[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[Chill-Out]

Ovviamente il ripristino configurazione sistema deve essere disabilitato, poi fai puilizia con Ccleaner seguendo queste istruzioni http://www.hwupgrade.it/forum/showthread.php?t=1589984 (Punto 2) dopodichè segui la Guida alla disinfezione allegando i log per il controlllo

Per la scansione online utilizza F-Secure http://support.f-secure.it/ita/home/ols.shtml

[Nuz]

Per gli ##exgmrgml##.exe c'è anche questo thread:

[risolto][win XP] exgmrgml.exe

[Chill-Out]

Quote:

Originariamente inviato da Nuz

Per gli ##exgmrgml##.exe c'è anche questo thread:

[risolto][win XP] exgmrgml.exe

Grazie l'avevo visto

[alice223]

http://www.fileup.itadib.com/downloa...qtkgDOBKaMckCe

http://www.fileup.itadib.com/downloa...z1yqDNuISXxRoa

http://www.fileup.itadib.com/downloa...MFTOWbk7S8jeVS

http://www.fileup.itadib.com/downloa...FAYzZghjLGGxIy

http://www.fileup.itadib.com/downloa...rqdPxjKtaNLXrY

[Chill-Out]

Hai fatto pulizia con Ccleaner? Magari se oltre ad inserire i log scrivessi due righe su i vari ed aventuali problemi che ancora riscontri, sarebbe utile, grazie.

[alice223]

il problema sono le connessioni exgmrgml.exe che si rifanno continuamente nella cartella temp anche se le cancello e quando accendo il pc cercano di connettersi a internet.

[Nuz]

Prova così, scarica Avenger e inserisci questo script:

Quote:

Files to delete:
C:\WINDOWS\system\smvss.exe

Poi inserisci il log avenger.txt e un log di HJT.

[Chill-Out]

Nuz ha Win Svista comunque smvss.exe è già stato falciato , ti ho chiesto se hai fatto pulizia con Ccleaner tra l'altro C:/Utenti/User/AppData/Local/Temp....sono scomparse

Edit: la scansione online con F-Secure non è completa bisogna fare la scansione di tutto il sistema

[NECRONOMICON]

Salve, credo di aver preso vundo ankio. tempo fa è stato rimosso (o cosi credevo) con vundofix ma da alcuni giorni parte una dll all'avvio con nomi strani tipo adpcklk.dll. volevo sapere se l'avvio di dll strani all'avvio possa imputarsi a vundo.
stasera (prima non posso) faccio scansione e pulizia con i vari prog della guida poi vi faccio sapere

[murack83pa]

Quote:

Originariamente inviato da NECRONOMICON

Salve, credo di aver preso vundo ankio. tempo fa è stato rimosso (o cosi credevo) con vundofix ma da alcuni giorni parte una dll all'avvio con nomi strani tipo adpcklk.dll. volevo sapere se l'avvio di dll strani all'avvio possa imputarsi a vundo.
stasera (prima non posso) faccio scansione e pulizia con i vari prog della guida poi vi faccio sapere

segui la guida in prima pagina.... con tutti i programmi indicati riusciremo ad estirpare completamente questo virus

posta qui i log, cosi possiamo aiutarti nella sua rimozione

stai attento a come posti i log, scegliendo tra:
1)la funzione allegati, rinominando i log in formato txt
2)caricare il log su FileUp, copiando qui i link x il download
è preferibile l'ultima opzione

ciao

[NECRONOMICON]

fatta tutta la parte in modalità provvisoria e non ha trovato niente nessun prog. ora passo al resto anke se già l'avevo fatta quest'altra parte.

[NECRONOMICON]

fatta anke la 2 parte ma non trova niente nessuno.
unika cosa quando apro ie7 (x down agg xp e basta) appare un mex di allerta

questo qui



e poi apre questa pagina



ke in teoria viene da hxxp://www.avsystemcare.com/
ora come è possibile ke riesca a fare questo sto sito maledetto???

rimane comunque il problema di un *.dll con nome sempre diverso ke parte all'avvio e sito in system32. idee in merito all'autore?

[NECRONOMICON]

quest è il log di hijacks

cmq ho appena ucciso mljjg.dll
e da una brevissima ricerka in rete sembra sia di una variante di vundo.
trovato grazie a security task manager girando a mano tra i procssi

edit

[Chill-Out]

Magari se ci alleghi i log oltre a quello di HJT, partecipiamo anche noi.
Edit: edita quel link infetto

[NECRONOMICON]

gli altri log dei vundo non ci sono +. c'era solo skritto no infected file has been found o simili, ma il senso era sempre questo.

[Chill-Out]

Quote:

Originariamente inviato da NECRONOMICON

gli altri log dei vundo non ci sono +. c'era solo skritto no infected file has been found o simili, ma il senso era sempre questo.

Servono i seguenti log:
ComboFix
VirIt
Prevx CSI
FindAWF
Nuovo log di HJT

ti avevo chiesto di rimuovere il link a quel sito farlocco

[xcdegasp]

@ NECRONOMICON:
ti ho editato il link editato
se un'utente ti muove una richiesta più che lecita, come in questo caso di editare il link, è buona cortesia avallare la richiesta

[NECRONOMICON]

Quote:

Originariamente inviato da xcdegasp

@ NECRONOMICON:
ti ho editato il link editato
se un'utente ti muove una richiesta più che lecita, come in questo caso di editare il link, è buona cortesia avallare la richiesta

kiedo scusa, non avevo capito il senso. pensavo fosse sbagliato il link o simili e ho uppato di nuovo il file e messo un nuovo link. pensavo non fosse il sito una fonte di malware xke sopra lo avevano linkato.

cmq x ora sembra non ci siano strani processi all'avvio o altro di strano tranne quel messaggio dopo poco ke apro ie7 e poi l'apertura della nuova finestra con quell'img.

vedendo solo il log di hijacks avete qualke consiglio?

[murack83pa]

si, questo:

Quote:

Originariamente inviato da Chill-Out

Servono i seguenti log:
ComboFix
VirIt
Prevx CSI
FindAWF
Nuovo log di HJT

[big_luca]

Salve a tutti!!
ualcuno può darmi una mano ho seguito i punti della guida e i risultati sono i seguenti.
Non sono riuscito a capire se ho eliminato il problema o no!!
Grazie in anticipo per l'aiuto
(questi sono i primi tre)