[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[Chill-Out]

Quote:

Originariamente inviato da Mastermind06

Allora ecco i log dei tre tools successivi:
Prevx CSI (report online visto che non fa il log, cmq nn ha trovato nulla):
http://csia0.prevx.com/individualcsi...SIPLUS&CMD=LSR

ViriIT e Hijackthis:

Esegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle voci sotto indicate

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file)
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file)

clicca su Fix checked, al termine nuovo log di HijackThis e dimmi se riscontri ancora problemi

[Mastermind06]

Ecco il nuovo log, problemi non ne ho da quando sono riuscito a far andare Combo.

[Mastermind06]

up

[Chill-Out]

Quote:

Originariamente inviato da Mastermind06

up

Log pulito, dai una letta qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

[Mastermind06]

Disinstallati VirIT e ComboFix. Mi ritrovo con una cartella Vexplite ed una Qoobox (nella quale c'è il file della quarantena di Combo), cosa faccio?

[lancetta]

Quote:

Originariamente inviato da Mastermind06

Disinstallati VirIT e ComboFix. Mi ritrovo con una cartella Vexplite ed una Qoobox (nella quale c'è il file della quarantena di Combo), cosa faccio?

Sono le cartelle di quarantena..cancella tranquillamente

[Mastermind06]

Ok grazie mille cancello tutto e ringrazio per l'aiuto che mi avete fornito.
Ultima domanda, per gli spyware ho Spybot, lo sostituisco (con cosa) o va bene?

[wjmat]

Spybot puoi tenerlo per il blocco del file Host se non hai altri programmi che te lo tengono sotto controllo come ad esempio l'ottimo Online Armor, e per poco altro...
Noi consigliamo A-Squared come già indicato nel Trattamento post disinfezione

[Mastermind06]

Avendo Vista ho messo su Comodo e l'ho appena configurato.

[GinkoStar]

Ciao,

da qualche settimana sono infetto dal torian Vundo.Gen (questa la definizione che mi da AntiVir). Inizialmente mi appariva la finestra di AntiVir segnalandomi la presenza del virus solo un paio di volte al giorno, la cosa mi preoccupava, ma purtroppo non avevo il tempo materiale per dedicarmi alla rimozione dêl virus (un semplice scan dell'antivirus non è riuscito a rimuoverlo). Ora sono tre giorni che i messaggi dell'antivirus segnalano initerrottamente la presenza del trojan che ha infettato una .DLL nella System32. Inidpendentemente dalla mia scelta sul destino del file infetto (nega accesso, cancella, quarantine...) i messagi conintuato imperterriti rendendo l'uso del pc praticamente impossibile. L'unica possibilità per eseguire qualsiasi operazione è quella di disattivare l'antivirus.
Ho trovato la vostra guida per la preparazinone alla rimozione del malaware http://www.hwupgrade.it/forum/showthread.php?t=1603273 ma purtroppo io mi fermo già al punto 2: non riesco ad avviare il pc in safe mode (in italiano dovrebbe essere modalità provvisoria se non erro). Dopo aver appunto sccelto quell'opzione (F8), il computer cerca di avviarsi per una decina di secondi, dopo di che si riavvia automaticamente in modalità normale.

Se vi puo aiutare ad aiutarmi vi allego il log di HiJackThis.

Grazie mille per il vostro tempo

[Chill-Out]

Ti consiglio di scaricare prima tutti i tool indicati in Guida dopodichè per la modalità provvisoria fai così: Start - Esegui - digita MSCONFIG - OK - seleziona il TAB BOOT.INI e metti il segno di spunta su /SAFEBOOT - OK

[GinkoStar]

Innanzizutto grazie mille per avermi rispoto

Ho fatto come dici (dopo aver vistato la checkbox, ho lasciato il radio su "minimal") ma purtroppo non parte comunque in safe mode e non parte più nemmeno in modalità Normale!!!
Dopo la pagina di caricamento di WinXP (quella con il logo per intenderci) si riavvia automaticamente!!

EDIT:

anche "ultima configurazione funzionante" non funziona più!

[Chill-Out]

Quote:

Originariamente inviato da GinkoStar

Innanzizutto grazie mille per avermi rispoto

Ho fatto come dici (dopo aver vistato la checkbox, ho lasciato il radio su "minimal") ma purtroppo non parte comunque in safe mode e non parte più nemmeno in modalità Normale!!!
Dopo la pagina di caricamento di WinXP (quella con il logo per intenderci) si riavvia automaticamente!!

EDIT:

anche "ultima configurazione funzionante" non funziona più!

Ho capito poco, ma se "l'ultima configurazione funzionante" vuol dire che accedi al sistema

[GinkoStar]

Intendo dire che ora non funziona più assolutamente niente. Dopo avere fatto il boot mi appare la schermata nera chiedendomi in che modalità windows deve partire, cioè:

Safe Mode (mod provvisoria)
Safe Mode + networking
Safe Mode + command prompt

Ultima Configurazione Funzionante Conosciuta

Start Windows Normally

Beh, ho provato con tutte ma dopo poco il pc si riavvia automaticamente e riappare la stessa schermata. Risultato: non posso più loggarmi in windows

[Chill-Out]

Quote:

Originariamente inviato da GinkoStar

Intendo dire che ora non funziona più assolutamente niente. Dopo avere fatto il boot mi appare la schermata nera chiedendomi in che modalità windows deve partire, cioè:

Safe Mode (mod provvisoria)
Safe Mode + networking
Safe Mode + command prompt

Ultima Configurazione Funzionante Conosciuta

Start Windows Normally

Beh, ho provato con tutte ma dopo poco il pc si riavvia automaticamente e riappare la stessa schermata. Risultato: non posso più loggarmi in windows

Stranissimo, immagino tu stia scrivendo da un altro PC

[GinkoStar]

Quote:

Originariamente inviato da Chill-Out

Stranissimo, immagino tu stia scrivendo da un altro PC

...già...

Qualche idea?

Suppongo che ora l'unica possibilità di interagire con il pc è fare il boot dal cd di windows, no?

Che tu sappia, se faccio il system recovery automatico cosa perdo? I programmi installati funzionano ancora? Le mie impostazioni di windows?

Oppure è meglio usare la recovery console?

[Chill-Out]

Ci sono 2 possibilità:

1 - Seguire questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1689812 per creare ed utilizzare Avira AntiVir Rescue System dopo aver creato il CD bootable linux-based puoi accedere al sistema con la funzione 1 o procedere alla disinfezione con la funzione 2

2 - La procedura corretta di riparazione:

Avviare il pc con il CD Windows XP (accertandovi che il BIOS settato per il boot da CD ROM). Nella prima schermata non premete R per accedere alla console di ripristino ma premete Invio per avviare l'installazione. Poi F8 per accettare il contratto di licenza d'uso. La procedura di setup provvederà a ricercare la precedente vostra installazione di Windows XP. Premete R per avviare la procedura di riparazione nell'installazione di Windows XP già presente sul sistema.
I dati memorizzati sul disco fisso rimarranno intatti: verranno invece sovrascritti tutti i file di sistema potenzialmente danneggiati. Sarà necessario reinstallare tutte le patch e aggiornamenti di sistema.

io partire dalla 1 con l'opzone 1 per ripristinare il BOOT.INI

[ZooleaN]

posso suggerire un'eventuale soluzione?

in fin dei conti è stata aggiunta la line /SAFEBOOT=OK al BOOT.INI di windows giusto?
è questa l'unica modifica fatta? e dopo questa il sistema non parte più?
se è così si potrebbe creare un dischetto che legge i dischi NTFS con NTFS4DOS e rieditare a mano il boot.ini, riportandolo all'originale...

[Chill-Out]

Quote:

Originariamente inviato da ZooleaN

posso suggerire un'eventuale soluzione?

in fin dei conti è stata aggiunta la line /SAFEBOOT=OK al BOOT.INI di windows giusto?
è questa l'unica modifica fatta? e dopo questa il sistema non parte più?
se è così si potrebbe creare un dischetto che legge i dischi NTFS con NTFS4DOS e rieditare a mano il boot.ini, riportandolo all'originale...

si volendo si, ma penso che con la soluzione 1 opzione 1 si dovrebbe risolvere, a meno chè il problema non ne nasconda un'altro

[ZooleaN]

Quote:

Originariamente inviato da Chill-Out

si volendo si, ma penso che con la soluzione 1 opzione 1 si dovrebbe risolvere, a meno chè il problema non ne nasconda un'altro

non avevo manco notato il tuo post.. svista