Rimuovere Vundo [Virus rilevato!!!]

[Ltnick]

Ciao al forum.
Visto l'efficienza riscontrata in passato sottopongo il probelma virus riscontrato di recente...
allego Logfile di HijackThis v2.0.2

Grazie in anticipo

Scan saved at 11.00.41, on 18/11/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\mgabg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Save\Save.exe
C:\Programmi\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [WhenUSave] "C:\Programmi\Save\Save.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://kc.bar.need2find.com/KC/menusearch.html?p=KC
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1225031893096
O16 - DPF: {7F8B1F27-AE54-479D-AACF-0A7B2334E7EE} (HTTPUplListX Control) - http://stampafoto.mediaworld.it/HTTPUplList.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7714BE1-BC87-40FE-AD71-CA0E5A621CFF}: NameServer = 212.216.112.112,212.216.172.62
O20 - AppInit_DLLs: mldfxm.dll pyqvja.dll oohqwd.dll mrjcxv.dll mikjfo.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\System32\aspimgr.exe (file missing)
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe

[Deifobe]

fixa:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O8 - Extra context menu item: &Search - http://kc.bar.need2find.com/KC/menusearch.html?p=KC
O20 - AppInit_DLLs: mldfxm.dll pyqvja.dll oohqwd.dll mrjcxv.dll mikjfo.dll



scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.


Nel titolo potevi mettere il nome del virus, no?

[Ltnick]

chiedo scusa per due cose:

1. non si tratta di un virus ma di un Tojan: Vundo;
2. non ho indicato il nome del Trojan

ecco il link di savefile
http://www.savefile.com/files/1895668
Grazie

[Deifobe]

1) Scarica e installa malwarebytes. Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti". Chiudi il programma (non eseguire bnessuna scansione)

2) Scarica Avenger e CCleaner

3) Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\CLSID\{B0B3393C-62D1-44D8-ABF5-08E0F067F29E}]

[-HKEY_CLASSES_ROOT\CLSID\{01727D36-EF6D-47CA-A063-03FF25BCBA46}]

[-HKEY_CLASSES_ROOT\CLSID\{0990E89B-7FBE-413E-B992-24D70FCBE614}]

[-HKEY_CLASSES_ROOT\CLSID\{B0B3393C-62D1-44D8-ABF5-08E0F067F29E}]

[-HKEY_CLASSES_ROOT\CLSID\{52d2a7da-f56e-4358-a6d2-300b6b50d064}]
;

salvalo sul desktop come:
nome: fix.reg
tipo di file: file di testo
chiudi il file


4) Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\WINDOWS\system32\GjRrAcdd.ini
C:\WINDOWS\system32\GjRrAcdd.ini2
C:\WINDOWS\system32\lwrusxqp.ini
C:\WINDOWS\system32\pqxsurwl.dll
C:\WINDOWS\system32\oubvuj.dll
C:\WINDOWS\system32\savpxieq.dll
C:\WINDOWS\system32\83651f3d-.txt
C:\WINDOWS\system32\nzzltt.dll
C:\WINDOWS\system32\gfllbeai.dll
C:\WINDOWS\system32\zbbwwu.dll
C:\WINDOWS\system32\tmxmnylc.dll
C:\WINDOWS\system32\pybxkgtq.ini
C:\WINDOWS\system32\qtgkxbyp.dll
C:\WINDOWS\system32\rovhvupc.ini
C:\WINDOWS\system32\cpuvhvor.dll
C:\WINDOWS\system32\fxdaxori.ini
C:\WINDOWS\system32\iroxadxf.dll
C:\WINDOWS\system32\jfgfbe.dll
C:\WINDOWS\system32\xkyolffj.dll
C:\WINDOWS\system32\lvjarmev.ini
C:\WINDOWS\system32\mrjcxv.dll
C:\WINDOWS\system32\fnuejmtf.dll
C:\WINDOWS\system32\vrteiiok.ini
C:\WINDOWS\system32\koiietrv.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\xdeguvys.ini
C:\WINDOWS\system32\syvugedx.dll
C:\WINDOWS\system32\oohqwd.dll
C:\WINDOWS\system32\yuhgdmdl.dll
C:\WINDOWS\system32\umabrxie.ini
C:\WINDOWS\system32\eixrbamu.dll
C:\WINDOWS\system32\hgdzbm.dll
C:\WINDOWS\system32\oxbelryv.dll
C:\WINDOWS\system32\riyoyvrc.ini
C:\WINDOWS\system32\pyqvja.dll
C:\WINDOWS\system32\slroojlh.ini
C:\WINDOWS\system32\mldfxm.dll
C:\WINDOWS\system32\ddcArRjG.dll
C:\WINDOWS\system32\jkkJyYqn.dll
C:\WINDOWS\System32\jkkJyYqn.dll
C:\WINDOWS\System32\uktwtfps.dll
C:\WINDOWS\System32\ddcArRjG.dll
C:\WINDOWS\System32\jkkJyYqn.dll
C:\WINDOWS\System32\oubvuj.dll

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {B0B3393C-62D1-44D8-ABF5-08E0F067F29E}

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkJyYqn
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{01727D36-EF6D-47CA-A063-03FF25BCBA46}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{0990E89B-7FBE-413E-B992-24D70FCBE614}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{0921139F-49B4-4B6A-9394-D4FF027E74B9}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{28F62842-CBFA-45E3-9D5E-694C312C1A07}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{4C805996-5C9D-4657-B5EF-4E06AE2F98FB}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{4EF686F0-1DB7-4F6B-B841-083C2AAD6A77}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{5F27E264-2704-41CD-B3C0-D1512C219E57}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{98FD985C-0759-43B1-9973-2CDDDE3BCA64}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{9FBA159A-DB4C-4656-B699-F1518B322A61}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{B072886D-8544-4C54-80AA-C7CB20F2974F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{B0B3393C-62D1-44D8-ABF5-08E0F067F29E}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{52d2a7da-f56e-4358-a6d2-300b6b50d064}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{CBA99539-287D-4C13-87A0-D3B6A0478FAC}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{F00E989E-5167-4B43-9539-CB75C2B1ADD8}

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

5) Dopo il riavvio, esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

6) Esegi il file fix.reg e accetta le modifiche (dura 1 secondo)

7) Esegui con malwarebytes una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.

8) Posta il rapporto di malwarebytes e un nuovo systemscan

[Ltnick]

Ho provveduto a seguire la procedura indicata.
Ecco i LOG

http://www.savefile.com/files/1898622

http://www.savefile.com/files/1898626

[Deifobe]

elimina manualmente:
C:\WINDOWS\system32\mnhxkoht.ini

apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file

chiudi ed eseguilo. accetta le modifiche


il pc come va? Problemi?

[Ltnick]

eseguo l'ultima indicazione... per ora però mi sembra abbastanza ok...
grazie

[Deifobe]

ok.
se noti altri problemi, stiamo qui...

ciao

[Ltnick]

Grazie dell'aiuto.
Comunque è ora di fare un po' di pulizia... a breve formatterò
Buon lavoro