Infetto da Virtumonde....Impossibile rimuoverlo

[Chill-Out]

Devi essere loggato come Amministratore

Installa ESET ADS REVEALER:
● scompatta il file Zip, sul Desktop
● crea una nuova Cartella sul Desktop (chiamala Ads Revealer o come preferisci)
● sposta, all’interno della cartella creata, l’eseguibile del Tool di rimozione
● lancia il Tool che eseguirà una scansione per individuare, rimuove ed esportare gli eventuali Alternate Data Streams (ADS) presenti su file system NTFS (se la partizione principale non è NTFS ma FAT32, saltare questo passaggio)
Download http://www.nod32.it/getfile.php?tool=adsr

Log degli StartUp, lancia HijackThis -> clicca su Open The Misc Tool Section -> clicca su Generate StartUpList Log spuntando i due campi a dx List also... e List empty... allega il log nel prossimo post
Ciao

[e-noid]

ESET ADS REVEALER, installato e avviato: ha trovato anche lui un bel po di cosette, tutto cancellato cmq....

Il log dello Startup fatto cn HJT è il seguente: startuplist.txt - 0.03MB

Devo fixare ancora qualcosa???

[Chill-Out]

Quote:

Originariamente inviato da e-noid

ESET ADS REVEALER, installato e avviato: ha trovato anche lui un bel po di cosette, tutto cancellato cmq....

Il log dello Startup fatto cn HJT è il seguente: startuplist.txt - 0.03MB

Devo fixare ancora qualcosa???

Usa ancora Avenger da modalità provvisoria F8 ma stavolta 1 script per ogni file per un totale di 4 script, in poche parole devi usare Avenger 4 volte
Files to delete:
C:\WINDOWS\system32\1042j.exe

Files to delete:
c:\windows\system32\mssrv32.exe

Files to delete:
C:\WINDOWS\system32\L8E4A.tmp.exe

Files to delete:
C:\WINDOWS\system32\amstreamg.exe

allega log di Avenger

[e-noid]

Quote:

Usa ancora Avenger da modalità provvisoria F8

Ho un probl con Avenger: quando lo avvio in modalità provvisoria mi dice che nn puo creare lo *.zip file....

errorlog.txt

[Chill-Out]

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

[e-noid]

Quello l'avevo fatto la prima volta che ho usato Avenger dato che nn trovava i files perchè erano nascosti.

Il problema e che dice files missing, credo perchè i files sono stati cancellati...per quello, io sono andati a cercarli mica li trovo. Però secondo me ci sn le *.dll infatti andando nella cartella system32, non ho trovato il file amstreamg.exe, ma ho trovato la dll , possibile che debba cancellare le dll?

I processi sono ancora tutti lì, in esecuzione, con il file missing

Che faccio?

grazie Chill per la tua infinita pazienza....

[lancetta]

Quote:

Originariamente inviato da e-noid

Quello l'avevo fatto la prima volta che ho usato Avenger dato che nn trovava i files perchè erano nascosti.

Il problema e che dice files missing, credo perchè i files sono stati cancellati...per quello, io sono andati a cercarli mica li trovo. Però secondo me ci sn le *.dll infatti andando nella cartella system32, non ho trovato il file amstreamg.exe, ma ho trovato la dll , possibile che debba cancellare le dll?

I processi sono ancora tutti lì, in esecuzione, con il file missing

Che faccio?

grazie Chill per la tua infinita pazienza....

no! aspetta perchè dovrebbe essere di windows media player
è di 69 kb vedi nelle proprietà quando è stata creata (2004 se non erro) oppure falla analizzare QUI
I file che ti sono stati indicati prima fixali tutti da hijackthis poi nuovo log....
facci sapere..

[e-noid]

Quote:

no! aspetta perchè dovrebbe essere di windows media player

Avevi ragione....me sa che è quella del windows media player, visto che è del 2004 ed è di 69k....

Quelle voci con HJT le ho già provate a fixare, ma purtroppo nn le fixxa rimagono le voci con (file missing) accanto....hijackthis_.txt

che posso fare?

[Chill-Out]

Si rigenerano in continuazione, c'è un processo attivo in memoria o una chiave di registro maledetta, scarica Regseeker utilizza la funzione di pulizia del registro e cerca voci inutili
N.B.: Attenzione! Controlla che la casella in basso “Copia delle voci rimosse” sia selezionata: puoi così ripristinare dal backup del programma voci e chiavi di registro eliminate per sbaglio
http://www.hoverdesk.net/freeware.htm

[e-noid]

Fatto: allora, sembra che cn Regseeker, il più delle voci siano scomparse (finalmente... ). Ora c'è una sola voce che dice file missing, spero che non sia una voce di windows
Winlogon qualcosa.....
Cmq mentre effetuava l'auto-cleaning regseekeer all'unltimo mi ha chiesto del disco D: continua, riprova, annulla. Solo con annulla ha completato il processo.
Ora vi allego il log di HJT, appena fatto subito dopo l'operazione: hijackthis_.txt

E provo a riavviare sperando che vada tutto bene; tanto nel piu grave dei casi ripristino le chiavi

è tutto a posto secondo te chill?

[Chill-Out]

Quote:

Originariamente inviato da e-noid

Fatto: allora, sembra che cn Regseeker, il più delle voci siano scomparse (finalmente... ). Ora c'è una sola voce che dice file missing, spero che non sia una voce di windows
Winlogon qualcosa.....
Cmq mentre effetuava l'auto-cleaning regseekeer all'unltimo mi ha chiesto del disco D: continua, riprova, annulla. Solo con annulla ha completato il processo.
Ora vi allego il log di HJT, appena fatto subito dopo l'operazione: Allegato 54163

E provo a riavviare sperando che vada tutto bene; tanto nel piu grave dei casi ripristino le chiavi

è tutto a posto secondo te chill?

fixa questa:
O20 - Winlogon Notify: winbjv32 - winbjv32.dll (file missing)

riavvia e nuovo log di HijackThis

[e-noid]

Fixata!!!!

Credo che finalmente non ci siano più problemi...spero...
Dimmelo tu, allego ennesimo log di HJT:hijackthis_.txt

La mia ragazza ringrazia

E ti ringrazio anche io per la tua infinita pazienza

[lancetta]

Quote:

Originariamente inviato da e-noid

Fatto: allora, sembra che cn Regseeker, il più delle voci siano scomparse (finalmente... ). Ora c'è una sola voce che dice file missing, spero che non sia una voce di windows
Winlogon qualcosa.....
Cmq mentre effetuava l'auto-cleaning regseekeer all'unltimo mi ha chiesto del disco D: continua, riprova, annulla. Solo con annulla ha completato il processo.
Ora vi allego il log di HJT, appena fatto subito dopo l'operazione: Allegato 54163

E provo a riavviare sperando che vada tutto bene; tanto nel piu grave dei casi ripristino le chiavi

è tutto a posto secondo te chill?

Quote:

O20 - Winlogon Notify: winbjv32 - winbjv32.dll (file missing)

fixa questa e riprova a vedere se ti fà lo scan con vundofix.....hai ancora problemi?

[Chill-Out]

Quote:

Originariamente inviato da e-noid

Fixata!!!!

Credo che finalmente non ci siano più problemi...spero...
Dimmelo tu, allego ennesimo log di HJT:Allegato 54164

La mia ragazza ringrazia

E ti ringrazio anche io per la tua infinita pazienza

Sei finalmente pulito, ma devi necessariamente mettere in sicurezza il PC, se ti rivedo in questa sezione arrivo da te per i cavi del telefono (ovviamente scherzo)
Aggiornare IE alla versione 7 o meglio sostituirlo con Firefox o Opera
Installare un Firewall ti consiglio Comodo
Installare un antispyware con la protezione real time come SpywareTerminator
Installare un anti trojan tipo BoClean di Comodo
tutti i software proposti sono FREE

[lancetta]

preceduto da chill

[e-noid]

Vi amo!!! Grazie!!!!!

Non saprei cosa avrei fatto senza di voi...

Cmq ora installo tutti questi programmini da te consigliati;
Avevo gia messo Mozzilla firefox 2, e il nod 32 (ho fatto bene, no?).
Ora aggiungo tutto il restante... Grazie mille veramente

[Chill-Out]

Quote:

Originariamente inviato da e-noid

Vi amo!!! Grazie!!!!!

Non saprei cosa avrei fatto senza di voi...

Cmq ora installo tutti questi programmini da te consigliati;
Avevo gia messo Mozzilla firefox 2, e il nod 32 (ho fatto bene, no?).
Ora aggiungo tutto il restante... Grazie mille veramente

Il Nod32 è ottimo, Lancetta credo possa confermare per quanto concerne Firefox installa i seguenti componenti aggiuntivi:
NoScript
AdBlockPlus
FinJan Secure Browsing
http://it.add-ons.mozilla.com/it/firefox/


Le guide dei programmi indicati in precedenza le trovi qui:
http://www.hwupgrade.it/forum/showthread.php?t=1559053

felice di esserti stato di aiuto.

[juninho85]

non per fare il gufo,ma stento a credere che sia rimosso senza esser intervenuti in modalità provvisoria

[lancetta]

Quote:

Originariamente inviato da Chill-Out

Il Nod32 è ottimo, Lancetta credo possa confermare per quanto concerne Firefox installa i seguenti componenti aggiuntivi:
NoScript
AdBlockPlus
FinJan Secure Browsing
http://it.add-ons.mozilla.com/it/firefox/


Le guide dei programmi indicati in precedenza le trovi qui:
http://www.hwupgrade.it/forum/showthread.php?t=1559053

felice di esserti stato di aiuto.

daccordissimo con Chill, però il miglior antivirus,sei te,e sopratutto tieni aggiornato l'S.O ed il parco software che ha a che fare con internet.

Saluti

[e-noid]

Quote:

Originariamente inviato da juninho85

non per fare il gufo,ma stento a credere che sia rimosso senza esser intervenuti in modalità provvisoria

Infatti se avessi letto bene la discussione,ti saresti accorto che in modalità provvisoria ci sn entrato piu di una volta.

Ma ora posso ripristinare il ripristino della configurazione di sistema, chill? (per il momento l'ho ripristinata, e appena ho fatto applica, spyware terminator, mi ha allertato subito)