[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!! - Pagina 88

ginogino65 · 28-01-2009, 19:39

Log di MBAM:
http://www.mediafire.com/?sharekey=2...4e75f6e8ebb871

Log di SAS:
http://www.mediafire.com/?sharekey=2...4e75f6e8ebb871

Log di HiJackThis:
http://www.mediafire.com/?sharekey=2...4e75f6e8ebb871

Log di Prevxcsi:
http://www.mediafire.com/?sharekey=2...4e75f6e8ebb871

Solo che ho fatto una scoperta, cercando il log di SAS dentro la sua cartella ho scoperto questi file:
http://www.mediafire.com/?sharekey=2...4e75f6e8ebb871

Ho disinstallato SAS, cancellato la cartella e riscaricato e installato, adesso sta effettuando la scansione da qualche minuto e non ha trovato niente.

Puo essere che il worm aveva modificato l'exe di SAS.

ginogino65 · 28-01-2009, 20:07

Quote:

Originariamente inviato da ginogino65

Ho disinstallato SAS, cancellato la cartella e riscaricato e installato, adesso sta effettuando la scansione da qualche minuto e non ha trovato niente.

Puo essere che il worm aveva modificato l'exe di SAS.

Niente da fare, ha finito la scansione e non ha trovato niente, riavviato fatta una nuova scansione e ha trovato ancora il trojan.

**Chill-Out** · 28-01-2009, 20:45

Quote:

Originariamente inviato da ginogino65

Niente da fare, ha finito la scansione e non ha trovato niente, riavviato fatta una nuova scansione e ha trovato ancora il trojan.

Dal log che hai allegato si evince che non hai messo in quarantena le minacce rilevate, al termine della nuova scansione allega il log + nuovo log di HJT su Wikisend, grazie.

ginogino65 · 29-01-2009, 14:28

Quote:

Originariamente inviato da Chill-Out

Dal log che hai allegato si evince che non hai messo in quarantena le minacce rilevate, al termine della nuova scansione allega il log + nuovo log di HJT su Wikisend, grazie.

Con tutti quelli che ho fatto, ho messo in rete l'unico in cui non ho messo in pratica le quarantene.

Log di stamattina:
http://www.mediafire.com/?sharekey=2...5965eaa7bc68bc

Log di oggi pomeriggio:
http://www.mediafire.com/?sharekey=2...5965eaa7bc68bc

Ma se faccio una nuovo installazione di windows su un altro disco, da quella installazione riesco a togliere questo maledettissimo trojan.

Ciao

**Chill-Out** · 29-01-2009, 20:04

Quote:

Originariamente inviato da ginogino65

Con tutti quelli che ho fatto, ho messo in rete l'unico in cui non ho messo in pratica le quarantene.

Log di stamattina:
http://www.mediafire.com/?sharekey=2...5965eaa7bc68bc

Log di oggi pomeriggio:
http://www.mediafire.com/?sharekey=2...5965eaa7bc68bc

Ma se faccio una nuovo installazione di windows su un altro disco, da quella installazione riesco a togliere questo maledettissimo trojan.

Ciao

Io parlavo di SAS e tu hai allegato il log MBAM

Grizzly87 · 30-01-2009, 19:01

Ciao a tutti e scusatemi il disturbo.

Un pò di tempo fà ho preso il virus Virtumonde. Ora sembra che vada tutto bene ma quando uso CCleaner a volte dopo un pò di tempo mi mostra questi log e quando gli elimino spariscono ma dopo un pò tornano:

C:\WINDOWS\system32\wbem\Logs\wbemcore.log
C:\WINDOWS\system32\wbem\Logs\wmiprov.log

Purtroppo ho cercato in rete e non ho trovato nulla a riguardo non è che sapreste aiutarmi??

Scusatemi ancora per il disturbo e per la vostra disponibilità.

wjmat · 30-01-2009, 19:35

Quote:

Originariamente inviato da Grizzly87

Ciao a tutti e scusatemi il disturbo.

Un pò di tempo fà ho preso il virus Virtumonde. Ora sembra che vada tutto bene ma quando uso CCleaner a volte dopo un pò di tempo mi mostra questi log e quando gli elimino spariscono ma dopo un pò tornano:

C:\WINDOWS\system32\wbem\Logs\wbemcore.log
C:\WINDOWS\system32\wbem\Logs\wmiprov.log

Purtroppo ho cercato in rete e non ho trovato nulla a riguardo non è che sapreste aiutarmi??

Scusatemi ancora per il disturbo e per la vostra disponibilità.

normali log di windows

Grizzly87 · 30-01-2009, 20:31

Quote:

Originariamente inviato da wjmat

normali log di windows

Scusami Wijimat stasera ho aggiornato Malware Byte è ho trovato una sorpresina. Mi potresti aiutare perfavore ti allego i log

wjmat · 31-01-2009, 07:57

Quote:

Originariamente inviato da Grizzly87

Scusami Wijimat stasera ho aggiornato Malware Byte è ho trovato una sorpresina. Mi potresti aiutare perfavore ti allego i log

accodati qui e segui quanto già richiesto

http://www.hwupgrade.it/forum/showthread.php?t=1892308

ginogino65 · 01-02-2009, 06:15

Quote:

Originariamente inviato da Chill-Out

Io parlavo di SAS e tu hai allegato il log MBAM

Ma il log di MBAM l'ho allegato a qualche post precedente, comunque ho risolto con un bel formattone.

Grazie a tutti a quelli che mi hanno dato aiuto.

Clooster · 04-02-2009, 10:22

Ciao a tutti
Riscontro di nuovo il problema che si aprono pagine internet nn volute.
Qualcuno potrebbe controllare questo log:
http://www.mediafire.com/file/edomzh...hijackthis.log

Grazie siete sempre molto gentili e temepstivi :-)

**Chill-Out** · 04-02-2009, 10:29

Quote:

Originariamente inviato da Clooster

Ciao a tutti
Riscontro di nuovo il problema che si aprono pagine internet nn volute.
Qualcuno potrebbe controllare questo log:
http://www.mediafire.com/file/edomzh...hijackthis.log

Grazie siete sempre molto gentili e temepstivi :-)

Non si tratta del Vundo il problema è un altro, comunque rimaniamo qui tra poco ti posto la procedura

1 Disattiva il Ripristino Configurazione Sistema:

Windows Vista

Start
Pannello di controllo
seleziona Sistema e manutenzione
seleziona l’icona Sistema
nel menu a sinistra clicca su Protezione sistema
togli la spunta alle voci che fanno riferimento ai dischi ai quali disattivare il Ripristino configurazione di sistema
Confermare come da richiesta

Riattivate il Ripristino Configurazione Sistema solo a disinfezione terminata

2 Pulizia dei file temporanei:

ATF Cleaner Download - Guida all'utilizzo
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

3 Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked:

Quote:

O4 - HKCU\..\Run: [edsqp] "c:\users\rocco\appdata\local\edsqp.exe" edsqp

4 Fai girare questo tool:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare:
Combofix
Nuovo log HJT

NB: i log vanno allegati secondo le modalità che trovi nelle Regole di sezione in firma

Ciao

Clooster · 04-02-2009, 10:40

Ok..Aspetto

**Chill-Out** · 04-02-2009, 10:42

Quote:

Originariamente inviato da Clooster

Ok..Aspetto

Fatto guarda il mio post precedente

Clooster · 04-02-2009, 11:16

Grazie Chillout ma,
quando apro proprieta' del sistema mi appare la seguente schermata:
Errore imprevisto nella pagina delle proprietà
il sistema copia Shadow del volume utilizzato da ripristino configurazione di sistema non funziona. Per ulteriori informazioni visulaizzare il registro eventi. (0x81000202).
Chiudere la pagina delle proprietà e riprovare.

**Chill-Out** · 04-02-2009, 11:52

Quote:

Originariamente inviato da Clooster

Grazie Chillout ma,
quando apro proprieta' del sistema mi appare la seguente schermata:
Errore imprevisto nella pagina delle proprietà
il sistema copia Shadow del volume utilizzato da ripristino configurazione di sistema non funziona. Per ulteriori informazioni visulaizzare il registro eventi. (0x81000202).
Chiudere la pagina delle proprietà e riprovare.

Sei loggato come Amministratore?

Clooster · 04-02-2009, 12:20

Quote:

Originariamente inviato da Chill-Out

Sei loggato come Amministratore?

No..non credo , perke' il pc che uso non è il mio ce l'ho in prestito

Clooster · 04-02-2009, 14:53

Quote:

Originariamente inviato da Chill-Out

Sei loggato come Amministratore?

Allora ho controllato..si sono loggato come amministratore nn esistono ulteriori account.

**Chill-Out** · 04-02-2009, 15:47

Quote:

Originariamente inviato da Clooster

Allora ho controllato..si sono loggato come amministratore nn esistono ulteriori account.

Per il momento salta il Punto 1 e procedi con i successivi

Clooster · 04-02-2009, 17:01

Quote:

Originariamente inviato da Chill-Out

Per il momento salta il Punto 1 e procedi con i successivi

Ecco i 2 log..come detto ho saltato il punto 1 della procedura:
http://www.mediafire.com/file/zd1jmd...ogcombofix.txt
http://www.mediafire.com/file/in0gdvtjyjk/hijackthis3

a presto

30-01-2009, 19:01	#1746
Grizzly87 Member Iscritto dal: Dec 2008 Città: Cormano/Milano Messaggi: 42	Ciao a tutti e scusatemi il disturbo. Un pò di tempo fà ho preso il virus Virtumonde. Ora sembra che vada tutto bene ma quando uso CCleaner a volte dopo un pò di tempo mi mostra questi log e quando gli elimino spariscono ma dopo un pò tornano: C:\WINDOWS\system32\wbem\Logs\wbemcore.log C:\WINDOWS\system32\wbem\Logs\wmiprov.log Purtroppo ho cercato in rete e non ho trovato nulla a riguardo non è che sapreste aiutarmi?? Scusatemi ancora per il disturbo e per la vostra disponibilità. Ultima modifica di Grizzly87 : 30-01-2009 alle 19:15.

04-02-2009, 10:22	#1751
Clooster Member Iscritto dal: Jan 2009 Messaggi: 92	riscontrato un vecchio problema Ciao a tutti Riscontro di nuovo il problema che si aprono pagine internet nn volute. Qualcuno potrebbe controllare questo log: http://www.mediafire.com/file/edomzh...hijackthis.log Grazie siete sempre molto gentili e temepstivi :-)

28-01-2009, 19:39	#1741
ginogino65 Senior Member Iscritto dal: Aug 2005 Città: Aulla (MS) Messaggi: 1312	Log di MBAM: http://www.mediafire.com/?sharekey=2...4e75f6e8ebb871 Log di SAS: http://www.mediafire.com/?sharekey=2...4e75f6e8ebb871 Log di HiJackThis: http://www.mediafire.com/?sharekey=2...4e75f6e8ebb871 Log di Prevxcsi: http://www.mediafire.com/?sharekey=2...4e75f6e8ebb871 Solo che ho fatto una scoperta, cercando il log di SAS dentro la sua cartella ho scoperto questi file: http://www.mediafire.com/?sharekey=2...4e75f6e8ebb871 Ho disinstallato SAS, cancellato la cartella e riscaricato e installato, adesso sta effettuando la scansione da qualche minuto e non ha trovato niente. Puo essere che il worm aveva modificato l'exe di SAS.

04-02-2009, 10:40	#1753
Clooster Member Iscritto dal: Jan 2009 Messaggi: 92	Ok..Aspetto

04-02-2009, 11:16	#1755
Clooster Member Iscritto dal: Jan 2009 Messaggi: 92	Grazie Chillout ma, quando apro proprieta' del sistema mi appare la seguente schermata: Errore imprevisto nella pagina delle proprietà il sistema copia Shadow del volume utilizzato da ripristino configurazione di sistema non funziona. Per ulteriori informazioni visulaizzare il registro eventi. (0x81000202). Chiudere la pagina delle proprietà e riprovare.

Strumenti
Mostra una versione stampabile Invia questa pagina per email