PDA

Visualizza la versione completa : I motori di ricerca non funzionano più (Trojan Vundo)


 
sagimasi
07-08-2008, 00:44
salve a tutti, vi espongo il mio problema.
da un paio di giorni mi succede una cosa stranissima quando effettuo una ricerca con qualsiasi motore (google, virgilio, yahoo) di ricerca il browser (sia ie che firefox) rimane appeso per poi dare dopo circa 30 minuti il messaggio impossibile visualizzare la pagina.
la navigazione su qualsiasi altro sito funziona, ho provato a eliminare i files temporanei e i cookie, ho cambiato i dns ma il problema non si risolve.
come antivirus uso kav2009.
grazie dell'aiuto
ciao

hell's bells
07-08-2008, 08:45
Esegui questa procedura:

scarica Systemscan Systemscan (http://www.suspectfile.com/systemscan)

1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"

Il programma ti rilascerà un rapporto in file txt, salvalo e postalo qui sul forum, troverai lo stesso rapporto sulla cartella systemscan che verrà creata in automatico dal programma.

per postare il rapporto segui questa scaletta:

1) andare sul sito http://www.savefile.com/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]


Nota bene: systemscan è un programma per la scansione profonda del sistema, viene riconosciuto da molti antivirus come elemento malevolo, ovviamente si tratta si un falso positivo , il programma è innocuo per il sistema.

sagimasi
07-08-2008, 09:51
grazie, ho fatto tutto come hai detto ed ecco il link:

http://www.savefile.com/files/1713546

hell's bells
07-08-2008, 12:47
Cortesemente puoi postare il file zip che trovi nella cartella systemscan sul desktop, il report del file di testo è illeggibile. Grazie

sagimasi
07-08-2008, 16:40
scusami tu dell'errore non avevo usato il notepad per salvarlo, ora dovrebbe essere tutto ok per la lettura
ciao

http://www.savefile.com/files/1714272

Deifobe
07-08-2008, 21:52
ciao, scusa il ritardo :)

Scarica Avenger (http://swandog46.geekstogo.com/avenger2/avenger2.html) e CCleaner (http://www.filehippo.com/download_ccleaner/)

Apri il blocco note e nella pagina copia/incolla:


Windows Registry Editor Version 5.00

[-HKCR\CLSID\{D790AE15-EA98-453B-8D01-6838557F0C21}]

[-HKCR\CLSID\{2FD3A9DE-1375-473F-B448-E22EB2600CFF}]

[-HKCR\CLSID\{D790AE15-EA98-453B-8D01-6838557F0C21}]



salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


Esegui avenger e nella finestra copia/incolla tutta la citazione:


files to delete:
C:\sqmnoopt05.sqm
C:\sqmdata05.sqm
C:\sqmnoopt04.sqm
C:\sqmdata04.sqm
C:\sqmnoopt03.sqm
C:\sqmdata03.sqm
C:\sqmnoopt02.sqm
C:\sqmdata02.sqm
C:\sqmnoopt01.sqm
C:\sqmdata01.sqm
C:\sqmnoopt06.sqm
C:\sqmdata06.sqm
C:\sqmdata07.sqm
C:\sqmnoopt07.sqm
C:\sqmnoopt08.sqm
C:\sqmdata08.sqm
C:\sqmnoopt09.sqm
C:\sqmdata09.sqm
C:\sqmdata10.sqm
C:\sqmnoopt10.sqm
C:\sqmdata11.sqm
C:\sqmnoopt11.sqm
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jhbhml0f.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache46692. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache46706. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache10538. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache10540. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache33772. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache33773. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache32627. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache32629. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache32630. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache32633. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache41157. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache41158. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache16825. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\jar_cache44530. tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\tmp3.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\tmp1.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\tmp2.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\tmp34.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\7868734.html
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\818070750.html
C:\WINDOWS\system32\olfougkh.tmp
C:\WINDOWS\system32\fycuthfn.dll
C:\WINDOWS\system32\uifrdxrf.tmp
C:\WINDOWS\system32\uifrdxrf.ini
C:\WINDOWS\system32\uifrdxrf.ini2
C:\WINDOWS\system32\npkoylln.dll
C:\WINDOWS\system32\slikeexo.dll
C:\WINDOWS\system32\b78abc33-.txt
C:\WINDOWS\system32\hnhrudda.dll
C:\WINDOWS\system32\jTttAJjl.ini2
C:\WINDOWS\system32\jTttAJjl.ini
C:\WINDOWS\system32\vtUMCtSi.dll
C:\WINDOWS\BMbf9a4bd1.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\BMbf9a4bd1.txt
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\yayAtuTK.dll
C:\WINDOWS\system32\ljJAttTj.dll
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\mdelk.exe

folders to delete:
C:\WINDOWS\system32\drivers\down
C:\Documents and Settings\Administrator\Dati applicazioni\m

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | BMbf9a4bd1
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run | 5T19I3B27A
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {D790AE15-EA98-453B-8D01-6838557F0C21}

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayAtuTK
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{2FD3A9DE-1375-473F-B448-E22EB2600CFF}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{D790AE15-EA98-453B-8D01-6838557F0C21}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\srosa
HKEY_LOCAL_MACHINE\system\ControlSet001\Services\s rosa
HKEY_LOCAL_MACHINE\system\ControlSet002\Services\s rosa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SROSA
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SROSA

programs to launch on reboot:
c:\fix.reg


Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Nota: i files in verde li ho inseriti io, non c'erano nel rapporto.

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Svuota C:\WINDOWS\Prefetch

Posta un nuovo systemscan e il rapporto di avenger

sagimasi
08-08-2008, 02:30
innanzitutto GRAZIE...

ho seguito le indicazioni alla lettera con una piccola variante....

ho fatto tutto quello che mi hai suggerito ed alla fine delle varie operazioni con mia gioia ho visto che rifunzionava tutto.
accidenti mi sono accorto che l'antivirus kav2009 era ancora disabilitato, lo riabilito e di tutta risposta un allert rosso in cui mi dice rilevato troian hur ecc., seguo il consiglio di kav e lo blocco, nel frattempo 5 o 6 finestre tra ie e firefox, di nuovo allert, riblocco.
vodo su google e la ricerca non funziona.
da ignorante penso che tutto il macello lo ha fatto kav2009 e con un pò di rabbia lo rimuovo tramite un tool apposito della kaspersky (ha funzionato solo in modalità provvisoria perchè altrimenti dava errore).
rifaccio daccapo tutte le operazioni che mi hai consigliato (avenger e ccleaner) tutto rifunziona.
non contento però decido di reinstallare kav2009 da zero, procedo, aggiorno e riavvio.
tutto ok.
penso che avevo proprio l'antivirus infetto dal troian.... non l'avrei mai detto.

occorre che ti posto i report ugualmente?
se si lo faccio domani in giornata.
spero che quanto sopra possa essere d'aiuto ad altri malcapitati ma soprattutto all'assistenza di kaspersky visto che mi hanno congedato dicendomi se la ricerca sui motori non va non è un problema dell'antivirus.

grazie ancora e ciao

Deifobe
08-08-2008, 17:52
si, devi postarli.
ciao

sagimasi
11-08-2008, 01:50
eccoli qua:

avenger http://www.savefile.com/files/1721390

systemscan http://www.savefile.com/files/1721394

ciao

Deifobe
11-08-2008, 02:40
direi che va tutto bene.. c'è solo un file che non si vede (quello in verde), vediamo se così esce..

apri il blocco note e copiaci dentro questo:


@echo off
regedit.exe /e C:\file1.txt "HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Windows"
dir "C:\documents and settings\Administrator\impostazioni locali\Temp\jkbasuy1">C:\file2.txt
start C:\file1.txt
start C:\file2.txt
del uno.bat
salvalo sul desktop come
nome: uno.bat
tipo di file: tutti i file
ed eseguilo

puoi postare i risultati direttamente sul forum (i file li trovi anche in C:\file1.txt e C:\file2.txt)


esegui hijackthis e fixa:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O20 - AppInit_DLLs: ???????

il pc ora come va? e kaspersky?

Loading