[risolto] Virus alert! accanto orologio

[ilpuma82]

Ciao, purtroppo ho beccato un virus. Sono riuscito ad eliminare qualcosa ma mi rimane la scritta VIRUS ALERT! nella system tray accanto all'orologio ed inoltre quando vado su internet mi si aprono finestre a quantità riguardanti soprattutto casinò online.
Vi prego aiutatemi, ciao a tutti.

---------------------
Soluzione: http://www.hwupgrade.it/forum/showpo...4&postcount=53

[wjmat]

Ciao benvenuto nel pronto soccorso di HU.
Leggi bene le regole di sezione e poi segui bene la guida alla disinfezione per infetti ed esegui tutte le scansioni nell'ordine indicato.

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati -> si aprirà una finestra -> Click su Sfoglia -> seleziona il file da caricare -> Click su Carica -> sotto allegati correnti vedrai il tuo log caricato -> Chiudi la finestra
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse (es. nel caso di PrevX) salvale in JPG, essendo più leggere, e caricale su fileqube.com che permette di visualizzarle direttamente online.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di A-squared scansione deep aggiornato ad oggi
2. log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
3. log di Dr.Web CureIT scaricato oggi
4. log di ESET SysInspector
5. log di HiJackThis
6. log di Gmer
7. log di PrevxCSI

In questa maniera, tu avrai un pc già parzialmente ripulito, e noi le informazioni necessarie per i restanti interventi.
Ciao

[omihalcon]

Interessante questa discussione mi sono imbattuto anch' io in questo virus ieri
...

Spy bot in modalita' provvisoria mi diceva VIRTUMONDE... In piu' mi sono accorto che il servizio aggiornamenti automatici non viene caricato e non solo non si riesce a abilitarlo e a riavviarlo.

norman removal tool ogni volta che riavvio indica che winlogon e' infettato da vundo.gen

Per ora sto reinstallando dato che ci solo solo 2 programmi e nemmeno l' office: pero' mi interesserebbe sapere dove si doveva "smanettare" nel registro per ucciderlo

Ciao

[wjmat]

Quote:

Originariamente inviato da omihalcon

Interessante questa discussione mi sono imbattuto anch' io in questo virus ieri
...

Spy bot in modalita' provvisoria mi diceva VIRTUMONDE... In piu' mi sono accorto che il servizio aggiornamenti automatici non viene caricato e non solo non si riesce a abilitarlo e a riavviarlo.

norman removal tool ogni volta che riavvio indica che winlogon e' infettato da vundo.gen

Per ora sto reinstallando dato che ci solo solo 2 programmi e nemmeno l' office.

Ciao

Ciao benvenuto nel pronto soccorso di HU.
Comincia a guardare qui la guida per la rimozione di Vundo e posta in quella discussone tutti i log richiesti secondo le modalità.

Modalità pubblicazione log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.

[ilpuma82]

Quote:

Originariamente inviato da ilpuma82

Ciao, purtroppo ho beccato un virus. Sono riuscito ad eliminare qualcosa ma mi rimane la scritta VIRUS ALERT! nella system tray accanto all'orologio ed inoltre quando vado su internet mi si aprono finestre a quantità riguardanti soprattutto casinò online.
Vi prego aiutatemi, ciao a tutti.

ecco i log richiesti

[xcdegasp]

potresti pubblicarli non zippati per favore?

agevolo le cose, per a-squared:

Codice:

Value: HKEY_CLASSES_ROOT\AppID\toolbar.DLL --> AppID 	detected: Trace.Registry.Adware-17Lele
Value: HKEY_CLASSES_ROOT\TacOnlyOne --> WinSpywareProtect (ver. 5.1) 	detected: Trace.Registry.WinSpywareProtect 5.1

manca il log della scansione con F-Secure Online / kaspersky tool / eset online scanner;
manca il lodella scansione con dr.web cureIT;

dal log HiJackThis:
non mi convince questa riga:

Codice:

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule

riesegui hijackthis optando per la funzione "Scan Only", a fine scansione il pulsante in fondo a sinistra si chiamerà "Fix Checked", quindi selezionare le voci desiderate e premere questo tasto.
Fixa:

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [2e5f2bcd] rundll32.exe "C:\WINDOWS\system32\nuuahxdd.dll",b
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O21 - SSODL: CDRam - {8c3c7e0e-9f0f-406b-bb61-6a962327ba43} - (no file)

per SySInspector rifallo dopo aver fatto quelle scansioni mancanti all'appello

[Chill-Out]

Da fixare

O4 - HKLM\..\Run: [2e5f2bcd] rundll32.exe "C:\WINDOWS\system32\nuuahxdd.dll",b

[ilpuma82]

dopo una decina di scansioni varie ho risolto... non si aprono più finestre mentre navigo, è scomparsa la scritta virus alert! ed il pc sembra essersi ripreso.
Ringrazio tutti per l'aiuto

Si può chiudere, ciao

[Chill-Out]

Quote:

Originariamente inviato da ilpuma82

dopo una decina di scansioni varie ho risolto... non si aprono più finestre mentre navigo, è scomparsa la scritta virus alert! ed il pc sembra essersi ripreso.
Ringrazio tutti per l'aiuto

Si può chiudere, ciao

Potresti allegare un nuovo log di HijackThis, grazie.

[wjmat]

Dopo aver postato il log come ti ha indicato chill dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

[lucabondi]

Salve a tutti... anch'io oggi ho preso questo dannato virus... e nonostante tutte le scansioni effettuate, il VIRUS ALERT! accanto all'orologio è ancora lì.

Vi posto tutti i log nella speranza che mi possiate aiutare.

A-Squared: http://www.fileqube.com/shared/kRLlwnD32919
F-Secure: http://www.fileqube.com/shared/BdYRskllU32918
Dr Web: http://www.fileqube.com/shared/cqMpgTS32917
SYSInspector: http://www.fileqube.com/shared/NenbjPe32921
HijackThis: http://www.fileqube.com/shared/edOEB32920
Gmer: http://www.fileqube.com/shared/xMKjwVPNb32923
Prevx: http://www.fileqube.com/shared/KFPCHSk32922

Confido in voi!

[xcdegasp]

Quote:

Originariamente inviato da lucabondi

Salve a tutti... anch'io oggi ho preso questo dannato virus... e nonostante tutte le scansioni effettuate, il VIRUS ALERT! accanto all'orologio è ancora lì.

Vi posto tutti i log nella speranza che mi possiate aiutare.

A-Squared: http://www.fileqube.com/shared/kRLlwnD32919
F-Secure: http://www.fileqube.com/shared/BdYRskllU32918
Dr Web: http://www.fileqube.com/shared/cqMpgTS32917
SYSInspector: http://www.fileqube.com/shared/NenbjPe32921
HijackThis: http://www.fileqube.com/shared/edOEB32920
Gmer: http://www.fileqube.com/shared/xMKjwVPNb32923
Prevx: http://www.fileqube.com/shared/KFPCHSk32922

Confido in voi!

intanto che proseguo nel controllare i tuoi log, fai una pulizia con ATFCleaner a browser chiuso
all'inizio della guida c'è scritto dove scaricarlo e come usarlo anche se è molto intuitivo

[wjmat]

degasp lo mandiamo su vundo?

[lucabondi]

Quote:

Originariamente inviato da xcdegasp

intanto che proseguo nel controllare i tuoi log, fai una pulizia con ATFCleaner a browser chiuso
all'inizio della guida c'è scritto dove scaricarlo e come usarlo anche se è molto intuitivo

L'ho già fatta prima di iniziare tutto... ma farla una secoda volta non farà certo male!

[xcdegasp]

per a-squared:
molti cookies


per f-secure:

Quote:

Vundo.gen148 (virus)

* C:\WINDOWS\SYSTEM32\SSQPJJHW.DLL (Submitted)
* C:\DOCUMENTS AND SETTINGS\UTENTE\DESKTOP\BACKUPS\BACKUP-20080528-174554-263.DLL (Submitted)

Vundo.gen38 (virus)

* C:\WINDOWS\SYSTEM32\JTYAVUDT.INI (Submitted)

W32/Suspicious_N.gen (virus)

* F:\PROGRAMMI\CONVERTX\3\CONVERTXTODVDV3.0.0.7 MULTILINGUAL PATCH-TRUE.EXE

scarica Avenger, scompattalo in una directory esclusiva (tipo c:\avenger ) ed eseguilo, infine carica questo script:

Codice:

Files to delete:
C:\windows\system32\ssqPjjHw.DLL
C:\windows\system32\JjJYPFUO.dll
C:\windows\system32\eqpIIiIr.dll
C:\windows\system32\tduvaytj.dll
C:\windows\system32\ubjanhou.dll
C:\DOCUMENTS AND SETTINGS\UTENTE\DESKTOP\BACKUPS\BACKUP-20080528-174554-263.DLL
C:\windows\system32\JTYAVUDT.INI

il file "F:\PROGRAMMI\CONVERTX\3\CONVERTXTODVDV3.0.0.7 MULTILINGUAL PATCH-TRUE.EXE" scansionalo su www.virutotal.com


drWeb:

Codice:

C:\Documents and Settings\utente\Desktop\SmitfraudFix\Process.exe - spostato
C:\Documents and Settings\utente\Desktop\SmitfraudFix\restart.exe - spostato

hijackthis:
riesegui hijackthis optando per la funzione "Scan Only", a fine scansione il pulsante in fondo a sinistra si chiamerà "Fix Checked", quindi selezionare le voci desiderate e premere questo tasto.
Fixa:

Codice:

O4 - HKLM\..\Run: [RemoteControl] F:\Programmi\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] F:\Programmi\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "F:\Programmi\Nero\Nero 8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [2c1b0dc0] rundll32.exe "C:\WINDOWS\system32\eqpllilr.dll",b
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

poi fai un nuovo log con HiJackThis e SySinspectator e prevxCSI

[xcdegasp]

Quote:

Originariamente inviato da wjmat

degasp lo mandiamo su vundo?

prima vorrei fargli una pulita a manuale poi lo portiamo nella saletta operatoria

[xcdegasp]

avevo dimenticato di scrivere le cose da fixare con hijackthis

[lucabondi]

Prima di proseguire... Avenger fallisce su alcuni file perché dice che i file non esistono...

Quote:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\windows\system32\ssqPjjHw.DLL" deleted successfully.

Error: file "C:\windows\system32\JjJYPFUO.dll" not found!
Deletion of file "C:\windows\system32\JjJYPFUO.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\windows\system32\eqpIIiIr.dll" not found!
Deletion of file "C:\windows\system32\eqpIIiIr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\windows\system32\tduvaytj.dll" deleted successfully.
File "C:\windows\system32\ubjanhou.dll" deleted successfully.
File "C:\DOCUMENTS AND SETTINGS\UTENTE\DESKTOP\BACKUPS\BACKUP-20080528-174554-263.DLL" deleted successfully.
File "C:\windows\system32\JTYAVUDT.INI" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Eppure sono lì... anche se per entrare in C: devo fare un giro lungo visto che mi è sparito da risorse del computer.

[xcdegasp]

prosegui con i fix da eseguire tramite hijackthis

[lucabondi]

O4 - HKLM\..\Run: [2c1b0dc0] rundll32.exe "C:\WINDOWS\system32\eqpllilr.dll",b

Questa linea al nuovo controllo è stata sostituita da una identica, ma con un nome file diverso... in ogni caso io l'ho fixata... ma questo file ora è apparso su Prevx...

Hijack: http://www.fileqube.com/shared/rpqQjmi32933
SYS: http://www.fileqube.com/shared/pMafJsw32932
Prevx: http://www.fileqube.com/shared/rpqQjmi32933