Aiuto!! PC parecchio infetto!!

[Sgt. Bozzer]

Ciao a tutti,
Ho un problema con un PC in ufficio..

Ho installato Antivir.. ma questo ogni 3/4 secondi mi trova questi trojan:

TR/Crypt.XPACK.gen

TR/Vundo.gen

Allora gli faccio fare la scansione.. e mi dice che li eliminerà dopo il riavvio..

Ma evidentemente questo non succede.. perchè al riavvio.. ricominciano le segnalazioni..

Ho provato a fare la scansione sia in modalità normale che in modalità provvisoria..

Inoltre.. e qua c'è da ridere.. ho provato a cercare su google HiJackThis.. ma appena entro nel sito per scaricarlo.. Il Browser si chiude..
Allora furbescamente.... lo scarico da un altro Pc.. lo metto su un floppy.. ma quando vado ad aprirlo sul pc infetto.. bhe mi si chiude tutto e ritorna sul desktop..


Aspetto il vostro aiuto..

[Gle89]

Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).


Entra in modalità provvisoria e fai girare VUNDOFIX: clicca qui per il download

e alla fine dicci se ha rimosso Vundo!

[Sgt. Bozzer]

Quote:

Originariamente inviato da Gle89

Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).


Entra in modalità provvisoria e fai girare VUNDOFIX: clicca qui per il download

e alla fine dicci se ha rimosso Vundo!

ok domani provo.. grazie..
la cosa di hijackthis è causata da vundo?

[Gle89]

Di solito è dovuto dal virus Gromozon quindi scaricati anche questo tool per rimuovere clicca qui per il download

Fai tutto da modalità provvisoria.

Inoltre prova a rinomiare il file hijackthis.exe in ---> ciao.exe cosi dovrebbe andare.

facci sapere...

[Sgt. Bozzer]

grazie mille.. domani ti faccio sapere..

[juninho85]

...serve anche il log di findawf,potrebbe trattarsi del fetecchia obfuscated

[Sgt. Bozzer]

Quote:

Originariamente inviato da juninho85

...serve anche il log di findawf,potrebbe trattarsi del fetecchia obfuscated

ok.. scarico anche questo programmino..

[BEY0ND]

pseudo ot
sbaglio o c'è una bella ondata di utenti infettati dal gromozon,mentre bagle è in calo...
fine pseudo ot

[xcdegasp]

e il futuro non è di certo roseo

[Gle89]

Ricapitolando, Sgt. Bozzer, abbiamo bisogno che tu faccia le seguenti cose:

• eseguire VUNDOFIX
• eseguire il tool di rimozione per il GROMOZON
• allega un log di HJT (secondo le regole di sezione)
• log di FINDAWF: clicca qui per il download
  Tool per la rilevazione della directory BAK e per la rimozione del Trojan.win32.Obfuscated.dr

Ti ricordiamo che tutti i log vanno allegati tramite la funzione del forum "gestisci allegati" oppure hostati su www.zshare.com, oppure messi fra i tag CODE

[Sgt. Bozzer]

Quote:

Originariamente inviato da Gle89

Ricapitolando, Sgt. Bozzer, abbiamo bisogno che tu faccia le seguenti cose:

• eseguire VUNDOFIX
• eseguire il tool di rimozione per il GROMOZON
• allega un log di HJT (secondo le regole di sezione)
• log di FINDAWF: clicca qui per il download
  Tool per la rilevazione della directory BAK e per la rimozione del Trojan.win32.Obfuscated.dr

Ti ricordiamo che tutti i log vanno allegati tramite la funzione del forum "gestisci allegati" oppure hostati su www.zshare.com, oppure messi fra i tag CODE

Ciao,
Allora oggi pomeriggio ho guardato un pò il pc infetto..

GROMOZON non era presente.. o almeno il tool per eliminarlo non lo rilevava..
Hijackthis non partiva per colpa di una altro trojan commuffato nel programma nokiaservice.exe

ho killato il programma infame, ho fatto lo scan.. e ho fixato tutte le voci sospette..

A quel punto mi rimanevano solo 2voce.. che hijackthis non riusciva ad eliminare..

Erano le 2 voci relative al Vundo..
Mi spiego meglio..
Antivir praticamente mi rilevava il VUNDO in un file ddyudd.dll
Mentre il tool per rimuoverlo me lo rilevava in un altro file .dll..

A questo punto ho fatto eliminare il vundo dal tool apposito.. e al riavvio la ddl sospetta era scomparsa anche dal log di hijackthis..

Però Antivir continua a rilevarmi il trojan nel sistema.. e l'altra ddl è ancora presente nel log di hijackthis.. e non riesco a rimuovarla in nessun modo.. e il tool per il vundo non mi rileva più il trojan...

L'altro programma invece non mi funziona.. schiaccio un tasto a caso.. poi 1 e do l'invio.. leggendo nella schermata blu.. c'è una serie di "impossibile..."
poi si chiude in automatico e mi apre un file di testo vuoto..

[Gle89]

1) ti era stato richiesto di postare il log di HJT, magari se prima di fixare facevi presente anche a noi il log, stavamo più tranquilli. Per favore allega il log di HJT

2)per Findawf, prova a scaricarlo di nuovo a eseguirlo, premi invio, aspetta che la schermata nera tipo dos, finisca e ti apparirà un file .txt del blocconote, allega pure questo.

[Sgt. Bozzer]

In allegato c'è il log di HJT.. attuale.. dopo i vari fix..

G:\cIAOs.exe ---> è HJT

O2 - BHO: (no name) - {17AF5B01-D0CA-4E51-8F34-BBE4E143222E} - C:\WINDOWS\system32\ddcyy.dll ---> è VUNDO secondo antivir.. l'unica voce che non sono riuscito ad eliminare..


Per l'altro programma.. riprovo domani..

[Gle89]

intanto dimmi un po se conosci questo programma e se lo hai installato tu C:\Programmi\BBwServer\XYNTService.exe

inoltre vai su VIRUSTOTAL (da google), e sfoglia cercando questo percorso C:\WINDOWS\system32\ddcyy.dll

FAcci sapere se è infetto o meno.

[Sgt. Bozzer]

Quote:

Originariamente inviato da Gle89

intanto dimmi un po se conosci questo programma e se lo hai installato tu C:\Programmi\BBwServer\XYNTService.exe

inoltre vai su VIRUSTOTAL (da google), e sfoglia cercando questo percorso C:\WINDOWS\system32\ddcyy.dll

FAcci sapere se è infetto o meno.

domani controllo tutto...

Grazie!

[juninho85]

per vundo devi eseguire il vundofix da modalità provvisoria,nè antivir nè hjt possono far nulla se non rilevarlo

[Sgt. Bozzer]

Quote:

Originariamente inviato da juninho85

per vundo devi eseguire il vundofix da modalità provvisoria,nè antivir nè hjt possono far nulla se non rilevarlo

ho fatto partire il tool da provvisoria.. il problema è che il tool mi individua il trojan in un file.. e ha tolto quel file.. mentre antivir mi rileva il trojan in un altro file.. anche dopo aver rimosso il trojan con il tool..

[Chill-Out]

Scarica ed esegui i seguenti tool:

VundoFix
Download: http://www.atribune.org/public-beta/VundoFix.exe

FixVundo
Download: http://securityresponse.symantec.com...r/FixVundo.exe

VirtumundoBeGone
Download: http://secured2k.home.comcast.net/to...undoBeGone.exe
N.B: da eseguire in modalità provvisoria F8