[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[lancetta]

Non fai da cavia,tranquillo,di solito prima di proporre testo da me

le medesime ..ne hai ancora 2 dobbiamo portarlo a 0 il log
rifai ancora una volta mentre dò un occhio a combofix

[Riverside]

Quote:

ComboFix 08-01-07.5 - 2008-01-08 0:17:13.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.535 [GMT 1:00]
Eseguito da: D:\Documents and Settings\Davide\Desktop\virus\ComboFix(2).exe

Altre eliminazioni

D:\WINDOWS\system32\ddayv.dll
D:\WINDOWS\system32\ddayv.exe
D:\WINDOWS\system32\mcrh.tmp
D:\WINDOWS\system32\vyadd.ini
D:\WINDOWS\system32\vyadd.ini2

Una bella ripulita la ha data, ma credo non basti.
Il log di Hthis è sostanzialmente pulito.

[lancetta]

Quote:

Originariamente inviato da Naufr4g0

F3 - REG:win.ini: load=D:\WINDOWS\system32\ddayv.exe

Bastardo!!! eccolo quà infilato nel file .ini

fixalo! a cancellarlo ci ha pensato combofix...

dò un altra occhiata

[Naufr4g0]

Quote:

Originariamente inviato da lancetta

Non fai da cavia,tranquillo,di solito prima di proporre testo da me

Vabbè io scherzo. E cmq ci deve essere sempre qualcuno che "sperimenta" per primo no? :'D

Quote:

Originariamente inviato da lancetta

le medesime ..ne hai ancora 2 dobbiamo portarlo a 0 il log
rifai ancora una volta mentre dò un occhio a combofix

Secondo me la colpa ce l'ha questo valore del file di registro, che non so proprio come levare:


Non ci sono programmi (spazio).exe aperti, ma quando cancello quel valore dal registro viene riscritto di nuovo. Quindi c'è un altro processo che fa parte del virus.
Forse un servizio del windows..

[Riverside]

Quote:

Originariamente inviato da lancetta

Bastardo!!! eccolo quà infilato nel file .ini

mi era sfuggito

Log di PrevX:

Quote:

D:\Programmi\CICLaMaB\CICLaMaB.exe
Loaded from: FILE
PX5: C51EA54B00B9BC4DEA3809AD41D15D00F1222879
MD5: 49445bbe1b0f196a0a4fd132ae782929
Determination: SUSPICIOUS

[lancetta]

Quote:

Originariamente inviato da Naufr4g0

Vabbè io scherzo. E cmq ci deve essere sempre qualcuno che "sperimenta" per primo no? :'D



Secondo me la colpa ce l'ha questo valore del file di registro, che non so proprio come levare:

infatti...doppio click sulla voce e cancella dovrebbe fartelo fare (che poi dovrebbe corrispondere ad la voce di hijackthis)
fixa prima e poi vedi se c'è ancora la voce

[Riverside]

Quote:

Originariamente inviato da Naufr4g0

Secondo me la colpa ce l'ha questo valore del file di registro, che non so proprio come levare

Come ti ga già detto Lancetta, fixalo con Hthis: lo ha già spazzato via Combo.

[lancetta]

Quote:

Originariamente inviato da Riverside

mi era sfuggito

Log di PrevX:

siccome tutti sti programmi sono sospetti.... io consiglierei di disinstallarli....e cancellare il tutto.
Dò un occhiata a combofix

[Naufr4g0]

Quote:

Originariamente inviato da lancetta

Bastardo!!! eccolo quà infilato nel file .ini

fixalo! a cancellarlo ci ha pensato combofix...

dò un altra occhiata

Quando fixo con HiJackThis non se ne va... faccio SCAN e ritorna...

Procediamo con ordine. Vediamo se riesco a farlo.
Tu mi dici di fare:
1) Usare RenV.exe per annullare gli (spazio).exe
2) ComboFix
3) HiJackThis per fixare.

Ma quando io avvio combofix, questi mi chiede di riavviare e al riavvio ricarica gli (spazio).exe e quindi HiJackThis non puo' fixare...
Deve esserci un altro modo... E se non riavviassi dopo combofix?

[Riverside]

@ Nà: CICLaMaB dovrebbe essere pulito:
http://www.dlinkpedia.net/software/ciclamab-guide.php

[lancetta]

fixa prima con hijack poi disinstalla/cancella quei programmi della scansione on line sospetti ivi compreso quello che dice River (che se non erro l'aveva già riportato la scansione on line) RenV.exe e poi combofix....

[Naufr4g0]

AGGIORNAMENTO:
Ho riavviato il computer dopo renV e combofix e magicamente non mi appare più la chiave del registro incriminata, ma mi si avvia cmq un file (spazio).exe.
I programmi sospetti li ho cancellati tutti e tre per evitare problemi.
Faccio l'ultimo combofix e vediamo che succede..
Secondo voi è possibile che il Firefox avvii il virus alla partenza? Io per ora sto usando Explorer per evitare.

[lancetta]

Quote:

Originariamente inviato da Naufr4g0

AGGIORNAMENTO:
Ho riavviato il computer dopo renV e combofix e magicamente non mi appare più la chiave del registro incriminata, ma mi si avvia cmq un file (spazio).exe.
I programmi sospetti li ho cancellati tutti e tre per evitare problemi.
Faccio l'ultimo combofix e vediamo che succede..
Secondo voi è possibile che il Firefox avvii il virus alla partenza? Io per ora sto usando Explorer per evitare.

hum con renv dobbiamo obbligatoriamente azzerare le chiavi altrimenti siamo punto e a capo

scarica Superantispyware aggiornalo e fagli fare una "Perform complete scan" da "scan your computer
in questo momento è uno dei più validi contro buona parte del vundo ed eventualmente lo facciamo girare dopo.....vediamo i log di hijack renV e combo....
(ho trovato una discussione in un forum estero..e pure c'è voluto un pò per estirparlo )

[Chill-Out]

con Avenger

Quote:

Files to delete:
D:\WINDOWS\system32\ddayv.exe

[Naufr4g0]

Compagni di sventura sono lieto di annunciarvi che ci sono ottime probabilità che il virus sia stato sconfitto.
Ho appena riavviato il computer dopo aver usato il combofix e NESSUN programma (spazio).exe è presente del task manager.
Vi ringrazio immensamente per il vostro aiuto. Ora posso andare a dormire felice! Magari dopo aver fatto qualche ultimo test di verifica con superantispyware però...

[lancetta]

Quote:

Originariamente inviato da Naufr4g0

Compagni di sventura sono lieto di annunciarvi che ci sono ottime probabilità che il virus sia stato sconfitto.
Ho appena riavviato il computer dopo aver usato il combofix e NESSUN programma (spazio).exe è presente del task manager.
Vi ringrazio immensamente per il vostro aiuto. Ora posso andare a dormire felice! Magari dopo aver fatto qualche ultimo test di verifica con superantispyware però...

Fagliela fare la scansione mi raccomando il soft è free ed ottimo anche per altro facci sapere

[Naufr4g0]

Quote:

Originariamente inviato da lancetta

Fagliela fare la scansione mi raccomando il soft è free ed ottimo anche per altro facci sapere

Si il programma è già avviato. Se finisce prima che mi addormenti vi faccio sapere ora, altrimenti a domani.
Grazie ancora!

[lancetta]

Quote:

Originariamente inviato da Chill-Out

con Avenger

Ciao socio. era stato già zompato da combo ..non sò se hai letto tutto...

Ti piace la nuova bestiolina/variante del vundo?
è molto str@@za

[lancetta]

Quote:

Originariamente inviato da Naufr4g0

Si il programma è già avviato. Se finisce prima che mi addormenti vi faccio sapere ora, altrimenti a domani.
Grazie ancora!

A giudicare da quanti files hai sul pc....BUONANOTTE e a domani

[Chill-Out]

Quote:

Originariamente inviato da lancetta

Ciao socio. era stato già zompato da combo ..non sò se hai letto tutto...

Ti piace la nuova bestiolina/variante del vundo?
è molto str@@za

no ho dato un'occhiata al volo era farlocca al 100% e gli ho suggerito di falciarla, si la nuova bestiolina è libidinosa si salvi chi può