[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[Chill-Out]

Quote:

Originariamente inviato da Slide

Salve ragazzi

secondo voi sono riuscito a debellare il maledettissimo virus?!

Vi allego il log di hijackthis:

hijackthis.log
fileqube: hijackthis

Grazie per l'aiuto!

Ciao allega i log al Punto 3 e 4 della presente Guida

[Chill-Out]

Quote:

Originariamente inviato da renaulto86

mi aggiungo anche io ai bisognosi..

Malwarebytes log:
http://www.mediafire.com/file/d00l4z...log-2008-11-28

hijackthis log:
http://www.mediafire.com/file/z4y1rg...hijackthis.log

grazie in anticipo!

Ciao allega il log indicato al Punto 4 della presente Guida

[sandrix23]

salve ragazzi...
credo di essere infettato da "VUNDO"...
ho seguito tutte le istruzioni postate su questo forum, ma non riesco in nessun modo ad eliminarlo...
potete aiutarmi?



le operazioni da me compiute sono :
- installato ed ho effettuato una scansione con "malwarebytes-anti malware"
- varie scansioni cn S&D (risultato :smitfraud, e vari vundo)
-ATF Cleaner


allego il file log sperando in un vostro aiuto...(il file log è stato creato tramite malwarebytes).

grazie
grazie

[Chill-Out]

Quote:

Originariamente inviato da sandrix23

salve ragazzi...
credo di essere infettato da "VUNDO"...
ho seguito tutte le istruzioni postate su questo forum, ma non riesco in nessun modo ad eliminarlo...
potete aiutarmi?



le operazioni da me compiute sono :
- installato ed ho effettuato una scansione con "malwarebytes-anti malware"
- varie scansioni cn S&D (risultato :smitfraud, e vari vundo)
-ATF Cleaner


allego il file log sperando in un vostro aiuto...(il file log è stato creato tramite malwarebytes).

grazie
grazie

Ciao devi semplicemente seguire passo passo la Guida in prima pagina ed allegare i log delle scansioni al Punto 3 e 4

Per quanto concerne il Punto 3 ovvero MBAM, dal log si evince che non hai intrapreso nessuna azione

Quote:

Moduli della memoria infetti:
C:\WINDOWS\System32\khfDuVml.dll (Trojan.Vundo) -> No action taken.

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\System32\khfDuVml.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\System32\qoMccCtR.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\System32\rqRHwWnN.dll (Trojan.Vundo) -> No action taken.

No action taken -> significa che non hai eliminato nulla, ripeti la scansione completa ed elimina tutti i valori idenficati come infetti

[sandrix23]

ok sorry!
grazie per la risposta!
adesso faccio quello che hai scritto e poi posto tutto!

[sandrix23]

volevo dirti anche che scansionando con diversi programmi trova sempre come infetto" fmecjba.exe"che mette anke come programma all avvio e cancellandolo ad ogni riavvio è sempre li!sapete dirmi qualcosa in piu??
grazie

"c:\users\jo\appdata\local\fmecjba.exe" fmecjba HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

[Chill-Out]

Quote:

Originariamente inviato da sandrix23

volevo dirti anche che scansionando con diversi programmi trova sempre come infetto" fmecjba.exe"che mette anke come programma all avvio e cancellandolo ad ogni riavvio è sempre li!sapete dirmi qualcosa in piu??
grazie

"c:\users\jo\appdata\local\fmecjba.exe" fmecjba HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

Porta a termine la Guida e poi affrontiamo anche questo problema, nel frattempo potresti dirci quale software rileva come infetto questo file fmecjba.exe e quale nome attribusice all'infezione

[Slide]

Quote:

Originariamente inviato da Chill-Out

Ciao allega i log al Punto 3 e 4 della presente Guida

Eccoli

- Hijackthis:
hijack.log

- Malwarebytes:
malware.log

- Kaspersky V.R.T. : pesa 452MB il txt ?! Forse non dovevo fargli scansionare i 3 hard disk..

[Chill-Out]

Quote:

Originariamente inviato da Slide

Eccoli

- Hijackthis:
hijack.log

- Malwarebytes:
malware.log

- Kaspersky V.R.T. : pesa 452MB il txt ?! Forse non dovevo fargli scansionare i 3 hard disk..

Allega solo la parte inerente alla rilevazione/rimozione esempio:

Quote:

Scan
----
Scanned: 1536980
Detected: 3
Untreated: 0
Start time: 29/11/2008 13.43.23
Duration: 1 days 02.07.36
Finish time: 30/11/2008 15.50.59


Detected
--------
Status Object
------ ------
deleted: Trojan program Backdoor.Win32.TDSS.blh File: C:\SDFix\SDFix\backups\catchme.zip/TDSSkfkl.dll
deleted: Trojan program Backdoor.Win32.TDSS.asz File: C:\SDFix\SDFix\backups\catchme.zip/TDSSurkv.dll
deleted: Trojan program Backdoor.Win32.TDSS.atb File: C:\SDFix\SDFix\backups\catchme.zip/TDSSottp.dll

[sandrix23]

il "fmecjba" l ha trovato il programma "combo fix"!e poi compare sempre nei file d avvio e nel registro (trovato con ccleaner o register mechanic)

[Chill-Out]

Quote:

Originariamente inviato da sandrix23

il "fmecjba" l ha trovato il programma "combo fix"!e poi compare sempre nei file d avvio e nel registro (trovato con ccleaner o register mechanic)

Allora insiemi agli altri log alleghi anche quello di Combofix

[renaulto86]

il log di malwarebytes che ho postato prima era sbagliato, ecco quello corretto:

http://www.mediafire.com/file/q01nay...log-2008-11-28 (23-22-41).txt

quello di Hijackthis:

http://www.mediafire.com/file/z4y1rg...hijackthis.log

ed ecco quello del punto 4:

http://www.mediafire.com/file/5cmmzaozuj1/log secure scan.txt

[Slide]

Quote:

Originariamente inviato da Chill-Out

Allega solo la parte inerente alla rilevazione/rimozione esempio:

D'accordo capo, e grazie

Inserisco direttamente tra i tag code senza fare l'upload vista la breve lunghezza del messaggio.

Codice:

Scan
----
Scanned:	2535595
Detected:	1
Untreated:	0
Start time:	30/11/2008 18.29.58
Duration:	04.13.49
Finish time:	30/11/2008 22.43.47


Detected
--------
Status	Object
------	------
deleted: Trojan program Trojan-Spy.HTML.Fraud.gen (modification)	Email message body: Identità principale\Varie\Posta eliminata\[From:"eBay Register" <[email protected]>][Subject:Message has a suspicious part : Complete your eBay registration][Time:2008/06/10 06:06:34]/text/html

[wjmat]

Quote:

Originariamente inviato da renaulto86

il log di malwarebytes che ho postato prima era sbagliato, ecco quello corretto:

http://www.mediafire.com/file/q01nay...log-2008-11-28 (23-22-41).txt

quello di Hijackthis:

http://www.mediafire.com/file/z4y1rg...hijackthis.log

ed ecco quello del punto 4:

http://www.mediafire.com/file/5cmmzaozuj1/log secure scan.txt

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Codice:

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Programmi\RivaTuner v2.09\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RivaTuner] "D:\Programmi\RivaTuner v2.09\RivaTuner.exe" /T
O4 - HKLM\..\Run: [RivaTunerStatisticsServer] "D:\Programmi\RivaTuner v2.09\Tools\RivaTunerStatisticsServer\RivaTunerStatisticsServer.exe" /s
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\Ad-Watch.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Renaulto\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O20 - AppInit_DLLs: kedegv.dll
O16  - tutte le voci

riscontri altri problemi?

[wjmat]

Quote:

Originariamente inviato da Slide

Eccoli

- Hijackthis:
hijack.log

- Malwarebytes:
malware.log

- Kaspersky V.R.T. : pesa 452MB il txt ?! Forse non dovevo fargli scansionare i 3 hard disk..

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Codice:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKCU\..\Run: [L08IXLRD_9086828] "D:\Programmi\Microsoft Student\Microsoft Encarta 2008 - Premium + Student DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "D:\Programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O16  - tutte le voci se ce ne sono

riscontri altri problemi?

[renaulto86]

Quote:

Originariamente inviato da wjmat

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Codice:

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Programmi\RivaTuner v2.09\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RivaTuner] "D:\Programmi\RivaTuner v2.09\RivaTuner.exe" /T
O4 - HKLM\..\Run: [RivaTunerStatisticsServer] "D:\Programmi\RivaTuner v2.09\Tools\RivaTunerStatisticsServer\RivaTunerStatisticsServer.exe" /s
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\Ad-Watch.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Renaulto\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O20 - AppInit_DLLs: kedegv.dll
O16  - tutte le voci

riscontri altri problemi?

ecco il nuovo log in allegato


purtroppo però eseguendo una scansione con spyware doctor il malware viene di nuovo rilevato..

[wjmat]

Quote:

Originariamente inviato da renaulto86

ecco il nuovo log in allegato


purtroppo però eseguendo una scansione con spyware doctor il malware viene di nuovo rilevato..

carica un log di Combofix (leggi bene le info) che dovrebbe rimuoverlo del tutto
spyware doctor è un mattone ed è buono solo con la versione a pagamento, quindi io propenderei per rimuoverlo in favore di quelli indicati nel trattamento in firma, che ti consiglio di leggere a fine disinfezione

[Slide]

Quote:

Originariamente inviato da wjmat

[list]

riscontri altri problemi?

I problemi tipici del Vundo sono tutti spariti, ed il sistema corre veloce (e felice!)

Credo di potermi fidare della provenienza di quei programmi.. non so se fixarli effettivamente.

E' già qualche volta che, appena accendo il pc, faccio una scansione con Spybot e nn c'è traccia del Vundo... idem con Avast e MalwareBytes.

Credo di poter stare abbastanza tranquillo oramai

Mi ero spaventato perchè ho letto che esistono una miriadi di varianti del Vundo, e molte si attaccano a processi esistenti. Ed infatti io mi accorgevo di avere il Vundo in esecuzione anche se entravo in modalità provvisoria!!

Credo mi abbia aiutato anche l'utilizzo di Avira che effettua una scansione dal "live cd" e quindi non avvia il sistema operativo.

Grazie dell'impagabile aiuto, ragazzi!!!

[wjmat]

Quote:

Originariamente inviato da Slide

I problemi tipici del Vundo sono tutti spariti, ed il sistema corre veloce (e felice!)

Credo di potermi fidare della provenienza di quei programmi.. non so se fixarli effettivamente.

E' già qualche volta che, appena accendo il pc, faccio una scansione con Spybot e nn c'è traccia del Vundo... idem con Avast e MalwareBytes.

Credo di poter stare abbastanza tranquillo oramai

Mi ero spaventato perchè ho letto che esistono una miriadi di varianti del Vundo, e molte si attaccano a processi esistenti. Ed infatti io mi accorgevo di avere il Vundo in esecuzione anche se entravo in modalità provvisoria!!

Credo mi abbia aiutato anche l'utilizzo di Avira che effettua una scansione dal "live cd" e quindi non avvia il sistema operativo.

Grazie dell'impagabile aiuto, ragazzi!!!

i fix che ti ho consigliato sono solo per velocizzare l'avvio del pc
avast e spybot io li lascerei perdere... leggi il trattanmento che ho in firma dove trovi i software che consigliamo e altre info utili
importante aggiornare win a sp3 e IE alla 7

[renaulto86]

ecco il log di combofix

dovrebbe essere tutto risolto, giusto? grazie mille dell'aiuto! spero di non dover tornare