[GUIDA] Rimuovere trojan vundo/Virutumonde - leggere le Regole di Sezione!!

[lancetta]

hum...a pc pulito......credo che si risolva reinstallando i programmi che danno l'errore...

[klaw]

C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temp\removalfile.bat - Win32/Adware.Virtumonde applicazione - cancellato

[Chill-Out]

Quote:

Originariamente inviato da lancetta

hum...a pc pulito......credo che si risolva reinstallando i programmi che danno l'errore...

si infatti volevo vedere il report del Nod32 prima di comunicargli la brutta notizia, brutta si fà per dire, ci vuole solo un pò di pazienza.

[klaw]

che faccio formatto ??

è risolvibile con nod o devo usare un altro antivirus ?

[Riverside]

Quote:

C:\VEXPLITE\MONLITE.EXE

Domandina delle 13,45: chi ti ha fatto installare VirIt? se non sbaglio, non è elencato tra i software suggeriti in questa Guida.

[Chill-Out]

Punto 6) della presente guida
http://www.hwupgrade.it/forum/showpo...17&postcount=1

[Chill-Out]

Quote:

Originariamente inviato da klaw

che faccio formatto ??

è risolvibile con nod o devo usare un altro antivirus ?

il problema relativo al Vundo è già risolto.

[Riverside]

Quote:

Originariamente inviato da Chill-Out

Punto 6) della presente guida

Socio .......

[zivi]

Ciao a tutti, anch'io sono stato infettato da questo virus bastardo... avevo un sacco di processi replicati con la spazio in fondo prima dell'estensione EXE... poi con un po di interventi e soprattutto con l'uso di comboFix il tutto sembra essere tornato alla normalità ma desideravo avere una vostra conferma... RenV mi restituisce 0 entries... vi allego inoltre il log di HiJackThis... grazie ragazzi

[murack83pa]

Quote:

Originariamente inviato da zivi

Ciao a tutti, anch'io sono stato infettato da questo virus bastardo... avevo un sacco di processi replicati con la spazio in fondo prima dell'estensione EXE... poi con un po di interventi e soprattutto con l'uso di comboFix il tutto sembra essere tornato alla normalità ma desideravo avere una vostra conferma... RenV mi restituisce 0 entries... vi allego inoltre il log di HiJackThis... grazie ragazzi

posta tutti i log dei programmi che hai utilizzato, come dice la guida

[lancetta]

@ klaw
dovresti disinstallare e reinstallare i soft che ti danno il problema e dovresti aver risolto...

[zivi]

nessun programma ora mi da il problema... vi allego i log...

[lancetta]

Quote:

Originariamente inviato da zivi

nessun programma ora mi da il problema... vi allego i log...

scusami ma ci sono alcune cose che non quadrano...
allora:

Quote:

O23 - Service: SysEnforce - Unknown owner - C:\PROGRA~1\TRISNA~1\SSI\SYSENF~1.EXE (file missing)

questo lo puoi fixare poi questo

Quote:

O16 - DPF: {DCEA263C-75E9-4029-F6AA-37F011CC4EF1} (IM2Webconference) - http://dialcom.com/spontania/downloa...laboration.cab

è un activeX (controlli che chiedono i siti web da installare per alcune funzionalità) lo conosci?
mi serve un altro giro di renV se dovesse dare 0 risultati faà analizzare questi:

Quote:

O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\quickset.exe .exe .exe .exe .exe .exe .exe .exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask .exe" -atboottime

mi sà che sto programma si sia sputtanato
prendi i 2 file e falli analizzare QUI
e riporta il link delle analisi

ancora Scarica Avenger da qua AVENGER
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

Quote:

files to delete:
C:\WINDOWS\system32\vtstq.dll

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

cancella il back up di vundofix in C:

[zivi]

il controllo ActiveX è un plugin di Skype quindi non dovrebbe essere una minaccia.. RenV restituisce 0 file, non esiste un file di nome qtask .exe ne esiste solo uno senza spazio... ho fatto analizzare i file quickset.exe e qtask.exe da virustotal..
ecco i risultati delle analisi rispettivamente:
http://www.virustotal.com/it/analisi...bf0c47a122de35
http://www.virustotal.com/it/analisi...e8639564dca941

[zivi]

il file C:\WINDOWS\system32\vtstq.dll non esiste.. allego il log di avenger..
forse le voci del registro sospette devo solo modificarle (tolgo la lista di .exe da quickset e tolgo lo spazio da qtask .exe)... che dici? non sembra infetto il mio pc

[Chill-Out]

@zivi
http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe
fai girare questo tool ad allega il log

[zivi]

o files

[Chill-Out]

Adesso nuovo log di HJT e Prevx CSI http://www.prevx.com/freescan.asp necessita di connessione a Internet,ciao.

[zivi]

PrevX da tutti GOOD...

[lancetta]

Quote:

Originariamente inviato da zivi

PrevX da tutti GOOD...

bè se il programma funziona.....dovresti solo vedere nelle proprietà dei file in questione (sia quelli con tutti gli exe che quello con spazio)se sono pieni o vuoti così ci regoliamo per eventuale cancellazione.....