virus??

[camus11]

Ciao.
Vorrei kiedere il vostro parere su una cosa che mi sta capitando da quando ho formattato il pc e reinstallato win XP, cioè da un paio di giorni.
Premetto che come antivirus uso ESET NOD32 e ho installato anke Spyware Doctor.
Il problema è ke, aprendo qualsiasi applicazione, quindi file .EXE, appare l'avviso che potete vedere nell'immagine qui; la qualità fa un pò skifo, ma in pratica mi dice sempre ke explorer.exe cerca di accedere al file c:\windows\system32\xxyvtrq.dll, minaccia: Troyan\Virtumonde, riskio:Elevato.
Devo preoccuparmi?
O mi conviene disinstallare Spyware Doctor?



Scusate l'immagine gigantesca!!

[Gle89]

posta subito un log d hijackthis. inolte l IMMAGINE NON SI VEDE. nn hai messo il link

[camus11]

Quote:

Originariamente inviato da Gle89

posta subito un log d hijackthis. inolte l IMMAGINE NON SI VEDE. nn hai messo il link

Si mi sono dimenticato di rimettere il link copiando il testo da un'altra sezione del forum che nn era quella giusta

[wizard1993]

hai provato ad usare il tool di rimozione indicato?
vai in modalità provvisoria e fai una scan completa con spyware doctor

[camus11]

Quote:

Originariamente inviato da wizard1993

hai provato ad usare il tool di rimozione indicato?
vai in modalità provvisoria e fai una scan completa con spyware doctor

Quale tool di rimozione? indicato da cosa?

[wizard1993]

Quote:

Originariamente inviato da camus11

Quale tool di rimozione? indicato da cosa?

niente ho fatto confusione con un altro, fai quello che ho scritto sotto

[Gle89]

Il log è pulito. prova a far scansionare da VIRUSTOTAL quel percorso che ti dice il messaggio nella tua immagine quello C:\Windows ec...

[camus11]

Ho fatto la scansione con Spyware Doctor come ha detto Wizard1993 ed ho risolto, ha trovato il virus che mi ha infettato 5 files.

Grazie cmq anke a Gle89

Ma com'è possibile che entrino virus?? Devo forse usare qualke altro antivirus?

[camus11]

E ke cavolo!
Ho riavviato il pc in modalità normale e tutto funzionava perfettamente,niente più avvisi di virus,poi dopo un pò mi è arrivato l'avviso ke il virus è rientrato!!
e con la scansione nn in modalità provvisoria nn lo può eliminare!

[camus11]

Ho fatto la scansione su VIRUSTOTAL (bellissimo servizio!!) e 18 su 32 hanno riconosciuto il file come virus nello stesso modo di Spyware Doctor.

Perchè ora anke il nod32 mi rileva tentativi di intrusione da parte di cavalli di troia mentre prima di formattare nn avevo mai avuto di qst problemi?

Tanto x info, se può servirvi, ho una connessione ADSL con Router Pirelli (porte aperte solo per alcuni programmi) e Firewall di Windows attivato.

[Gle89]

Allora cancella il file che VIRUSTOTAL dice che è infetto... Strano che HJT non rilevi i trojan se ce l hai.

Se non l hai fatta scarica A-SQUARED dalla mia firma e fai una scansione in modalità DEEP SCAN.

Il firewall di XP non fa nulla!

[wizard1993]

metti ghostwall; basta e avanza per parare in entrata; altrimenti metti comodo

[camus11]

Quote:

Originariamente inviato da Gle89

Allora cancella il file che VIRUSTOTAL dice che è infetto... Strano che HJT non rilevi i trojan se ce l hai.

Se non l hai fatta scarica A-SQUARED dalla mia firma e fai una scansione in modalità DEEP SCAN.

Il firewall di XP non fa nulla!

Ma nn riskio di cancellare un file vitale x il sistema??

[wizard1993]

no

[camus11]

non posso eliminare manualmente il file xkè mi dice ke è in uso da un'altra applicazione.
Ora riavvio in modalità provvisoria e lo faccio cancellare da Spyware Doctor.
Per mettere uno di quei programmi ke mi avete consigliato devo togliere SpyDoct ? Con il NOD nn ci sono conflitti vero?

[camus11]

Quote:

Originariamente inviato da camus11

non posso eliminare manualmente il file xkè mi dice ke è in uso da un'altra applicazione.
Ora riavvio in modalità provvisoria e lo faccio cancellare da Spyware Doctor.
Per mettere uno di quei programmi ke mi avete consigliato devo togliere SpyDoct ? Con il NOD nn ci sono conflitti vero?

Ho acceso in modalità provv e nn c'era più il file,evidentemente l'ha eliminato dopo il riavvio....

E' sempre valida la domanda di prima

[camus11]

rifatto scansione, ora c'è infetto dallo stesso virus un file in C:\system volume information , ma qui l'ha cancellato spyware doctor snz problemi

[lancetta]

Quote:

Originariamente inviato da camus11

rifatto scansione, ora c'è infetto dallo stesso virus un file in C:\system volume information , ma qui l'ha cancellato spyware doctor snz problemi

Ciao segui attentamente: disattiva il ripristino config di sistema se non sai come fare vedi QUI link

scaricati Questo VUNDOFIX
sul desktop lancialo metti la spunta su "Run VundoFix as a task" ti darà un messaggio che vundofix si chiuderà e riaprirà in un minuto o meno, quando il programma si riaprirà clicca OK clicca su "Scan for Vundo" quando ha finito di fare la scansione clicca su "Remove vundo" clicca YES alla domanda se vuoi rimuovere i files,quindi inizierà a rimuovere le dll del vundo ,quando ha finito ti dirà che dovrà riavviare il pc clicca OK.
accendi il pc e posta il log che troverai in C:\vundofix.txt....

FixVundo http://securityresponse.symantec.com...r/FixVundo.exe

Scarica VirtumundoBeGone http://secured2k.home.comcast.net/to...undoBeGone.exe
(questo tool va avviato in modalità provvisoria, F8 all'avvio del computer)

e posta un log di hijackthis con più applicazioni possibili chiuse(emule,bit torrent,word,wmplayer ecc..)scaricalo da QUI LINK è stand alone (senza installazione)mettilo in una sua cartella dedicata, lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati, copi ed incolli nel prossimo post .

[camus11]

Quote:

Originariamente inviato da lancetta

Ciao segui attentamente: disattiva il ripristino config di sistema se non sai come fare vedi QUI link

scaricati Questo VUNDOFIX
sul desktop lancialo metti la spunta su "Run VundoFix as a task" ti darà un messaggio che vundofix si chiuderà e riaprirà in un minuto o meno, quando il programma si riaprirà clicca OK clicca su "Scan for Vundo" quando ha finito di fare la scansione clicca su "Remove vundo" clicca YES alla domanda se vuoi rimuovere i files,quindi inizierà a rimuovere le dll del vundo ,quando ha finito ti dirà che dovrà riavviare il pc clicca OK.
accendi il pc e posta il log che troverai in C:\vundofix.txt....

FixVundo http://securityresponse.symantec.com...r/FixVundo.exe

Scarica VirtumundoBeGone http://secured2k.home.comcast.net/to...undoBeGone.exe
(questo tool va avviato in modalità provvisoria, F8 all'avvio del computer)

e posta un log di hijackthis con più applicazioni possibili chiuse(emule,bit torrent,word,wmplayer ecc..)scaricalo da QUI LINK è stand alone (senza installazione)mettilo in una sua cartella dedicata, lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati, copi ed incolli nel prossimo post .

Il virus per ora l'ho debellato come scritto nel post di prima, però grazie x la guida, ho già scaricato i programmi in vista di un uso futuro.

Ora ho attivato GhostWall, ho fatto una scansione profonda con Spyware Doctor e mi ha trovato 1 Trojan-downloader.Tiny.ID e 1 spyware.known.bad sites ............
Ora mentre navigo con Firefox ogni tanto mi si aprono delle pagine di IE a svariati siti, oppure firefox cerca di aprire delle nuove skede però annulla la connessione al sito.
Queste infezioni riesco a toglierle con spyware doctor, ma come faccio x nn farle entrare????????

[camus11]

il virtumonde è tornato!!
Per prima cosa ho disattivato il ripristino config di sist;
scansione con Spyware Doctor: trovato ed eliminato il virtumonde;
scansione con VundoFix: no file infected were found;
scansione con fixvundo: ho messo allegato
scansione con VirtumundoBeGone: altro allegato

LOG di hijackthis: allegato

intanto questa è un avviso del NOD32 ke mi è arrivato mentre non stavo navigando....http://img483.imageshack.us/my.php?i...ditroiapk2.jpg

E questo è l'indirizzo di una pagina ke IE ha tentato di aprire appena riavviato il pc dopo la scansione con VirtumundoBeGone
http://89.188.16.10/go/?cmp=nm_ff_ron&uid=e41f12a4668311dc8bdbf67908fdffff&nid=ku&guid=edfedb409efd423abaaf469e1e7d9ac8&url=http:%2F%2Fwww.libero.it%2F&affid=67908&lid=http>