[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!! - Pagina 17

**Chill-Out** · 01-02-2008, 22:04

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download: http://www.filehippo.com/download/83...b540/download/

1) Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle voci sottoindicate:

O2 - BHO: (no name) - {16C4CC4D-559A-40CA-927A-F59BD019E904} - C:\WINDOWS\system32\dbgbrfcu.dll
O2 - BHO: (no name) - {D4C56930-7EB8-4643-920E-B59F14891004} - C:\WINDOWS\system32\awtst.dll (file missing)
O2 - BHO: (no name) - {D5B75695-C656-4945-9792-851682E68D73} - C:\WINDOWS\system32\vtutq.dll (file missing)
O20 - Winlogon Notify: xxywwxx - C:\WINDOWS\
O21 - SSODL: rdihost - {2F543712-A5A8-4D34-8381-A8E5967646C0} - rdihost.dll (file missing)

clicca su Fix cheked

2) Apri il Blocco Note copia e incolla queste righe:

Quote:

File::
C:\WINDOWS\system32\dbgbrfcu.dll
C:\WINDOWS\system32\awtst.dll
C:\WINDOWS\system32\vtutq.dll
C:\WINDOWS\system32\swreg.exe

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{16C4CC4D-559A-40CA-927A-F59BD019E904}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{91262C60-DD10-46FA-A09B-AE14902ECA11}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CAF22F75-08E5-448B-A88B-BE7083D35077}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4C56930-7EB8-4643-920E-B59F14891004}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D5B75695-C656-4945-9792-851682E68D73}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxywwxx]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt + nuovo log di HJT, ciao.

NB: i log per il controllo li hosti qui: http://www.fileup.itadib.com grazie

Armati di pazienza dobbiamo fare ulteriori controlli

TeamMMR · 02-02-2008, 00:58

Ecco i due Log che mi hai chiesto:

ComboFix:
http://www.fileup.itadib.com/downloa...ryLLnlkaXyLMEd

HJT:
http://www.fileup.itadib.com/downloa...ms615PkVHfaVxp

TeamMMR · 02-02-2008, 00:59

Grazie per l'aiuto che mi stai dando...
Grazie tanto

marcone80 · 02-02-2008, 17:37

è maledetto sto virus....sono riuscito, forse, a toglierlo con ComboFix........

**Chill-Out** · 02-02-2008, 22:08

Quote:

Originariamente inviato da TeamMMR

Ecco i due Log che mi hai chiesto:

ComboFix:
http://www.fileup.itadib.com/downloa...ryLLnlkaXyLMEd

HJT:
http://www.fileup.itadib.com/downloa...ms615PkVHfaVxp

1) Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx della voce sottoindicata:

O20 - Winlogon Notify: xxywwxx - C:\WINDOWS\

2) Scarica Avenger http://swandog46.geekstogo.com/avenger.zip
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che ti indico cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da allegare per il controllo

Quote:

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxywwxx

Scarica A-Squared Free http://download5.emsisoft.com/a2FreeSetup.exe installalo aggiornalo e lancia una Deep Scan gli eventulai malware rilevati vanno messi in quarantena allega il log per il controllo

Ciao

TeamMMR · 04-02-2008, 15:20

ecco i due log che avevi chiesto:

Avenger:
http://fileup.itadib.com/download.ph...Mgl9umWN7cStRZ

A2F:
http://fileup.itadib.com/download.ph...RljkUNQWzoUK8c

Grazie Tanto

**Chill-Out** · 04-02-2008, 15:50

Cosa hai fatto delle tracce rilevate da A-Squared? Perchè dal log non si capisce che azione hai intrapreso, nel senso che questi:

Quote:

C:\Documents and Settings\Mirco\Cookies\mirco@atdmt[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Mirco\Cookies\mirco@doubleclick[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Mirco\Cookies\mirco@tradedoubler[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Mirco\Dati applicazioni\Mozilla\Firefox\Profiles\97b1drwx.default\cookies.txt:39 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Mirco\Dati applicazioni\Mozilla\Firefox\Profiles\97b1drwx.default\cookies.txt:50 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Mirco\Dati applicazioni\Mozilla\Firefox\Profiles\97b1drwx.default\cookies.txt:60 rilevati: Trace.TrackingCookie
C:\Documents and Settings\Mirco\Dati applicazioni\Mozilla\Firefox\Profiles\97b1drwx.default\cookies.txt:61 rilevati: Trace.TrackingCookie

li puoi eliminare

questo:

Quote:

c:\windows\system\cat.dll rilevati: Trace.File.MiniSpy

sarebbe opportuno controllarlo su www.virustotal.com, indica il link dove visualizzare i risultati, per il resto il PC come và dovremmo aver risolto.

-DNT- · 04-02-2008, 18:10

sono infetto sto facendo le varie scansioni ma ho win vista e avenger nn và

con HJT riusciamo a rimuoverlo completamente?

murack83pa · 04-02-2008, 18:56

Quote:

Originariamente inviato da -DNT-

sono infetto sto facendo le varie scansioni ma ho win vista e avenger nn và

con HJT riusciamo a rimuoverlo completamente?

c sono un bel po di programmi prima di un eventuale utilizzo di avenger...

utilizzali nell'ordine indicato e posta i log, grazie

-DNT- · 04-02-2008, 19:28

ok ho fatto tutte le scansioni tranne quella di FindAWF: nn so usarlo
RenV niente
VundoFix in modalità provv ha trovato ed eliminati 4 files
FixVundo niente
ComboFix mi dà un errore e nn si avvia
prevx CSi si blocca a metà dicendo che non ho connessione
VirIT nn si aggiorna x lo stesso motivo si prev

posto il log di HJT

EDIT: dopo aver eliminati i files con VundoFix quando avvio appare un messaggio che dice nn ha potuto caricare un file:che faccio?

murack83pa · 04-02-2008, 19:54

allora:

posta i log di renv, vundofix, fixvundo, virtumundobegone

che errore ti dà combo? dovrebbe cmq generare un log, postato qui

prevx csi lo devi fare girare in modalità normale, come spiegato nella guida....posta il log (a fine scansione,clicca su options e poi save log)

cosi come virit,in mod normale (posta il log)

rifai una nuova scansione con hijackthis (dopo prevx e virit) e fermati qui e attendi ulteriori iori isistruzioni

-DNT- · 04-02-2008, 20:07

Quote:

Originariamente inviato da murack83pa

allora:

posta i log di renv, vundofix, fixvundo, virtumundobegone

che errore ti dà combo? dovrebbe cmq generare un log, postato qui

prevx csi lo devi fare girare in modalità normale, come spiegato nella guida....posta il log (a fine scansione,clicca su options e poi save log)

cosi come virit,in mod normale (posta il log)

rifai una nuova scansione con hijackthis (dopo prevx e virit) e fermati qui e attendi ulteriori iori isistruzioni

il link di virtumundobegone è stato rimosso
combofix mi fa apparire un errore del tipo "si è riscontrato un errore premere ok x terminare il processo ma in inglese
log di renv allegato

riguardo a PrevX CSI e VirIT:
ho eseguito lo scan in modalità normale prev mi dice a metà che la connessione è assente e nn può lavorare
con VirIT mi dice che la connessione è assente (ma è attiva) e nn si aggiorna ma ho eseguito lo stesso la scansione ma come fixvundo il log è in formato .log e nn lo allega

ciao e fammi sapere!

murack83pa · 04-02-2008, 20:11

modifica il tuo post...dovresti sapere il motivo

e dovresti sapare come postare i log......c sono 2 alternative, spiegate in guida....

-DNT- · 04-02-2008, 20:20

scusa..ecco il link del file .rar con dentro i log di virit e fixvundo
http://www.fileup.itadib.com/downloa...J2UdboOandPvWK
edit ora vado ci vediamo dmn

murack83pa · 04-02-2008, 20:33

Quote:

Originariamente inviato da -DNT-

scusa..ecco il link del file .rar con dentro i log di virit e fixvundo
http://www.fileup.itadib.com/downloa...J2UdboOandPvWK
edit ora vado ci vediamo dmn

niente file rar o zip: è esplicitamente specificato log in formato txt

-DNT- · 05-02-2008, 10:24

Quote:

Originariamente inviato da murack83pa

niente file rar o zip: è esplicitamente specificato log in formato txt

Log di FixVundo: http://www.fileup.itadib.com/downloa...Fss4dDgL0ta3o1
Log di VirIT :
http://www.fileup.itadib.com/downloa...5lueFIt58KkYGp
sono in formato txt ma cmq quel rar funzionava

murack83pa · 05-02-2008, 10:37

Quote:

Originariamente inviato da -DNT-

Log di FixVundo: http://www.fileup.itadib.com/downloa...Fss4dDgL0ta3o1
Log di VirIT :
http://www.fileup.itadib.com/downloa...5lueFIt58KkYGp
sono in formato txt ma cmq quel rar funzionava

rifai nuovamente il giro delle scansioni, rispettando l'ordine e le modalità

VirtumundoBeGonE : DOWNLOAD

posta tutti i log

il fatto che la connessione nn va nn è un buon segno

-DNT- · 05-02-2008, 10:54

Quote:

Originariamente inviato da murack83pa

rifai nuovamente il giro delle scansioni, rispettando l'ordine e le modalità

VirtumundoBeGonE : DOWNLOAD

posta tutti i log

il fatto che la connessione nn va nn è un buon segno

ok sto rifacendo ma come faccio a salvare il log di vundofix?

Quote:

il fatto che la connessione nn va nn è un buon segno

che puo succedere?

-DNT- · 05-02-2008, 11:59

aaaaaaaaaaaaaaaaaaaaaaaa un file infetto fa Worm.Beagle.DM e rimosso da VirIT
mi sto preoccupando fortemente

ma dove ca**o li ho presi tutti sti virus???
attendo istruzioni

murack83pa · 05-02-2008, 13:01

Quote:

Originariamente inviato da -DNT-

aaaaaaaaaaaaaaaaaaaaaaaa un file infetto fa Worm.Beagle.DM e rimosso da VirIT
mi sto preoccupando fortemente

ma dove ca**o li ho presi tutti sti virus???
attendo istruzioni

fai tutte le scansioni previste dalla guida e posta tutti i log...
nn capisco cosa c sia di difficile

02-02-2008, 17:37	#324
marcone80 Member Iscritto dal: May 2006 Messaggi: 265	è maledetto sto virus....sono riuscito, forse, a toglierlo con ComboFix........ __________________ You talkin' to me? You talkin' to me? You talkin' to me? Then who the hell else are you talkin' to? You talkin' to me? Well, I'm the only one here. Who do the fuck do you think you're talking to? Oh, yeah? Ok.

04-02-2008, 20:20	#334
-DNT- Senior Member Iscritto dal: Jan 2008 Messaggi: 2497	scusa..ecco il link del file .rar con dentro i log di virit e fixvundo http://www.fileup.itadib.com/downloa...J2UdboOandPvWK edit ora vado ci vediamo dmn Ultima modifica di -DNT- : 04-02-2008 alle 20:30.

05-02-2008, 11:59	#339
-DNT- Senior Member Iscritto dal: Jan 2008 Messaggi: 2497	aaaaaaaaaaaaaaaaaaaaaaaa un file infetto fa Worm.Beagle.DM e rimosso da VirIT mi sto preoccupando fortemente ma dove ca*o li ho presi tutti sti virus??? attendo istruzioni Ultima modifica di -DNT- : 05-02-2008 alle 12:57.*

02-02-2008, 00:58	#322
TeamMMR Member Iscritto dal: Sep 2006 Messaggi: 43	Ecco i due Log che mi hai chiesto: ComboFix: http://www.fileup.itadib.com/downloa...ryLLnlkaXyLMEd HJT: http://www.fileup.itadib.com/downloa...ms615PkVHfaVxp

02-02-2008, 00:59	#323
TeamMMR Member Iscritto dal: Sep 2006 Messaggi: 43	Grazie per l'aiuto che mi stai dando... Grazie tanto

04-02-2008, 15:20	#326
TeamMMR Member Iscritto dal: Sep 2006 Messaggi: 43	ecco i due log che avevi chiesto: Avenger: http://fileup.itadib.com/download.ph...Mgl9umWN7cStRZ A2F: http://fileup.itadib.com/download.ph...RljkUNQWzoUK8c Grazie Tanto

04-02-2008, 18:10	#328
-DNT- Senior Member Iscritto dal: Jan 2008 Messaggi: 2497	sono infetto sto facendo le varie scansioni ma ho win vista e avenger nn và con HJT riusciamo a rimuoverlo completamente?

04-02-2008, 19:54	#331
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	allora: posta i log di renv, vundofix, fixvundo, virtumundobegone che errore ti dà combo? dovrebbe cmq generare un log, postato qui prevx csi lo devi fare girare in modalità normale, come spiegato nella guida....posta il log (a fine scansione,clicca su options e poi save log) cosi come virit,in mod normale (posta il log) rifai una nuova scansione con hijackthis (dopo prevx e virit) e fermati qui e attendi ulteriori iori isistruzioni

04-02-2008, 20:11	#333
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	modifica il tuo post...dovresti sapere il motivo e dovresti sapare come postare i log......c sono 2 alternative, spiegate in guida....

Strumenti
Mostra una versione stampabile Invia questa pagina per email