[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[wjmat]

Quote:

Originariamente inviato da Grizzly87

Ciao Wjmat scusami per il disturbo. Ieri non sono riuscito a cancellare la cartella relativa C:\CMDCONS perchè viene utilizzata dal processo explorer.exe e mi diceva che non potevo cancellarla perchè era in utilizzo dal sistema. Volevo sapere se c'è un altro modo per rimuoverla. Grazie Mille per la vostra disponibilità

stando a qui non dovrebbero essereci problemi...
http://support.microsoft.com/kb/555032/it


prova con unlocker
lo installi deselezionando l'assistente ed eventuali toolbar o cose inutili
in caso di file o cartella bloccata -> tasto destro -> unlocker -> e scegli l'azione (cancella/sposta/rinomina)

[Henry99]

Quote:

Originariamente inviato da wjmat

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log

Fatto.Ecco il log HiJ aggiornato
http://www.fileqube.com/file/qAksTOjH165518

Faccio notare che stamane all'accensione del pc, virit ( che tra poco disinstallo )mi diceva che alcuni programmi probabilmente malevoli ( ghhnxd.dll e dbvtor.dll )si erano installati automaticamente in esecuzione automatica e in piu mi compariva la richiesta di installazione connessione o qualcosa di simile.
Dopo aver fixato quello che tu mi hai detto,al riavvio, non è più successo nulla.
Come posso ora essere sicuro di esser pulito?

O.T. ( se mi è concesso)
Oltre ad istruirmi su quali antivirus ed antispyware che in futuro dovrò lasciare ( di default il tizio che mi ha fatto l'ultima riparazione mi ha messo nod e search and destroy ) mi consigliereste anche una coppia di antivirus e antispyware per il netbook (samsung) che ho appena acquistato?

Grazie per l' infinita gentilezza.
Ciao

[wjmat]

Quote:

Originariamente inviato da Henry99

Fatto.Ecco il log HiJ aggiornato
http://www.fileqube.com/file/qAksTOjH165518

Faccio notare che stamane all'accensione del pc, virit ( che tra poco disinstallo )mi diceva che alcuni programmi probabilmente malevoli ( ghhnxd.dll e dbvtor.dll )si erano installati automaticamente in esecuzione automatica e in piu mi compariva la richiesta di installazione connessione o qualcosa di simile.
Dopo aver fixato quello che tu mi hai detto,al riavvio, non è più successo nulla.
Come posso ora essere sicuro di esser pulito?

O.T. ( se mi è concesso)
Oltre ad istruirmi su quali antivirus ed antispyware che in futuro dovrò lasciare ( di default il tizio che mi ha fatto l'ultima riparazione mi ha messo nod e search and destroy ) mi consigliereste anche una coppia di antivirus e antispyware per il netbook (samsung) che ho appena acquistato?

Grazie per l' infinita gentilezza.
Ciao

mi verifichi il link che non riesco a scaricarlo, grazie

[Henry99]

Quote:

Originariamente inviato da wjmat

mi verifichi il link che non riesco a scaricarlo, grazie

Si in effetti non funzionava..sorry..
Log Hij
http://wikisend.com/download/512450/...this_13_09.txt

é qualche giorno che mi chiede di installare sp3 ..procedo?

[wjmat]

Quote:

Originariamente inviato da Henry99

Si in effetti non funzionava..sorry..
Log Hij
http://wikisend.com/download/512450/...this_13_09.txt

é qualche giorno che mi chiede di installare sp3 ..procedo?

queste le puoi fixare (superanti se è la versione free)

Codice:

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

e installa pure il sp3

[Henry99]

Quote:

Originariamente inviato da wjmat

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

e installa pure il sp3

Che dire,Wjmat...ti ringrazio infinitamente..
Tutto pare tranquillo..in più ho provato a fare una scansione ( con malwarebytes) e,dicendolo piano,file infetti 0.

Oltretutto ho dedicato la mattinata a leggere i tuoi post che hai come firma e devo ringraziarti ulteriormente...un lavoro davvero ben fatto e utilizzabile da tutti!
Già poco fa mi sono "gasato" spiegando ad un amico cosa fare

O.T. :Ti sarei ancor più grato se mi indichi la sezione adatta per un altro problema (leggero) che mi affligge da qualche mese ( immagino ovviamente non sia colpa di un virus )
Uso sempre mozilla...e dopo qualche ora si rallenta l'apertura delle pagine internet...
Non uso programmi in particolare...ma ho notato che la cosa succede se apro magari un file in pdf ( adobe)..poi se faccio zapping tra le varie pagine o schede vengo rallentato..
Se apro una pagina che usa flash (un esempio ricorrente :https://www.bwin.com/it/sportsbook.aspx -la sezione "live" di questo sito ) ecco in questo caso comincio ad avere problemi...mi si rallenta sempre più finchè non si blocca definitivamente mozilla e devo chiudere tutte le finestre con il task manager.
Qual'è la sezione adatta per questo tipo di problemi?
Ciao .

[wjmat]

Quote:

Originariamente inviato da Henry99

Che dire,Wjmat...ti ringrazio infinitamente..
Tutto pare tranquillo..in più ho provato a fare una scansione ( con malwarebytes) e,dicendolo piano,file infetti 0.

Oltretutto ho dedicato la mattinata a leggere i tuoi post che hai come firma e devo ringraziarti ulteriormente...un lavoro davvero ben fatto e utilizzabile da tutti!
Già poco fa mi sono "gasato" spiegando ad un amico cosa fare

O.T. :Ti sarei ancor più grato se mi indichi la sezione adatta per un altro problema (leggero) che mi affligge da qualche mese ( immagino ovviamente non sia colpa di un virus )
Uso sempre mozilla...e dopo qualche ora si rallenta l'apertura delle pagine internet...
Non uso programmi in particolare...ma ho notato che la cosa succede se apro magari un file in pdf ( adobe)..poi se faccio zapping tra le varie pagine o schede vengo rallentato..
Se apro una pagina che usa flash (un esempio ricorrente :https://www.bwin.com/it/sportsbook.aspx -la sezione "live" di questo sito ) ecco in questo caso comincio ad avere problemi...mi si rallenta sempre più finchè non si blocca definitivamente mozilla e devo chiudere tutte le finestre con il task manager.
Qual'è la sezione adatta per questo tipo di problemi?
Ciao .

di nulla

installa i componenti aggiuntivi consigliati per firefox
prova foxitreader anzichè adobe

poi in caso chiedi qui
http://www.hwupgrade.it/forum/forumd...aysprune=&f=33

[Grizzly87]

Quote:

Originariamente inviato da wjmat

stando a qui non dovrebbero essereci problemi...
http://support.microsoft.com/kb/555032/it


prova con unlocker
lo installi deselezionando l'assistente ed eventuali toolbar o cose inutili
in caso di file o cartella bloccata -> tasto destro -> unlocker -> e scegli l'azione (cancella/sposta/rinomina)

Ciao wjmat, purtroppo ho provato anche con unlocker e sbloccando explorer.exe non sono riuscito a rimuovere la cartella "/cmdcons". Sebbene abbia seguito la guida microsoft e cancellato anche il file "cmldr". Sembra che quella cartella sia in Read Only, anche andando sulle proprietà della cartella e defleggando la sola lettura quest'ultima si ripresenta ancora in fleggata in read only ed è impossibile eliminarla come i vari file di sottocartella. A me non crea nessun problema averla era solo per tenere il C: un pò più pulito. Grazie per la disponibilità e mi scuso per il disturbo.

[wjmat]

Quote:

Originariamente inviato da Grizzly87

Ciao wjmat, purtroppo ho provato anche con unlocker e sbloccando explorer.exe non sono riuscito a rimuovere la cartella "/cmdcons". Sebbene abbia seguito la guida microsoft e cancellato anche il file "cmldr". Sembra che quella cartella sia in Read Only, anche andando sulle proprietà della cartella e defleggando la sola lettura quest'ultima si ripresenta ancora in fleggata in read only ed è impossibile eliminarla come i vari file di sottocartella. A me non crea nessun problema averla era solo per tenere il C: un pò più pulito. Grazie per la disponibilità e mi scuso per il disturbo.

già...
sono riuscito con unlocker da modalità provvisoria

[Grizzly87]

Quote:

Originariamente inviato da wjmat

già...
sono riuscito con unlocker da modalità provvisoria

Quindi basta eliminarla dalla modalità provvisoria?? Strano chissà come mai non la fà eliminare dalla modalità normale. Allora provo anche io dalla modalità provvisoria con unlocker?? Speriamo che almeno li la cartella non sia in Read Only. Un ultima cosa poi ti lascio, con HijackTHis quando mi avete fatto fixare una voce mi ha creato un Backup con la cartellina affianco a quella del Programma HijackThis. Cosa faccio elimino?? Grazie Ancora

[wjmat]

Quote:

Originariamente inviato da Grizzly87

Quindi basta eliminarla dalla modalità provvisoria?? Strano chissà come mai non la fà eliminare dalla modalità normale. Allora provo anche io dalla modalità provvisoria con unlocker?? Speriamo che almeno li la cartella non sia in Read Only. Un ultima cosa poi ti lascio, con HijackTHis quando mi avete fatto fixare una voce mi ha creato un Backup con la cartellina affianco a quella del Programma HijackThis. Cosa faccio elimino?? Grazie Ancora

prova unlocker da provvisoria

se sei ok puoi eliminare pure la cartella di hjt oppure tienila da parte

[naz84]

Mi sa che il vundo è l'ultimo dei miei problemi

Ho rifatto tutto l'iter. Ecco i log:

http://www.zshare.net/download/541326678c53acb6/

http://www.zshare.net/download/54132694be829e62/

http://www.zshare.net/download/54132714be0b484c/

http://www.zshare.net/download/541327364a1e74cb/

Non ce la faccio più... credo che formatterò al più presto!

Grazie cmq per tutto l'aiuto che mi avete dato

[wjmat]

Quote:

Originariamente inviato da naz84

Mi sa che il vundo è l'ultimo dei miei problemi

Ho rifatto tutto l'iter. Ecco i log:

http://www.zshare.net/download/541326678c53acb6/

http://www.zshare.net/download/54132694be829e62/

http://www.zshare.net/download/54132714be0b484c/

http://www.zshare.net/download/541327364a1e74cb/

Non ce la faccio più... credo che formatterò al più presto!

Grazie cmq per tutto l'aiuto che mi avete dato

zshare oltre ad essere zeppo di pubblicità non è previsto dalle modalità, ricaricali cortesemente su uno dei server indicati
grazie

[cocoz1]

volevo segnalare che su vista64 nn riesco a fare Eset Online Scanner (sì Vista-64)
va sul sito ma nn si avvia perchè dice nn ha i diritti di amministratore e ho problemi anche con atf.
Ho provato anche a rimuoverlo con spybot lo vede durante la scansione virtumonde.dll e virtumonde.sdn ma alla fine dice nessuna minaccia trovata come devo fare ad eiminarlo?
ora dopo spybot si aprono le pagine internet,ma nn i siti,rimane la pagina bianca,cioè si apre bene la pagina che voglio aprire io,ma ogni tanto si avvia una pagina così da sola e rimane bianca.è virtumonde?

[wjmat]

Quote:

Originariamente inviato da cocoz1

volevo segnalare che su vista64 nn riesco a fare Eset Online Scanner (sì Vista-64)
va sul sito ma nn si avvia perchè dice nn ha i diritti di amministratore e ho problemi anche con atf.
Ho provato anche a rimuoverlo con spybot lo vede durante la scansione virtumonde.dll e virtumonde.sdn ma alla fine dice nessuna minaccia trovata come devo fare ad eiminarlo?
ora dopo spybot si aprono le pagine internet,ma nn i siti,rimane la pagina bianca,cioè si apre bene la pagina che voglio aprire io,ma ogni tanto si avvia una pagina così da sola e rimane bianca.è virtumonde?

tasto dx su ie ed esegui come administratore

[cocoz1]

Quote:

Originariamente inviato da wjmat

tasto dx su ie ed esegui come administratore

ok ora va ma prima di far partire la scansione devo mettere entrambe le spunte?

[wjmat]

Quote:

Originariamente inviato da cocoz1

ok ora va ma prima di far partire la scansione devo mettere entrambe le spunte?

certo

[naz84]

Quote:

Originariamente inviato da wjmat

zshare oltre ad essere zeppo di pubblicità non è previsto dalle modalità, ricaricali cortesemente su uno dei server indicati
grazie

Scusami..

http://wikisend.com/download/891286/...113-133835.txt

http://wikisend.com/download/497280/f-sec.txt

http://wikisend.com/download/916308/...(13-37-00).txt

http://wikisend.com/download/561640/...90114-1928.zip

http://wikisend.com/download/597256/hijackthis.log

spero di non aver toppato di nuovo..

[xcdegasp]

Quote:

Originariamente inviato da naz84

Scusami..

http://wikisend.com/download/891286/...113-133835.txt

http://wikisend.com/download/497280/f-sec.txt

http://wikisend.com/download/916308/...(13-37-00).txt

http://wikisend.com/download/561640/...90114-1928.zip

http://wikisend.com/download/597256/hijackthis.log

spero di non aver toppato di nuovo..

con a-squared non si vede se hai intrapreso un azione "quarantena" perchè hai salvato il report prima di tale azione, sempre se questa è mai stata compiuta..

[naz84]

Quote:

Originariamente inviato da xcdegasp

con a-squared non si vede se hai intrapreso un azione "quarantena" perchè hai salvato il report prima di tale azione, sempre se questa è mai stata compiuta..

Vabbè.. sbaglio a postare gli screen... ma non sono così ciucco!!

Le voci che ha trovato le ho eliminate tutte!