[risolto][WINXP] Virtumonde, non se ne va

[Riverside]

Quote:

Originariamente inviato da lucariello86

Che ne dite?Va tutto bene ora?

● da aggiornare Internet Explorer
● da installare JavaSun


Quando verificate i logs, controllate anche questi aspetti, per favore

[lucariello86]

eccolo...

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.27.16, on 15/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\mrofinu572.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Acer\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C88332017491394661A64DB7C8F0287E55E246220D9E728F9FC17D446BC57D5375FB0FB68AD6
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmi\Eset\nod32krn.exe

--
End of file - 2891 bytes

[lucariello86]

Quote:

Originariamente inviato da Riverside

● da aggiornare Internet Explorer
● da installare JavaSun
Quando verificate i logs, controllate anche questi aspetti, per favore

Perchè devo aggiornare Internet Explorer?
Dove lo prendo JavaSun?

[Riverside]

Quote:

Originariamente inviato da lucariello86

Perchè devo aggiornare Internet Explorer?

Non sei obbligato: se vuoi tenerti una versione piena di bug, ti puoi anche accomodare, non è un mio problema, il P.C. è tuo.

Quote:

Originariamente inviato da lucariello86

Dove lo prendo JavaSun?

Semplice: CERCA CON GOOGLE ..... o vuoi la pappa pronta??

[Nuz]

Quote:

Originariamente inviato da Riverside

Quando verificate i logs, controllate anche questi aspetti, per favore

Questa regola l'hai decisa tu? Invece io seguo la mia regola che prima si elimina l'infezione, poi si può pensare agli altri aspetti della sicurezza.
Se vedi bene a lucariello manca anche un firewall.

[lucariello86]

Quote:

Originariamente inviato da Riverside

Non sei obbligato: se vuoi tenerti una versione piena di bug, ti puoi anche accomodare, non è un mio problema, il P.C. è tuo.

che versione mi consigli? anche se uno principalmente firefox..

[Riverside]

Quote:

Originariamente inviato da Nuz

Se vedi bene a lucariello manca anche un firewall.

Inesatto: utilizza il Firewall integrato di XP, che non sarà un granché come firewall, ma tale è.

[Riverside]

Quote:

Originariamente inviato da lucariello86

che versione mi consigli? anche se uno principalmente firefox..

L'ultima versione che è la 7 ..... non ci sono altre versioni.

[Nuz]

Ok, vero. Però per me è come non averlo. Comunque si ha quello di windows.

[Nuz]

Comunque il problema resta C:\WINDOWS\mrofinu572.exe, che drovrebbe essere Trojan-Downloader.Win32.Agent.emo.
Lucariello o lo rimuovi con avenger, come hai fatto prima con gli altri file, o prova con una scansione con A-squared free in modalità deep.

[Chill-Out]

ragazzi sono di passaggio è indispensabile fargli disabilitare il sytem restore - scansione con Prevx CSI - scansione con a-squared - nuovo log di HJT - ha la trusted zone piena di schifezza e senza FW continua a scaricarne.

[Riverside]

Quote:

Originariamente inviato da Chill-Out

ragazzi sono di passaggio è indispensabile fargli disabilitare il sytem restore - scansione con Prevx CSI - scansione con a-squared - nuovo log di HJT - ha la trusted zone piena di schifezza e senza FW continua a scaricarne.

Lascerei perdere ASquared (lo stava già facendo); piuttosto direi di stroncare, tutto:

quindi, @Lucariello, scarica: ELISTARTA TOOL: clicca qui per ELISTARTA
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ElistarA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita
● Terminata questa fase, è necessario riavviare il sistema
Allega il log che verrà creato

[Mauci]

ehm stamane avvio il pc e la protezione in tempo reale di spyware terminator mi sgama sto processo:

C:\WINDOWS\SYSTEM32\MUCLTUI.DLL

ne sapete qualcosa? io l'ho bloccato per sicurezza.

[Chill-Out]

Quote:

Originariamente inviato da Mauci

ehm stamane avvio il pc e la protezione in tempo reale di spyware terminator mi sgama sto processo:

C:\WINDOWS\SYSTEM32\MUCLTUI.DLL

ne sapete qualcosa? io l'ho bloccato per sicurezza.

Microsoft Update Process

[VegetaSSJ5]

ragazzi mi potete dire il procedimento esatto per togliere sto maledetto virtumonde?!?

[wjmat]

Quote:

Originariamente inviato da VegetaSSJ5

ragazzi mi potete dire il procedimento esatto per togliere sto maledetto virtumonde?!?

qualche informazione in più....

[VegetaSSJ5]

Quote:

Originariamente inviato da wjmat

qualche informazione in più....

spybot mi ha rilevato questo virtumonde. ho selezionato "correggi" e ha confermato che era tutto a posto. ho riavviato e mi appaiono sporadicamente degli avvisi del nod32 riguardo accessi non autorizzati a non so cosa da parte di questo virtumonde. ho fatto fare una scansione dal nod32 e sembra che abbia rimosso il virus. tuttavia ogni volta che riavvio i problemi tornano a ripresentarsi...

[wjmat]

purtroppo spyboot non vale una cippa....

Cominciamo a dargli una ripulita generica
Segui bene la GUIDA alla DISINFEZIONE per INFETTI
Per diminuire i files da scansionare fai prima una bella pulizia con CCleaner come indicato [ qui ] al punto 2.
Scarica da [ qui ] ATF Cleaner per una velocissima pulizia complementare.
Nella prima schermata -> Select All -> Empty Selected
Nel menù Firefox -> Select All -> NO -> Empty Selected

Se i log non superano i 20Kb allegali tramite il comando Gestisci allegati.
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure "Image Page URL" nel secondo e lo incolli nella risposta della discussione.

Ricapitolando vogliamo in ordine:
-log HiJackThis (facoltativo)
-log A-squared
-log Prevx v.1.6
-log di un antivirus online oppure Cureit/Virit oppure Kaspersky removal tool scaricato oggi
-log Gmer
-log HiJackThis

Una volta che avrai postato i log potremmo fare delle analisi su come sei messo.
Ciao

[murack83pa]

virtumonde è il vundo.....

c'è la guida ufficiale per la sua rimozione:
http://www.hwupgrade.it/forum/showthread.php?t=1603273

segui la procedura e posta in quel 3d e non qui i log richiesti

NB: i log li devi postare in quella discussione, e non qui....

[VegetaSSJ5]

seguendo la guida sul thread ufficiale SEMBREREBBE che FORSE PROBABILMENTE me ne sia liberato...

cmq ragazzi mi sapete dire come ci si infetta co sto virus? ultimamente non mi pare di aver fatto nulla di strano...