vtstt.dll: non vuole morire!

[thomas_anderson]

Grazie ai consigli ed al fix dell'onnipresente, onnisciente (ma purtroppo non onnipotente) Lucass sono riuscito a debellare anche Look2me su quel pc con miriadi di infezioni. Sembrava fatta, ma il Nod, appena installato, mi rileva questo vtstt.dll e dice che è collegato nientepopodimeno che a winlogon.exe. Detto fatto, il suddetto file, localizzato in \Windows\System32 non può nè essere rinominato nè cancellato perchè usato da un altro processo. che fare? a che malware si riferisce? grazie a tutti per le risposte!

[Matteo982]

Hai provato magari ad avviare windows in modalità provvisoria? :master:

Ciao.

[LUCASS]

Prova così
scarica Vundo Fix http://www.atribune.org/downloads/VundoFix.exe
salvalo sul desktop

* Doppio click su VundoFix.exe ed estrai i file
* Verrà creata una nuova cartella sul desktop(VundoFix).
* Dopo che hai estratto i file,riavvia il pc in modalità provvisoria
* Quando sei in modalità provvisoria,apri la cartella vundofix e clicca su KillVundo.bat
* A questo punto ti si apre una finestra dos,fai attenzione a quello che ti scrivo

VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue...

-a questo punto premi invio una volta
-poi vedrai:

Please Type in the filepath as instructed by the forum staff
and then press enter:

-a questo punto digita il percorso seguente(controlla di digitarlo esattamente)
C:\WINDOWS\System32\vtstt.dll
-Premi invio,
-poi vedrai:

Please type in the second filepath as instructed by the forum
staff then press enter:

a questo punto digita il percorso seguente come te l'ho messo quindi anche il .*
C:\WINDOWS\System32\ttstv.*

Premi invio continuare con il fix.

apri hijackthis elimina la strinha 020 che richiama il file
Riavvia il pc apri la cartelle vundo fix e posta il contenuto del file vundofix.txt

PS:La nuova variante del virtumonde ha le stesse caratteristiche del rootkit,il tool è un fase di creazione tra poco verrà messo a disposizione per i test!!ciao

[thomas_anderson]

Grazie! infatti nod32 me lo classificava come AdWare.Virtumonde.a. ciao

[Matteo982]

Altrimenti visto che sai il file da eliminare prova con un piccolo programma che si chiama copylock (che se vuoi ti posso mandare per email sono solo 123kb e non serve installarlo), io lo uso quando ho dei file che non riesco a cancellare perchè mi dice che sono in uso da qualche programma (anche se è una balla colossale)..così magari riesci a cancellarlo senza troppi casini!

Ciao.

[LUCASS]

Non ci riusciresti mai
Sono troppi i processi critici che hanno quel file in uso
Winlogon.exe
Explorer.exe
Smss.exe
Rundll32.exe

[Matteo982]

Probabilmente non funzionerà però provare non costa niente e ci vuole 1 secondo...perchè abolire un'ipotesi prima del test sul campo!! :master:

In fondo non ho detto di fare chissà quali grandi manovre, per copiare un programmino da 123Kb non ci vuole una giornata.

Ciao.

[thomas_anderson]

Risolto usando il metodo Lucass. Su questo pc non partiva più la modalità provvisoria GUI, così ho usato quella con prompt dei comandi. Ho lanciato KillVundo.bat dal prompt e vai col tango. Grazie comunque anche a Matteo per il link a questo programma (interessante! ). ciao

[LUCASS]

Originariamente inviato da Matteo982
Probabilmente non funzionerà però provare non costa niente e ci vuole 1 secondo...perchè abolire un'ipotesi prima del test sul campo!! :master:

In fondo non ho detto di fare chissà quali grandi manovre, per copiare un programmino da 123Kb non ci vuole una giornata.

Ciao.

Non ti arrabbiare,killando quei processi il pc diventa instabile,cosa fa il tool?il tool ha un utility apposta che killa i processi,ma quando li killa?li killa quando stai per riavviare il pc quindi non ti accordi di niente ciao

[Matteo982]

Guarda che non mi sono di certo arrabbiato per una cosa del genere, fossero questi i problemi della vita...eheheh!!

Ciao.