Infetto da Virtumonde....Impossibile rimuoverlo

[e-noid]

Sto cercando di rimuovere questo dannatissimo virus (Virtumonde), dal Pc della mia ragazza...Ho provato a levarlo con Nod32, Ad-aware 2007, Spybot Search and Destroy,Vundofix,VirtumundoBeGone, nn c'è modo....

Questo il log di Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 20.42.37, on 31/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\svchost.exe

Mi fa comparire questa come pagina iniziale:


E dopo un po che sn collegato compaiono questi avvisi:


E sulla barra compare quel Finto punto esclamativo giallo:



Che si può fare????

[Chill-Out]

La procedura indicata è stata eseguita?
http://www.hwupgrade.it/forum/showthread.php?t=1589984

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Ripristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/83...b540/download/

Prevx CSI Scanner
Scarica Prevx CSI Scanner è un tool che non necessita di installazione, eseguilo, metti il segno di spunta su I accept the terms an conditions clicca su Scan Now allega il log utilizzando la funzione Gestisci Allegati o linkandolo su http://www.zshare.com/
Download: http://info.prevx.com/download.asp?grab=prevxcsi

HijackThis
Scarica HijackThis è un tool che non necessita di installazione, mettilo all'interno di una cartella dedicata che chiamerai per praticità HJT, eseguilo, clicca su Do a system scan and save a log file allega il log utilizzando la funzione Gestisci Allegati o linkandolo su http://www.zshare.com/
Download: http://www.trendsecure.com/portal/en...HiJackThis.exe

Inizia con questa procedura, successivamente dovrai scaricare altri tool, il log di HJT che hai postato è incompleto, perchè pensi di essere infetto da Virtumonde?

[e-noid]

Hai ragione stavo usando una vecchia versione di hijack il log è il seguente:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.14.10, on 31/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\windows\system32\services.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\amstreamg.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\Programmi\uTorrent\uTorrent.exe
C:\Documents and Settings\Chiara\Desktop\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht
R3 - Default URLSearchHook is missing
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKCU\..\Run: [SolelunaAntiVirus] C:\Programmi\SolelunaAntiVirus\pgs.exe /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2E5F83B-4C94-44CD-A6A2-F49DA560ECA5}: NameServer = 85.37.17.4 85.38.28.70
O20 - Winlogon Notify: winbjv32 - C:\WINDOWS\SYSTEM32\winbjv32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Servizi di crittografia CryptSvcUMWdf (CryptSvcUMWdf) - Unknown owner - C:\WINDOWS\system32\1042j.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: MS Software Shadow Copy Provider SwPrvBITS (SwPrvBITS) - Unknown owner - C:\WINDOWS\system32\L8E4A.tmp.exe (file missing)
O23 - Service: WebClient WebClientNla (WebClientNla) - Unknown owner - C:\WINDOWS\system32\amstreamg.exe

--
End of file - 3049 bytes

Penso che il Pc sia infetto perchè compaiono tutti quei banner e avvisi illusori che ho linkato precedentemente

[Chill-Out]

Qui c'è più di un problema, continua con la procedura che ti ho indicato nel post precedente, da Disattiva Ripristino configurazione sistema in poi, ricorda di allegare i log con la funzione Gestisci allegati o linkali su http://www.zshare.com/
Ciao

[Bugs Bunny]

O23 - Service: WebClient WebClientNla (WebClientNla) - Unknown owner - C:\WINDOWS\system32\amstreamg.exe

O23 - Service: MS Software Shadow Copy Provider SwPrvBITS (SwPrvBITS) - Unknown owner - C:\WINDOWS\system32\L8E4A.tmp.exe (file missing)

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe

O20 - Winlogon Notify: winbjv32 - C:\WINDOWS\SYSTEM32\winbjv32.dll

O4 - HKCU\..\Run: [SolelunaAntiVirus] C:\Programmi\SolelunaAntiVirus\pgs.exe /min

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

C:\WINDOWS\system32\amstreamg.exe

R3 - Default URLSearchHook is missing

[lancetta]

Quote:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht
O23 - Service: Servizi di crittografia CryptSvcUMWdf (CryptSvcUMWdf) - Unknown owner - C:\WINDOWS\system32\1042j.exe

da fixare anche questi...
oltre la procedura che ti è stata indicata dal buon Chill...
scaricati Questo VUNDOFIX
sul desktop lancialo metti la spunta su "Run VundoFix as a task" ti darà un messaggio che vundofix si chiuderà e riaprirà in un minuto o meno, quando il programma si riaprirà clicca OK clicca su "Scan for Vundo" quando ha finito di fare la scansione clicca su "Remove vundo" clicca YES alla domanda se vuoi rimuovere i files,quindi inizierà a rimuovere le dll del vundo ,quando ha finito ti dirà che dovrà riavviare il pc clicca OK.
accendi il pc e posta il log che troverai in C:\vundofix.txt....
FixVundo http://securityresponse.symantec.com...r/FixVundo.exe
Scarica VirtumundoBeGone http://secured2k.home.comcast.net/to...undoBeGone.exe
(questo tool va avviato in modalità provvisoria, F8 all'avvio del computer)

scarica rogueremover dezippa, installa, e fallo scansionare http://www.malwarebytes.org/rogueremover.php

facci sapere...

[Riverside]

Rimando, tutti, al nuovo regolamento di sezione.
Ciao socio, Lancetta

[lancetta]

Quote:

Originariamente inviato da Riverside

Rimando, tutti, al nuovo regolamento di sezione.
Ciao socio, Lancetta

ciao socissimo

@e-noid da regolamento devi rieditare il log hijackthis usando la gestione allegati .....
Mi scuso per la involontaria violazione delle regole col mod Degasp

[e-noid]

Mi scuso con tutti, per la involontaria violazione delle regole...come faccio a rieditare il log di Ccleaner con la gestione allegati? Mi fa uppare solo file della dimensione di 24 k....ho provato ma i vari log sn almeno di 600 k....

Volevo anche ringrziarvi per la dipsonibilità...intanto cercando di togliere sto virus e scaricando tutti i programmi che servono andando a spulciare il regolamento e i vari post ho levato un sacco di schifo dal pc...

Per quanto il virus rimane...
Gli avvisi sono sempre lì e c'è anche il finto avviso di windows sulla barra delle applicazioni....

Cmq io ho seguito tutti i vostri consigli:

1) Ho disattivato il ripristino configurazione sistema (che ancora tutt'ora è disattivato, visto che alla fine c'è scritto che deve rimanere disattivato)
2) Ho scaricato e installato CCleaner, che ha cancellato la bellezza di 1.348,0MB
3) Ho scaricato Prevx CSI Scanner, che rileva il pc come Clean
4) Ho Fixato le voci che mi erano state riportate da Bugs Bunny e da Lancetta (grazie ancora), con HijackThis, e dopo questo ho rifatto uno scan... (hijackthis1.txt)
5) Ho scaricato anche VUNDOFIX ma nn mi dà possibilità di mettere la spunta su "Run VundoFix as a task". Poi ho fatto "Scan for Vundo" non trova nulla, ho anche provato a clicckare "Remove vundo", senza nessun risultato.
6) Ho provato anche FixVundo e VirtumundoBeGone, in modalità provvisoria, ma nn rimuovono nulla
7) La scansione con rogueremover mi da come esito Clean

Come faccio a fermare questi dannati avvisi?
Che devo fare ci sn 2 voci che nn vengono fixate nemmeno cn Hijack, mi sembra....

O23 - Service: WebClient WebClientNla (WebClientNla) - Unknown owner -
C:\WINDOWS\system32\amstreamg.exe

O23 - Service: Servizi di crittografia CryptSvcUMWdf (CryptSvcUMWdf) - Unknown owner - C:\WINDOWS\system32\1042j.exe

P.s Spero di aver allegato bene il file con la gestione allegati

[Chill-Out]

Se leggi bene non ti ho chiesto di allegare il log di CCleaner, ma quello di PrevX CSI, a parte questa precisazione prosegui cosi':

SmitFraudFix decomprimilo sul desktop in una cartella che chiamera per praticità SFF
Donwload: http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix avvia smitfraudfix.cmd
Seleziona opzione #2 - Clean cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio.
Rispondi Sì (Y) ad eventuali altre domande
eseguita tutta la scansione dopo il riavvio del pc allega il log

a-squared Free
Scarica, installa ed aggiorna a-squared Free clicca su Scansiona PC ed esegui una Deep Scan, rimuovi gli eventuali malware trovati
Download: http://download5.emsisoft.com/a2FreeSetup.exe

Scarica SysClean da qui: http://it.trendmicro-europe.com/file...c/sysclean.com per praticità salvalo sul DeskTop in un cartella che chiamerai SysClean
Scarica le definizioni dei virus da qui: http://it.trendmicro-europe.com/ente...rt/pattern.php scompatta all'interno della cartella creata il file compresso contenente le definizioni
Riavvia il PC in modalità provvisoria F8, esegui SysClean, allega il log

al termine allega un log di HJT

[lancetta]

i log sono troppo pesanti per la gestione allegati hostali su un sito tipo http://www.zshare.com/

[e-noid]

Allora di seguito elenco i log da te richiesti:

PrevX CSI: prevxcsilog.log - 0.26MB

SmitFraudFix: smitfraudfixrapport.txt - 0.00MB

SysClean: syscleanrapport.txt - 0.00MB

HJT: hijackthis_.txt

Niente da fare i banner sono ancora qui....

con a-squared ho camcellato tutto tranne il file reboot di SmitFraudFix che veniva riconosciuto a bassa pericolosità

[Chill-Out]

Esegui HijackThis, clicca su Do a system scan only dopodichè metti il segno di spunta nella casella bianca a sx di fianco alle voci sottoindicate:
C:\WINDOWS\system32\amstreamg.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht
O20 - Winlogon Notify: winbjv32 - C:\WINDOWS\SYSTEM32\winbjv32.dll
O23 - Service: Servizi di crittografia CryptSvcUMWdf (CryptSvcUMWdf) - Unknown owner - C:\WINDOWS\system32\1042j.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe
O23 - Service: MS Software Shadow Copy Provider SwPrvBITS (SwPrvBITS) - Unknown owner - C:\WINDOWS\system32\L8E4A.tmp.exe (file missing)
O23 - Service: WebClient WebClientNla (WebClientNla) - Unknown owner - C:\WINDOWS\system32\amstreamg.exe
Clicca su Fix checked, e allega nuovo log di HJT
Ciao

[e-noid]

Fatto....
Cmq certe stringhe nn le fixxa....

Ti loggo il nuovo il nuovo log:hijackthisLog.txt

Grazie di tutto Chill.......

[Bugs Bunny]

PRIMA DI FARE QUESTO DEVI DISATTIVARE RIPRISTINO CONFIGURAZIONE DI SISTEMA


apri avenger,seleziona input script manually,clicca sulla lente di ingrandimento e lì copia:

Quote:

Files to delete:
C:\WINDOWS\system32\amstreamg.exe
c:\windows\system32\mssrv32.exe
C:\WINDOWS\system32\L8E4A.tmp.exe
C:\WINDOWS\system32\1042j.exe
C:\WINDOWS\SYSTEM32\winbjv32.dll
C:\WINDOWS\system32\spywarewarning.mht

poi clicca su done,poi sul semaforo,poi dai l'ok 2 volte.ti si riavvierà il pc e al riavvio ti si aprirà un file di testo che dovrebbe essere c:\avenger.txt
allegalo qui

fai una scansione con gmer e vedi se ti riporta righe in rosso

[Chill-Out]

Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che ti indico cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da allegare per il controllo
Download: http://swandog46.geekstogo.com/avenger.zip

Files to delete:
C:\WINDOWS\system32\amstreamg.exe
C:\WINDOWS\system32\1042j.exe
c:\windows\system32\mssrv32.exe
C:\WINDOWS\system32\L8E4A.tmp.exe
C:\WINDOWS\system32\amstreamg.exe

allega in log di avenger + il nuovo log di HJT

Edit: Bugs ci siamo sovrapposti
Gmer lo scarichi da qui http://www.gmer.net/gmer.zip

[e-noid]

Ok allora ho fatto tutto...
Avenger alcuni file è riuscito a cancellarli altri no.... (avenger.txt)
HJT ancora le riporta le voci sospette ma ora dice file missing, io nn ho provato a fixarle perchè volevo sentire prima il vostro responso:hijackthis_.txt
Nessuna riga in rosso con Gmer....

Ho ancora la pagina maledetta quando apro ,ma ancora nn è comparso il bannerino maledetto...
Allora fixo?

[Chill-Out]

Rifai pulizia con CCleaner poi rilancia Avenger con lo script sottoindicato


Files to delete:
C:\WINDOWS\system32\spywarewarning.mht
C:\WINDOWS\SYSTEM32\winbjv32.dll
C:\WINDOWS\system32\1042j.exe
c:\windows\system32\mssrv32.exe
C:\WINDOWS\system32\L8E4A.tmp.exe
C:\WINDOWS\system32\amstreamg.exe

allega log di Avenger + nuovo log di HJT

[e-noid]

Fatto, comunque Avenger alcuni file dice che nn li trova....forse perchè il pc ha 3 utenti e dovrei provare cn tutti e tre?

Log:

Avenger - avenger.txt
HJT - hijackthis_.txt

[juninho85]

sbaglio o non utilizzi firewall? che dire poi sull'antivirus del collettivo soleluna...