[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[Riverside]

Quote:

Originariamente inviato da Naufr4g0

Il log di prevx CSI devo metterlo tutto o solo la parte relativa ai file infetti?

Alleghi il log che viene rilasciato

[Naufr4g0]

Ecco qui il log:

prevxcsi.log - 0.38MB

[lancetta]

Quote:

Originariamente inviato da Naufr4g0

Ogni volta che riavvio il computer spuntano nel task manager 4-5 programmi che hanno il nome copiato da altri programmi, ma con uno spazio prima dell'estensione .exe.
I tool per rimuovere Vundo sembrano funzionare in un primo momento, ma poi tutti i file cancellati rispuntano prepotentemente.
Consigli? Anche ad altri si è manifestato così questo virus?

Hum...ti sei beccato l'ultimissima versione del vundo

Allora fai così per favore:scarica Questo tool disattiva il tuo antivirus, eseguilo (si aprirà una finestra dos) e posta qui il log che ti rilascia....

[deneb87]

c'è ancora Vundo, e svariate detection sospette, in particolare nei file temporanei, magari una pulizia con ccleaner?

[Naufr4g0]

Quote:

Originariamente inviato da lancetta

Hum...ti sei beccato l'ultimissima versione del vundo

CHE gran C..olpo di fortuna!

Quote:

Originariamente inviato da lancetta

Allora fai così per favore:scarica Questo tool disattiva il tuo antivirus, eseguilo (si aprirà una finestra dos) e posta qui il log che ti rilascia....

Il tool che mi hai passato mi ha fornito questi risultati:

Codice:

Ran on 2008-01-07 - 22:28:44.10

----a-w         4,489,280 2008-01-07 20:59:53  D:\Programmi\ABIT\ABIT uGuru\GuruClock .exe
----a-w         1,695,830 2008-01-07 20:59:46  D:\Programmi\ABIT\ABIT uGuru\uGuru .exe
----a-w            39,792 2008-01-07 20:59:38  D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl .exe
----a-w           136,136 2008-01-07 20:59:52  D:\Programmi\DAEMON Tools Pro\DTProAgent .exe
----a-w           151,552 2008-01-07 19:03:01  D:\Programmi\File comuni\InterVideo\SchSvr\SchSvr .exe
----a-w            31,016 2008-01-07 20:59:37  D:\Programmi\Microsoft Office\Office12\GrooveMonitor .exe
----a-w         5,674,352 2008-01-07 20:59:59  D:\Programmi\MSN Messenger\MsnMsgr .Exe
----a-w           271,360 2008-01-07 20:59:39  D:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication .exe
----a-w         1,997,880 2008-01-07 20:59:51  D:\Programmi\Prevx2\PXConsole .exe
----a-w           245,760 2008-01-07 20:59:45  D:\VEXPLITE\MONLITE .EXE
----a-w            75,776 2008-01-07 19:03:04  D:\WINDOWS\system32\spool\drivers\w32x86\3\E_S10IC2 .EXE

 Entries:               11  (11)
 Directories:            0  Files:            11
 Bytes:         14,808,734  Blocks:       28,927

Ha trovato tutti i file con lo spazio di cui parlavo anche sopra... :/
Che fare? Basterà cancellarli?

[lancetta]

Quote:

Originariamente inviato da Naufr4g0

CHE gran C..olpo di fortuna!



Il tool che mi hai passato mi ha fornito questi risultati:

Codice:

Ran on 2008-01-07 - 22:28:44.10

----a-w         4,489,280 2008-01-07 20:59:53  D:\Programmi\ABIT\ABIT uGuru\GuruClock .exe
----a-w         1,695,830 2008-01-07 20:59:46  D:\Programmi\ABIT\ABIT uGuru\uGuru .exe
----a-w            39,792 2008-01-07 20:59:38  D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl .exe
----a-w           136,136 2008-01-07 20:59:52  D:\Programmi\DAEMON Tools Pro\DTProAgent .exe
----a-w           151,552 2008-01-07 19:03:01  D:\Programmi\File comuni\InterVideo\SchSvr\SchSvr .exe
----a-w            31,016 2008-01-07 20:59:37  D:\Programmi\Microsoft Office\Office12\GrooveMonitor .exe
----a-w         5,674,352 2008-01-07 20:59:59  D:\Programmi\MSN Messenger\MsnMsgr .Exe
----a-w           271,360 2008-01-07 20:59:39  D:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication .exe
----a-w         1,997,880 2008-01-07 20:59:51  D:\Programmi\Prevx2\PXConsole .exe
----a-w           245,760 2008-01-07 20:59:45  D:\VEXPLITE\MONLITE .EXE
----a-w            75,776 2008-01-07 19:03:04  D:\WINDOWS\system32\spool\drivers\w32x86\3\E_S10IC2 .EXE

 Entries:               11  (11)
 Directories:            0  Files:            11
 Bytes:         14,808,734  Blocks:       28,927

Ha trovato tutti i file con lo spazio di cui parlavo anche sopra... :/
Che fare? Basterà cancellarli?

NO! non si devono cancellare...allora
trascina il file Log txt che ti ha rilasciato su RenV.exe riesegui e se ti chiede di riavviare fallo tranquillamente e posta qui il log dei risultati

[lancetta]

Quote:

Originariamente inviato da Naufr4g0

CHE gran C..olpo di fortuna!

Effettivamente è fresca fresca comunque con questa operazione dovremmo riuscire a ristabilire il tutto....posta i log per evidenziare la riuscita che poi abbiamo altre cose da fare.....

[Naufr4g0]

Quote:

Originariamente inviato da lancetta

NO! non si devono cancellare...allora
trascina il file Log txt che ti ha rilasciato su RenV.exe riesegui e se ti chiede di riavviare fallo tranquillamente e posta qui il log dei risultati

Scusa ma ho fatto una stupidaggine.. Avevo cancellato tutti i file.
Quindi ho riavviato il windows, mi sono rispuntati i file (spazio).exe, e ho rieseguito il renv.
Ho trascinato il file su renv come hai detto tu, e mi ha restituito questo:

Codice:

Ran on 2008-01-07 - 23:07:43.15

------w            31,016 2008-01-07 22:02:15  D:\Programmi\Microsoft Office\Office12\GrooveMonitor .exe
------w         5,674,352 2008-01-07 22:02:29  D:\Programmi\MSN Messenger\MsnMsgr .Exe

 Entries:                2  (2)
 Directories:            0  Files:             2
 Bytes:          5,705,368  Blocks:       11,144

Aggiungo che dopo aver fatto questa operazione non ci sono più programmi (spazio).exe su esplora risorse.

[lancetta]

Quote:

Originariamente inviato da Naufr4g0

Scusa ma ho fatto una stupidaggine.. Avevo cancellato tutti i file.
Quindi ho riavviato il windows, mi sono rispuntati i file (spazio).exe, e ho rieseguito il renv.
Ho trascinato il file su renv come hai detto tu, e mi ha restituito questo:

Codice:

Ran on 2008-01-07 - 23:07:43.15

------w            31,016 2008-01-07 22:02:15  D:\Programmi\Microsoft Office\Office12\GrooveMonitor .exe
------w         5,674,352 2008-01-07 22:02:29  D:\Programmi\MSN Messenger\MsnMsgr .Exe

 Entries:                2  (2)
 Directories:            0  Files:             2
 Bytes:          5,705,368  Blocks:       11,144

Ragazzi....per favore non prendete iniziative se non sapete quello che fate.... (pure perchè il pc è vostro )

ne sono rimasti ancora 2....riavvia il pc e riesegui tutta la procedura daccapo (scansione,txt,trascinamento ecc...) e riposta i log

[Naufr4g0]

Quote:

Originariamente inviato da lancetta

Ragazzi....per favore non prendete iniziative se non sapete quello che fate.... (pure perchè il pc è vostro )

ne sono rimasti ancora 2....riavvia il pc e riesegui tutta la procedura daccapo (scansione,txt,trascinamento ecc...) e riposta i log

Ecco, perfetto, ora sono a 0! Ho reiterato il procedimento 2 volte. (9 trovati -> 3 trovati -> 0 trovati)
Ora che faccio?

[lancetta]

Quote:

Originariamente inviato da Naufr4g0

Ecco, perfetto, ora sono a 0! Ho reiterato il procedimento 2 volte. (9 trovati -> 3 trovati -> 0 trovati)
Ora che faccio?

Ottimo!!!!
con avenger zompa questi:

Quote:

Files to delete:
D:\WINDOWS\system32\ddayv.dll

e scansiona questi con virustotal QUI

Quote:

D:\Programmi\CICLaMaB\CICLaMaB.exe
D:\giochi\AquariaDemo\aquaria.exe
D:\giochini\Stopple\Stopple.exe

nuova scansione con csi prevx ed un altra con combofix

[Riverside]

Simpatica questa nuova variante di Vundo
Lancetta: mollaci due informazioni in merito, appena puoi, grazie

[Naufr4g0]

Quote:

Originariamente inviato da lancetta

Ottimo!!!!
con avenger zompa questi:

Brutte notizie. Dopo che con avenger ho inserito lo script che mi hai detto tu, mi ha fatto riavviare e al riavvio sono ricomparsi degli (spazio).exe.

Quote:

Originariamente inviato da lancetta

e scansiona questi con virustotal

Li sto scansionando..

[lancetta]

Quote:

Originariamente inviato da Riverside

Simpatica questa nuova variante di Vundo
Lancetta: mollaci due informazioni in merito, appena puoi, grazie

La tenevo d'occhio da un pò questa variante molto bastarda (sulla falsariga di istant access che ti sostituisce i file per rendere la pulitura più difficile)
Fatto un pò di test per capire n'attimino...

Appena la sviluppo meglio vediamo di metterla in guida

[lancetta]

Quote:

Originariamente inviato da Naufr4g0

Brutte notizie. Dopo che con avenger ho inserito lo script che mi hai detto tu, mi ha fatto riavviare e al riavvio sono ricomparsi degli (spazio).exe.



Li sto scansionando..

Ecchecacchio!!!!
hum...rifai IL PROCEDIMENTO voglio vedere se ne ha creati di nuovi o se sono gli stessi.......appena fatto il tutto parti direttamente con combofix
e poi mi posti i log tutti insieme comprensivi di quello di hijackthis...

[lancetta]

Un altra cosa...nei limiti staccati (se i tool non devono essere aggiornati) da internet quando fai le scansioni

(il ripristino configurazione di sistema è disabilitato..vero?)

[Riverside]

Ma il Ripristino configurazione di sistema lo ha disabilitato?

edit: ...... i dubbi ..... che assalgono la medesima entità, socio

[Naufr4g0]

Che bello fare da cavia!! :'D

Cmq i file li sto scansendo e il virustotal dice:

CiClamaB (2/32):
eSafe - suspicious Trojan/Worm
Panda - Suspicious file

Aquaria (1/32):
Webwasher-Gateway - Virus.Win32.FileInfector.gen (suspicious)

Stopple (1/32):
eSafe - suspicious Trojan/Worm

Il Rispristino è disattivato non preoccupatevi..

[Naufr4g0]

Quote:

Originariamente inviato da lancetta

Ecchecacchio!!!!
hum...rifai IL PROCEDIMENTO voglio vedere se ne ha creati di nuovi o se sono gli stessi.......appena fatto il tutto parti direttamente con combofix
e poi mi posti i log tutti insieme comprensivi di quello di hijackthis...

Primo log:

Codice:

Ran on 2008-01-08 -  0:12:28.90

----a-w         4,489,280 2008-01-07 22:44:11  D:\Programmi\ABIT\ABIT uGuru\GuruClock .exe
----a-w         1,695,830 2008-01-07 22:44:09  D:\Programmi\ABIT\ABIT uGuru\uGuru .exe
----a-w            39,792 2008-01-07 22:44:07  D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl .exe
----a-w           136,136 2008-01-07 22:44:14  D:\Programmi\DAEMON Tools Pro\DTProAgent .exe
----a-w            31,016 2008-01-07 22:44:06  D:\Programmi\Microsoft Office\Office12\GrooveMonitor .exe
----a-w         5,674,352 2008-01-07 22:44:11  D:\Programmi\MSN Messenger\MsnMsgr .Exe
----a-w           271,360 2008-01-07 22:44:07  D:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication .exe

 Entries:                7  (7)
 Directories:            0  Files:             7
 Bytes:         12,337,766  Blocks:       24,100

secondo log:

Codice:

Ran on 2008-01-08 -  0:15:26.20

------w            31,016 2008-01-07 22:44:06  D:\Programmi\Microsoft Office\Office12\GrooveMonitor .exe
------w         5,674,352 2008-01-07 22:44:11  D:\Programmi\MSN Messenger\MsnMsgr .Exe

 Entries:                2  (2)
 Directories:            0  Files:             2
 Bytes:          5,705,368  Blocks:       11,144

terzo log:

Codice:

Ran on 2008-01-08 -  0:15:26.20

------w            31,016 2008-01-07 22:44:06  D:\Programmi\Microsoft Office\Office12\GrooveMonitor .exe
------w         5,674,352 2008-01-07 22:44:11  D:\Programmi\MSN Messenger\MsnMsgr .Exe

 Entries:                2  (2)
 Directories:            0  Files:             2
 Bytes:          5,705,368  Blocks:       11,144

[Naufr4g0]

In questo post vado inserendo i LOG.

combofix --> log.txt
HiJackThis --> hijackthis.txt
prevx CSI --> prevx.txt - 0.36MB