal: Oct 2008
Messaggi: 78
|
Quote:
Questo è combo: http://www.fileqube.com/file/KOqezFa161077 Questo è prev: http://www.fileqube.com/file/cmTjGPHC161078 Hijackthis: http://www.fileqube.com/file/KxvKdyfp161079 Grazie |
|
|
|
|
22-12-2008, 14:13
|
#1559 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Edit
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 22-12-2008 alle 14:38. |
|
|
|
22-12-2008, 14:15
|
#1560 | |
|
Junior Member
Iscritto dal: Feb 2003
Messaggi: 8
|
Quote:
Virtumonde: [SBI $1E12D746] Impostazioni utente (Chiave di registro, nothing done) HKEY_USERS\S-1-5-21-484763869-492894223-725345543-1003\Software\Microsoft\fias4013 Right Media: Cookie tracciante (Internet Explorer: Admin) (Cookie, fixed) mi dovrò rassegnare a formattare?? 
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 18:34.
