[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[foxtre]

Io sono ancora alle prese con questo maledetto mallware.
Ho fatto per filo e per segno la procedura di rimozione, ma tutt'ora quando uso firefox non riesco ad entrare il google, yahoo e molti altri siti.
Mentre IE7 non sembra più aprirmi i pop-up fastidiosi.

Posto il log di hijackthis, fatto alla fine di tutta la procedura. Qulacuno può aiutarmi?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43, on 2008-06-23
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\McAfee.com\Agent\mcagent.exe
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmi\DAEMON Tools Lite\daemon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FILECO~1\mcafee\mcproxy\mcproxy.exe
C:\Programmi\McAfee\VirusScan\McShield.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: {23042ff4-74eb-fe4a-e634-258209d0cc4d} - {d4cc0d90-2852-436e-a4ef-be474ff24032} - C:\WINDOWS\system32\ucmdbcbg.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [mcagent_exe] C:\Programmi\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [winsock32] C:\WINDOWS\system32:winsock32.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [68e27f08] rundll32.exe "C:\WINDOWS\system32\dkdneovs.dll",b
O4 - HKLM\..\Run: [BM6bd14c94] Rundll32.exe "C:\WINDOWS\system32\demxvshs.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupda...31/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1210757162078
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1210839589765
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupda...5034/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B266640-667A-4798-875E-9B8B278FEC68}: NameServer = 212.216.112.222,212.216.172.162
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1DA3560-B152-4A6E-BB0C-01D175F888A1}: NameServer = 212.216.112.112,212.216.176.62
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FILECO~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Programmi\McAfee\VirusScan\McShield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 11083 bytes

[yamagata81]

Quote:

Originariamente inviato da wjmat

come sei messo ora?

esattamente come settimena scorsa solo che adesso internet va per 1 pagina e poi smette nel senso che quando apro IE(7) vedo l'home page, Goggle, se faccio una ricerca va ma se mi azzardo a cliccare su un link qualsiasi mi da sempre e solo la finestra di pagina non trovata anche se poi faccio indietro.

Yama

[wjmat]

Quote:

Originariamente inviato da foxtre

Io sono ancora alle prese con questo maledetto mallware.
Ho fatto per filo e per segno la procedura di rimozione, ma tutt'ora quando uso firefox non riesco ad entrare il google, yahoo e molti altri siti.
Mentre IE7 non sembra più aprirmi i pop-up fastidiosi.

Posto il log di hijackthis, fatto alla fine di tutta la procedura. Qulacuno può aiutarmi?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43, on 2008-06-23
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal



--
End of file - 11083 bytes

vogliamo vedere tutti i log
e caricali secondo le modalità che trovi nelle regole di sezione

Intanto lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log

Codice:

O2 - BHO: {23042ff4-74eb-fe4a-e634-258209d0cc4d} - {d4cc0d90-2852-436e-a4ef-be474ff24032} - C:\WINDOWS\system32\ucmdbcbg.dll (file missing)
O4 - HKLM\..\Run: [winsock32] C:\WINDOWS\system32:winsock32.exe
O4 - HKLM\..\Run: [68e27f08] rundll32.exe "C:\WINDOWS\system32\dkdneovs.dll",b
O4 - HKLM\..\Run: [BM6bd14c94] Rundll32.exe "C:\WINDOWS\system32\demxvshs.dll",s
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user'

[foxtre]

Quote:

Originariamente inviato da wjmat

vogliamo vedere tutti i log
e caricali secondo le modalità che trovi nelle regole di sezione

Intanto lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log

Codice:

O2 - BHO: {23042ff4-74eb-fe4a-e634-258209d0cc4d} - {d4cc0d90-2852-436e-a4ef-be474ff24032} - C:\WINDOWS\system32\ucmdbcbg.dll (file missing)
O4 - HKLM\..\Run: [winsock32] C:\WINDOWS\system32:winsock32.exe
O4 - HKLM\..\Run: [68e27f08] rundll32.exe "C:\WINDOWS\system32\dkdneovs.dll",b
O4 - HKLM\..\Run: [BM6bd14c94] Rundll32.exe "C:\WINDOWS\system32\demxvshs.dll",s
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user'

Ho fatto tutto come da tue indicazioni ed eccoti il log dopo il riavvio:

hijackthis2.log

Poi ti allego i log precedenti all'ultima operazione:

FixVundo.log

combolog.txt

Spero possa bastare. Thanks in advance..

[wjmat]

Quote:

Originariamente inviato da foxtre

Ho fatto tutto come da tue indicazioni ed eccoti il log dopo il riavvio:

hijackthis2.log

Poi ti allego i log precedenti all'ultima operazione:

FixVundo.log

combolog.txt

Spero possa bastare. Thanks in advance..

manca vundofix e virtumondo
intando combo ha trovato un pò di robaccia

[wjmat]

Apri il Blocco Note e incolla tutto il codice qui sotto

Codice:

File::
C:\WINDOWS\system32\svoendkd.ini
C:\WINDOWS\system32\ucmdbcbg.dll
C:\WINDOWS\system32\dkdneovs.dll
C:\WINDOWS\system32\demxvshs.dll
C:\WINDOWS\system32\pajtrnfs.dll
C:\WINDOWS\system32\goablrmf.dll
C:\WINDOWS\system32\wcycqjwj.dll

Salva il file sul Desktop come CFScript.txt → Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione → al termine il PC si dovrebbe ravviare ( eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt


poi rimangono ancora questi che voglio vedere con qualcuno...

Codice:

C:\WINDOWS\system32\geBSLbxw.dll.vir
C:\WINDOWS\system32\efcATNEX.dll.vir
C:\WINDOWS\system32\efcATNEX.dll

[foxtre]

Quote:

Originariamente inviato da wjmat

manca vundofix e virtumondo
intando combo ha trovato un pò di robaccia

Allora, vundoFix non mi trova nulla in scansione, mentre ti posto il log di Virtumondo:

VBG.TXT

Eccoti il log appena sfornato da Combofix dopo la procedura che mi hai detto di fare, a me pare sia quasi tutto funzionante. Ora google e altri siti si aprono con mozilla! Siamo a buon punto?

ComboFix.txt

[lancetta]

Quote:

Originariamente inviato da wjmat;23025121

poi rimangono ancora questi che voglio vedere con qualcuno...
[CODE

C:\WINDOWS\system32\geBSLbxw.dll.vir
C:\WINDOWS\system32\efcATNEX.dll.vir
C:\WINDOWS\system32\efcATNEX.dll
[/code]

Sono file rinominati dall'antivirus per renderli inoffensivi, si possono cestinare

[wjmat]

Quote:

Originariamente inviato da lancetta

Sono file rinominati dall'antivirus per renderli inoffensivi, si possono cestinare

ho visto ora i log restanti... è virtumondo che li ha rinominati

[foxtre]

Quote:

Originariamente inviato da wjmat

ho visto ora i log restanti... è virtumondo che li ha rinominati

Quindi dite che sono apposto? A me sembra di sì...
Grazie mille wjmat! A buon rendere..

[wjmat]

Quote:

Originariamente inviato da foxtre

Quindi dite che sono apposto? A me sembra di sì...
Grazie mille wjmat! A buon rendere..

C'è ancora qualcosa...
Guarda qui al punto 4 e ripulisciti dei files inutili con ccleaner e atfcleaner

cancella manualmente i file sopracitati

Codice:

C:\WINDOWS\system32\geBSLbxw.dll.vir
C:\WINDOWS\system32\efcATNEX.dll.vir

poi fammi una scansione completa con superantispyware

[Chill-Out]

Oltre a quanto detto da wjmat fai girare ADS Scanner leggi il Punto 2 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737
Porta a termine la Guida allega i log insieme ad un log nuovo di HijackThis

[foxtre]

Ho fatto la scansione completa con Superantispyware ma non mi ha trovato nulla. Ma genera un log alla fine della scansione? Io non l'ho trovato da nessuna parte.
Ho eliminato i file manualmente come da te suggerito.

Per quanto riguarda quanto suggerito da Chill-Out, devo eseguire tutti gli scan e passaggi della guida? Cioè dal punto 2 al punto 11? O basta il punto 2?

[Chill-Out]

Quote:

Originariamente inviato da foxtre

Ho fatto la scansione completa con Superantispyware ma non mi ha trovato nulla. Ma genera un log alla fine della scansione? Io non l'ho trovato da nessuna parte.
Ho eliminato i file manualmente come da te suggerito.

Per quanto riguarda quanto suggerito da Chill-Out, devo eseguire tutti gli scan e passaggi della guida? Cioè dal punto 2 al punto 11? O basta il punto 2?

Pannelo di controllo di Superantispyware - Preferences - Statistics/Logs

Solo il Punto 2

[wjmat]

i log di sas o li recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

basta il punto 2

[foxtre]

Quote:

Originariamente inviato da Chill-Out

Pannelo di controllo di Superantispyware - Preferences - Statistics/Logs

Solo il Punto 2

Ecco il log di Superantispyware. I tre file sospetti li ho rimossi. Ma sono altra cosa rispetto al problema di cui stiamo discutendo.

Altra cosa, allego immagine del messaggio che mi esce ogni volta che avvio Windows da quando ho fatto le ultime pulizie con i vostri suggerimenti.

SUPERAntiSpyware Scan Log - 06-23-2008 - 23-05-27.log

http://www.fileqube.com/shared/EfAnAdDdS46287

[Chill-Out]

Quote:

Originariamente inviato da foxtre

Ecco il log di Superantispyware. I tre file sospetti li ho rimossi. Ma sono altra cosa rispetto al problema di cui stiamo discutendo.

Altra cosa, allego immagine del messaggio che mi esce ogni volta che avvio Windows da quando ho fatto le ultime pulizie con i vostri suggerimenti.

SUPERAntiSpyware Scan Log - 06-23-2008 - 23-05-27.log

http://www.fileqube.com/shared/EfAnAdDdS46287

E normale non preoccuparti è un residuo del Vundo porta a termine la Guida e segui il suggerimento dato qui: http://www.hwupgrade.it/forum/showpo...&postcount=798

[foxtre]

Ho portato a termine la scansione con ADS Scanner ed ho rimosso i file che mi ha trovato. Dopodichè ho rifatto il log con hijackthis ed ora ve lo posto.

hijackthis3.log

Ho dimenticato qualcosa?

[wjmat]

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log

Codice:

O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BM6bd14c94] Rundll32.exe "C:\WINDOWS\system32\demxvshs.dll",s

Dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

[Chill-Out]

Quote:

Originariamente inviato da foxtre

Ho portato a termine la scansione con ADS Scanner ed ho rimosso i file che mi ha trovato. Dopodichè ho rifatto il log con hijackthis ed ora ve lo posto.

hijackthis3.log

Ho dimenticato qualcosa?

Esegui HijackThis e fixa questa voce:

O4 - HKLM\..\Run: [BM6bd14c94] Rundll32.exe "C:\WINDOWS\system32\demxvshs.dll",s

Apri il Blocco Note copia e incolla queste righe:

Quote:

File::
C:\WINDOWS\system32\demxvshs.dll
C:\WINDOWS\system32\dkdneovs.dll
C:\WINDOWS\system32\svoendkd.ini

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d4cc0d90-2852-436e-a4ef-be474ff24032}]

Filelook::
C:\WINDOWS\system32\Drivers\uGuru.sys

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Al termine log di Combo + nuovo log HijackThis