[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[Chill-Out]

Quote:

Originariamente inviato da batista2

http://www.hwupgrade.it/forum/showthread.php?t=1908937

Chill-Out io la procedura l'ho seguita passo passo, e l'ho anche scritto.
Se ho aperto una nuova discussione è perchè a questo punto non sono sicuro che questo trojan sia un Vundo, o perlomeno deve essere una nuova "versione" , in quanto i normali tool di rimozione non funzionano.

Estratto dal log di MBAM

Quote:

Moduli della memoria infetti:
C:\WINDOWS\system32\tuhipulo.dll (Trojan.Vundo.H) -> No action taken.
c:\WINDOWS\system32\fitozeba.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\qfnwdq.dll (Trojan.Vundo.H) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Explorer\Browser Helper Objects\{f0f2004c-2ac0-4f7a-999b-f22ec3112934} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f0f2004c-2ac0-4f7a-999b-f22ec3112934} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Explorer\Browser Helper Objects\{5a38e1d4-1f46-437e-9e9a-dfa62b11072e} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5a38e1d4-1f46-437e-9e9a-dfa62b11072e} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Stats\{f0f2004c-2ac0-4f7a-999b-f22ec3112934} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\co ntim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ds lcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rd fa (Trojan.Vundo) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Run\50f3e500 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Run\gukijewete (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Run\cpm53c0d69c (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Explorer\SharedTask Scheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\ShellServiceObjectD elayLoad\ssodl (Trojan.Vundo.H) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\fitozeba.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\fitozeba.dll -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\qfnwdq.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tuhipulo.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\olupihut.ini (Trojan.Vundo.H) -> No action taken.
c:\WINDOWS\system32\fitozeba.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vubuvuha.dll (Trojan.Vundo.H) -> No action taken.

No action taken -->> significa che non hai eliminato nulla, segui passo passo la Guida in prima pagina, attendo in sequenza i seguenti log:

MBAM
F-Secure scansione Online

[batista2]

Quote:

Originariamente inviato da Chill-Out

Estratto dal log di MBAM

No action taken -->> significa che non hai eliminato nulla, segui passo passo la Guida

Chill-Out io capisco che avrai tante discussioni da leggere... ma se ti soffermavi un attimino di più su quello che avevo scritto, prima di chiudere la discussione, potevi vedere che avevo già eliminato:

Quote:

Originariamente inviato da batista2

lascio in allegato il log prima della rimozione

e poi ho copiato anche il log dopo aver eliminato

cmq adesso grazie al consiglio di wjmat sembre che abbia risolto
quindi un grazie a wjmat
e un abbasso ai mod dal grilletto facile

saluto e torno nei miei meandri

[Chill-Out]

Quote:

Originariamente inviato da batista2

Chill-Out io capisco che avrai tante discussioni da leggere... ma se ti soffermavi un attimino di più su quello che avevo scritto, prima di chiudere la discussione, potevi vedere che avevo già eliminato:



e poi ho copiato anche il log dopo aver eliminato

cmq adesso grazie al consiglio di wjmat sembre che abbia risolto
quindi un grazie a wjmat
e un abbasso ai mod dal grilletto facile

saluto e torno nei miei meandri

Esatto io ho tante discussioni da leggere, tu dovevi allegare solo un log, inoltre questo è il 3D dedicato alla rimozione del Vundo ovvero il tuo problema, detto questo fanno 5gg di sospensione per contestazione pubblica.

Saluti

[pinguino81]

ok, scansioni fatte.
hijackthis-21-01-09.txt

questo è il nuovo log id hijackthis..
Avevo il click singolo per l'apertura dei files, pare che sia stata la mia ragazza a configurarlo volutamente, mi sembrava anche a me un'opzione, ma utilizzando poco win, non ricordavo più, ma ora ho ritrovato.
Avevo un problema con le penne usb, forse ho risolto, ma non va l'autoplay, anche quello era un'altro virus e ho postato nel thread rispettivo.
Ora ho antivira attivo e prevx... dite che è il caso di mantenerli entrambi?

grazie
ciao

[Chill-Out]

Quote:

Originariamente inviato da pinguino81

ok, scansioni fatte.
hijackthis-21-01-09.txt

questo è il nuovo log id hijackthis..
Avevo il click singolo per l'apertura dei files, pare che sia stata la mia ragazza a configurarlo volutamente, mi sembrava anche a me un'opzione, ma utilizzando poco win, non ricordavo più, ma ora ho ritrovato.
Avevo un problema con le penne usb, forse ho risolto, ma non va l'autoplay, anche quello era un'altro virus e ho postato nel thread rispettivo.
Ora ho antivira attivo e prevx... dite che è il caso di mantenerli entrambi?

grazie
ciao

Esegui HJT clicca su Do a system scan only e metti il segnoo di spunta nella casella bianca a sx della sottoindicate voci:

Quote:

O15 - Trusted Zone: hxxp://www.happyfile.net
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - (no file)

Da Start - Esegui digita cmd

nella finestra DOS digita:

sc stop aspnet_state
sc delete aspnet_state

exit per uscire

Riallega nuovo log + i log indicati al Punto 3 e 4 della presente Guida

[andre69]

Ho eseguito i primi passi della guida.
Disabilitato ripristino
lanciato ATF
lanciato MBAM con rules aggiornate
cancellato quello che ha trovato.
Non ho trovato il log di mbam, è vuoto!!!
Ho intallato virit ma è solo in scansione, prob l'utente lo aveva già usato.
Spybot continua adarmi segnalazioni che un processo tenta di modificare chiavi di avvio.
Ecco il log di virit, se può servire:
VirIT eXplorer Lite Log

Quote:

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
22/01/2009 - 10:03:07

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\system32\butazaji.dll.tmp Infetto da Trojan.Win32.Vundo.FE
C:\WINDOWS\system32\com9.san Infetto da Trojan.Win32.RootKit.I
C:\WINDOWS\system32\dutudari.dll.tmp Infetto da Trojan.Win32.Vundo.FE
C:\WINDOWS\system32\marokeru.dll.tmp Infetto da Trojan.Win32.Vundo.FE
C:\WINDOWS\system32\niwaluyu.dll.tmp Infetto da Trojan.Win32.Vundo.FE
C:\WINDOWS\system32\tasurizo.dll.tmp Infetto da Trojan.Win32.Vundo.FE
C:\WINDOWS\system32\visujowo.dll.tmp Infetto da Trojan.Win32.Vundo.FE

Chiavi Registro infette: 0.
Files Infetti: 7.
Files Sospetti: 0.
Files Analizzati: 45626.
Files Totali: 45626.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[wjmat]

Quote:

Originariamente inviato da andre69

Ho eseguito i primi passi della guida.
Disabilitato ripristino
lanciato ATF
lanciato MBAM con rules aggiornate
cancellato quello che ha trovato.
Non ho trovato il log di mbam, è vuoto!!!
Ho intallato virit ma è solo in scansione, prob l'utente lo aveva già usato.
Spybot continua adarmi segnalazioni che un processo tenta di modificare chiavi di avvio.

ciao segui la guida del primo post ed allega i log secondo le modalità quindi non incollati

[andre69]

Ok wjmat rifaccio mbab (ha già ritrovato 24 file infetti) e provo a postare il log come da istruzioni...

[andre69]

Grazie infinite.. ora sembra tutto ok, ho passato un paio di volte mbam ed è riuscito a togliere tutto, tranne la appinit_dlls, tolta a mano. Ora mbam e hijack non danno più segnalazioni...
Un'ultima dritta... per blindare sto portatile che consigliate?

[wjmat]

Quote:

Originariamente inviato da andre69

Grazie infinite.. ora sembra tutto ok, ho passato un paio di volte mbam ed è riuscito a togliere tutto, tranne la appinit_dlls, tolta a mano. Ora mbam e hijack non danno più segnalazioni...
Un'ultima dritta... per blindare sto portatile che consigliate?

se carichi i log diamo un occhio, altrimenti che ne sappiamo di come sei messo

[pinguino81]

allora.. ho provato a fixare le due voci, ma happyfile.net mi pare rimanga.

cmq ecco di nuovo i vari log

hijackthis-22-01-09.txt

mbam-log-2009-01-22 (19-42-27).txt

F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, January 22, 2009 204639.mht

e ora? ancora dite che non s'è sfangata?

grazie mille!

[andre69]

Quote:

Originariamente inviato da wjmat

se carichi i log diamo un occhio, altrimenti che ne sappiamo di come sei messo

Molto più che vero... spero di aver fatto tutto nel modo corretto stavolta...

http://www.mediafire.com/file/hnx5yj...log-2009-01-22 (21-24-56).txt

http://www.mediafire.com/file/qwjzbq...hijackthis.log

[Chill-Out]

Quote:

Originariamente inviato da pinguino81

allora.. ho provato a fixare le due voci, ma happyfile.net mi pare rimanga.

cmq ecco di nuovo i vari log

hijackthis-22-01-09.txt

mbam-log-2009-01-22 (19-42-27).txt

F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, January 22, 2009 204639.mht

e ora? ancora dite che non s'è sfangata?

grazie mille!

Scarica DelDomains da qui:
http://www.mvps.org/winhelp2002/DelDomains.inf
salvalo sul DeskTop

clicca col tasto dx del mouse e scegli installa, dopidichè apri HJT e fixa tutti gli 015 ovvero O15 - Trusted Zone: hxxp://www.happyfile.net al termine nuovo log di HJT.

[pinguino81]

una volta installato il file, lanciato hjt la 015 era sparito, niente da fixare.
hijackthis-22-01-09_2.txt

questo cmq il nuovo log!


grazie mille

[Chill-Out]

Quote:

Originariamente inviato da pinguino81

una volta installato il file, lanciato hjt la 015 era sparito, niente da fixare.
hijackthis-22-01-09_2.txt

questo cmq il nuovo log!


grazie mille

A posto, ciao

[andre69]

Quote:

Originariamente inviato da andre69

Molto più che vero... spero di aver fatto tutto nel modo corretto stavolta...

http://www.mediafire.com/file/hnx5yj...log-2009-01-22 (21-24-56).txt

http://www.mediafire.com/file/qwjzbq...hijackthis.log

Qualcuno mi può aiutare?

[wjmat]

Quote:

Originariamente inviato da andre69

Qualcuno mi può aiutare?

manca la scansione antivirus
poi rifai hjt da modalità normale

[andre69]

Quote:

Originariamente inviato da wjmat

manca la scansione antivirus
poi rifai hjt da modalità normale

Dimmi se ho capito:

scansione antivirus (da modalità normale o provv? Va bene anche avira?)
rifaccio Hjt da normale...

[Chill-Out]

Quote:

Originariamente inviato da andre69

Dimmi se ho capito:

scansione antivirus (da modalità normale o provv? Va bene anche avira?)
rifaccio Hjt da normale...

Manca la scansione con F-Secure indicata al Punto 4 della presente Guida

[andre69]

Quote:

Originariamente inviato da Chill-Out

Manca la scansione con F-Secure indicata al Punto 4 della presente Guida

Non ho la possibilità di collegarlo a una internet decentemente veloce in questa sede... scansione con avira non è significativa?