trojan vundo.h

lupaio · 06-05-2005, 17:16

Buonasera a tutti
ho riscontrato un problema con un trojan che non riesco in alcun modo ad eliminare.
Effettuando una scansione con pc-cillin ho trovato il trojan vundo.h che lo stesso antivirus comunque non riesce ad eliminare.
Consultando il sito internet dell antivirus e cercando una soluzione al problema ho trovato la risposta in una pagina dove viene consigliato agli utenti di eliminare manualmente il file infetto.
Usando il prompt d ms-dos sono andato nella directory indicata al momento della segnalazione del trojan ma nn trovo il file infetto.
Sapete consigliarmi come eliminare il problema?
p.s.: se vi puo interessare la directory ed il file in questione sono c:\windows\msagent\olems.dll
Grazie mille.

3dsst · 06-05-2005, 17:20

Quote:

Originariamente inviato da lupaio

Buonasera a tutti
ho riscontrato un problema con un trojan che non riesco in alcun modo ad eliminare.
Effettuando una scansione con pc-cillin ho trovato il trojan vundo.h che lo stesso antivirus comunque non riesce ad eliminare.
Consultando il sito internet dell antivirus e cercando una soluzione al problema ho trovato la risposta in una pagina dove viene consigliato agli utenti di eliminare manualmente il file infetto.
Usando il prompt d ms-dos sono andato nella directory indicata al momento della segnalazione del trojan ma nn trovo il file infetto.
Sapete consigliarmi come eliminare il problema?
p.s.: se vi puo interessare la directory ed il file in questione sono c:\windows\msagent\olems.dll
Grazie mille.

posta il logo di hijackthis

lupaio · 06-05-2005, 21:19

Sono spiacente x il ritardo.
ecco la schermata risultante la scansione d hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 22.03.06, on 06/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Trend Micro\Internet Security 12\pccguide.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\MemoRex\MemoRex.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\UtenteXp\IMPOST~1\Temp\Rar$EX00.384\HijackThis.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TSC.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corriere.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\msagent\olems.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Programmi\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downl...ts/msvcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downl...ts/msvcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/english/c...dio/ChkDVD.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/31859f91b351603...dxIE601_it.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/de.../GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O20 - Winlogon Notify: olems - C:\WINDOWS\msagent\olems.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Unknown owner - C:\Programmi\Ahead\InCD\InCDsrv.exe (file missing)
O23 - Service: NVSvc - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

.Kougaiji. · 06-05-2005, 21:21

O9 - Extra button: (no name) - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll

O16 - DPF: msvcp71 - http://download.pestpatrol.com/Down...nts/msvcp71.cab

O16 - DPF: msvcr71 - http://download.pestpatrol.com/Down...nts/msvcr71.cab

O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/english/...udio/ChkDVD.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/31859f91b35160...RdxIE601_it.cab

questo e' sospetto rosso:
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab

questo non lo so:
O20 - Winlogon Notify: olems - C:\WINDOWS\msagent\olems.dll

lupaio · 06-05-2005, 21:39

pc-cillin mi segnala come file infetto questo (con relativa chiave):
{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\msagent\olems.dll
ho seguito le istruzioni che ho trovato ma non è cambiato nulla.
Cosa posso fare?

bluepix · 06-05-2005, 21:47

Quote:

Originariamente inviato da .Kougaiji.

O9 - Extra button: (no name) - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll

O16 - DPF: msvcp71 - http://download.pestpatrol.com/Down...nts/msvcp71.cab

O16 - DPF: msvcr71 - http://download.pestpatrol.com/Down...nts/msvcr71.cab

O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/english/...udio/ChkDVD.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/31859f91b35160...RdxIE601_it.cab

questo e' sospetto rosso:
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab

questo non lo so:
O20 - Winlogon Notify: olems - C:\WINDOWS\msagent\olems.dll

oltre a questi elimino:

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\msagent\olems.dll
O20 - Winlogon Notify: olems - C:\WINDOWS\msagent\olems.dll
O23 - Service: InCD Helper (read only) (InCDsrvR) - Unknown owner - C:\Programmi\Ahead\InCD\InCDsrv.exe (file missing)

lupaio · 06-05-2005, 21:51

non esistono sw che facciano pulizia totale?

bluepix · 06-05-2005, 23:00

Ci sono per i virus più diffusi.

http://securityresponse.symantec.com...ools.list.html
http://us.mcafee.com/virusInfo/default.asp?id=vrt
http://www.f-secure.com/download-purchase/tools.shtml
http://www.kaspersky.com/removaltools
http://virusall.com/downrem.shtml

Però ogni giorno nascono varianti di quelli noti, che, pur avendo la stessa struttura, cambiano dei particolari nel nome dei file e nel posizionamento su disco che, di fatto, rendono impossibile creare un "removal tool" che faccia la disinfestazione totale.
Ecco perchè bisogna "arrangiarsi" con Hijackthis che, per me, è lo strumento più potente che sia stato inventato per combattere le schifezze.
Necessita, per usarlo, abitudine alla lettura, tanta pazienza e una grande fiducia(leggi coraggio) nel mettere in pratica le correzioni (specialmente se su un PC di un altro).

3dsst · 06-05-2005, 23:43

Quote:

Originariamente inviato da bluepix

Ci sono per i virus più diffusi.

http://securityresponse.symantec.com...ools.list.html
http://us.mcafee.com/virusInfo/default.asp?id=vrt
http://www.f-secure.com/download-purchase/tools.shtml
http://www.kaspersky.com/removaltools
http://virusall.com/downrem.shtml

.

il problema è che ogni antivirus da una sua definizione al nome del virus infatti lo stesso file puo avere un nome diverso(a parte i più famosi e dannosi) dipende da che software lo rileva indi e difficile andare a scovare l'utility giusta sui siti dei produttori di antivir...
Ecco perche Hijackthis e indispensabile

MrOZ · 07-05-2005, 04:39

ciao, puoi mandarmi al mio indirizzo [email protected] qualche file infetto da vundo oppure il file olems.dll se lo trovi???

grazie

lupaio · 07-05-2005, 11:31

Quote:

Originariamente inviato da MrOZ

ciao, puoi mandarmi al mio indirizzo [email protected] qualche file infetto da vundo oppure il file olems.dll se lo trovi???

grazie

Purtroppo, come dicevo prima, pc-cillin lo rileva in C:\WINDOWS\msagent\olems.dll ma effettuando la ricerca (anche con il prompt) non sembra esistere.

3dsst · 07-05-2005, 12:10

Quote:

Originariamente inviato da lupaio

Purtroppo, come dicevo prima, pc-cillin lo rileva in C:\WINDOWS\msagent\olems.dll ma effettuando la ricerca (anche con il prompt) non sembra esistere.

Hai provato a impostare nelle opzioni visualizza i file nascosti

lupaio · 07-05-2005, 14:02

Quote:

Originariamente inviato da 3dsst

Hai provato a impostare nelle opzioni visualizza i file nascosti

Niente da fare... neanche così.
credo sia arrivata l'ora del vecchio Format C:

Che ne dite?

3dsst · 07-05-2005, 17:10

Quote:

Originariamente inviato da lupaio

Niente da fare... neanche così.
credo sia arrivata l'ora del vecchio Format C:

Che ne dite?

no prima leva il tuo pccillin prova con un altro antivirus e m,agari te le riesce a disinfettare prova con kaspersky

bluepix · 07-05-2005, 17:54

Non ho capito se hai fatto o no le fix che ti abbiamo segnalato.

Se non le hai fatte, scommetto che è per questo che trovi sempre il file che pc-cillin ti elimina(e poi tu non trovi più).
La prima volta che fai il reboot(o parte un processo a tempo) te lo rimette e il ciclo ricomincia.

Eaton · 15-05-2005, 18:32

Ciao a tutti.
Io ho lo stesso trojan, che non riesco a togliere. Tutti gli antivirus e le utility che ho provato lo hanno localizzato in windows/appPatch/psdns.dll
Questo è il log (grazie per le eventuali risposte):

Logfile of HijackThis v1.99.1
Scan saved at 19.24.12, on 15/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\FreeRider\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\AppPatch\psdns.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F770498F-8FAC-42A9-A881-E72472E7BF77}: NameServer = 213.205.36.70 213.205.32.70
O20 - Winlogon Notify: psdns - C:\WINDOWS\AppPatch\psdns.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

bluepix · 15-05-2005, 20:51

Infatti è questo che devi eliminare:

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\AppPatch\psdns.dll

poi cancella il file
C:\WINDOWS\AppPatch\psdns.dll

sirred · 21-05-2005, 11:00

Ciao a tutti. Ho avuto per 2 settimane sul mio computer questo trojan vundo h che non riuscivo a eliminare in nessun modo.

Vi dico cosa ho fatto se a qualcuno può servire. Ho utilizzato il removal tool di symantec trojan vundo b e ha funzionato!

Ho windows xp e sono collegata via cavo. Ho scollegato il modem, ho disattivato il system restore ed ho riavviato il computer in "safe mode". A questo punto ho avviato il removal tool trojan vundo b (precedentemente scaricato e installato) e finalmente se ne è andato. Poi per essere sicura ho avviato pccillin per verificare che se ne fosse veramente andato et voilà! Ho letto tutte le soluzioni possibili e immaginabili per 2 settimane e questo ha funzionato. Spero che torni utile a qualcuno. Fatemi sapere.
Sirred

MrOZ · 21-05-2005, 15:55

sì infatti hai ragione, è un metodo che funziona, è già stato sperimentato con successo da altra gente.

nel caso non funzionasse al primo tentativo, provare un paio di volte. se non fosse sufficiente, il tool elimina le chiavi di registro aggiunte dal virus dopodichè provvedere ad eliminare i file manualmente con hijackthis.

06-05-2005, 17:16	#1
lupaio Member Iscritto dal: Sep 2002 Messaggi: 61	trojan vundo.h Buonasera a tutti ho riscontrato un problema con un trojan che non riesco in alcun modo ad eliminare. Effettuando una scansione con pc-cillin ho trovato il trojan vundo.h che lo stesso antivirus comunque non riesce ad eliminare. Consultando il sito internet dell antivirus e cercando una soluzione al problema ho trovato la risposta in una pagina dove viene consigliato agli utenti di eliminare manualmente il file infetto. Usando il prompt d ms-dos sono andato nella directory indicata al momento della segnalazione del trojan ma nn trovo il file infetto. Sapete consigliarmi come eliminare il problema? p.s.: se vi puo interessare la directory ed il file in questione sono c:\windows\msagent\olems.dll Grazie mille.

21-05-2005, 11:00	#18
sirred Junior Member Iscritto dal: May 2005 Messaggi: 1	trojan vundo h Ciao a tutti. Ho avuto per 2 settimane sul mio computer questo trojan vundo h che non riuscivo a eliminare in nessun modo. Vi dico cosa ho fatto se a qualcuno può servire. Ho utilizzato il removal tool di symantec trojan vundo b e ha funzionato! Ho windows xp e sono collegata via cavo. Ho scollegato il modem, ho disattivato il system restore ed ho riavviato il computer in "safe mode". A questo punto ho avviato il removal tool trojan vundo b (precedentemente scaricato e installato) e finalmente se ne è andato. Poi per essere sicura ho avviato pccillin per verificare che se ne fosse veramente andato et voilà! Ho letto tutte le soluzioni possibili e immaginabili per 2 settimane e questo ha funzionato. Spero che torni utile a qualcuno. Fatemi sapere. Sirred Ultima modifica di sirred : 22-05-2005 alle 16:50.

06-05-2005, 21:19	#3
lupaio Member Iscritto dal: Sep 2002 Messaggi: 61	Sono spiacente x il ritardo. ecco la schermata risultante la scansione d hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 22.03.06, on 06/05/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe C:\WINDOWS\system32\GSICON.EXE C:\WINDOWS\system32\dslagent.exe C:\Programmi\Trend Micro\Internet Security 12\pccguide.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\MemoRex\MemoRex.exe C:\WINDOWS\System32\alg.exe C:\Programmi\WinRAR\WinRAR.exe C:\DOCUME~1\UtenteXp\IMPOST~1\Temp\Rar$EX00.384\HijackThis.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TSC.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corriere.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\msagent\olems.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security 12\pccguide.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe" O4 - HKLM\..\Run: [THGuard] "C:\Programmi\TrojanHunter 4.0\THGuard.exe" O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downl...ts/msvcp71.cab O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downl...ts/msvcr71.cab O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/english/c...dio/ChkDVD.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/31859f91b351603...dxIE601_it.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/de.../GoogleNav.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab O20 - Winlogon Notify: olems - C:\WINDOWS\msagent\olems.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Unknown owner - C:\Programmi\Ahead\InCD\InCDsrv.exe (file missing) O23 - Service: NVSvc - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

06-05-2005, 21:21	#4
.Kougaiji. Senior Member Iscritto dal: Apr 2004 Messaggi: 3243	O9 - Extra button: (no name) - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll O16 - DPF: msvcp71 - http://download.pestpatrol.com/Down...nts/msvcp71.cab O16 - DPF: msvcr71 - http://download.pestpatrol.com/Down...nts/msvcr71.cab O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/english/...udio/ChkDVD.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/31859f91b35160...RdxIE601_it.cab questo e' sospetto rosso: O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab questo non lo so: O20 - Winlogon Notify: olems - C:\WINDOWS\msagent\olems.dll

06-05-2005, 21:39	#5
lupaio Member Iscritto dal: Sep 2002 Messaggi: 61	pc-cillin mi segnala come file infetto questo (con relativa chiave): {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\msagent\olems.dll ho seguito le istruzioni che ho trovato ma non è cambiato nulla. Cosa posso fare?

06-05-2005, 21:51	#7
lupaio Member Iscritto dal: Sep 2002 Messaggi: 61	non esistono sw che facciano pulizia totale?

06-05-2005, 23:00	#8
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	Ci sono per i virus più diffusi. http://securityresponse.symantec.com...ools.list.html http://us.mcafee.com/virusInfo/default.asp?id=vrt http://www.f-secure.com/download-purchase/tools.shtml http://www.kaspersky.com/removaltools http://virusall.com/downrem.shtml Però ogni giorno nascono varianti di quelli noti, che, pur avendo la stessa struttura, cambiano dei particolari nel nome dei file e nel posizionamento su disco che, di fatto, rendono impossibile creare un "removal tool" che faccia la disinfestazione totale. Ecco perchè bisogna "arrangiarsi" con Hijackthis che, per me, è lo strumento più potente che sia stato inventato per combattere le schifezze. Necessita, per usarlo, abitudine alla lettura, tanta pazienza e una grande fiducia(leggi coraggio) nel mettere in pratica le correzioni (specialmente se su un PC di un altro).

07-05-2005, 04:39	#10
MrOZ Senior Member Iscritto dal: Jun 2003 Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002 Messaggi: 4426	ciao, puoi mandarmi al mio indirizzo [email protected] qualche file infetto da vundo oppure il file olems.dll se lo trovi??? grazie

07-05-2005, 17:54	#15
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	Non ho capito se hai fatto o no le fix che ti abbiamo segnalato. Se non le hai fatte, scommetto che è per questo che trovi sempre il file che pc-cillin ti elimina(e poi tu non trovi più). La prima volta che fai il reboot(o parte un processo a tempo) te lo rimette e il ciclo ricomincia.

15-05-2005, 18:32	#16
Eaton Junior Member Iscritto dal: May 2005 Messaggi: 1	Ciao a tutti. Io ho lo stesso trojan, che non riesco a togliere. Tutti gli antivirus e le utility che ho provato lo hanno localizzato in windows/appPatch/psdns.dll Questo è il log (grazie per le eventuali risposte): Logfile of HijackThis v1.99.1 Scan saved at 19.24.12, on 15/05/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\AVPersonal\AVGUARD.EXE C:\Programmi\AVPersonal\AVWUPSRV.EXE C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programmi\Raxco\PerfectDisk\PDSched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe C:\WINDOWS\System32\hphmon05.exe C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\D-Tools\daemon.exe C:\Programmi\AVPersonal\AVGNT.EXE C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\FreeRider\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\AppPatch\psdns.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F770498F-8FAC-42A9-A881-E72472E7BF77}: NameServer = 213.205.36.70 213.205.32.70 O20 - Winlogon Notify: psdns - C:\WINDOWS\AppPatch\psdns.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

15-05-2005, 20:51	#17
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	Infatti è questo che devi eliminare: O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\AppPatch\psdns.dll poi cancella il file C:\WINDOWS\AppPatch\psdns.dll

21-05-2005, 15:55	#19
MrOZ Senior Member Iscritto dal: Jun 2003 Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002 Messaggi: 4426	sì infatti hai ragione, è un metodo che funziona, è già stato sperimentato con successo da altra gente. nel caso non funzionasse al primo tentativo, provare un paio di volte. se non fosse sufficiente, il tool elimina le chiavi di registro aggiunte dal virus dopodichè provvedere ad eliminare i file manualmente con hijackthis.

Strumenti
Mostra una versione stampabile Invia questa pagina per email