vundrop

[nicovisco]

Come mi ha richiesto ho aperto una nuova discussione.

Cosa significa:
Su virustotal prova a fare copia/incolla del percorso, vedi se così li trova.

[Habanero]

se apri una discussione devi spiegare bene qual è il problema...

[Deifobe]

Ciao hab, buondi'


Per nicovisco: leggi con piu' attenzione, cortesemente.

@ nicovisco : apri una nuova discussione tutta tua, ti risponderemo li'. Benvenuto (era rivolvolto a te)

@ goblin_90 : il pc come va ora?
Su virustotal prova a fare copia/incolla del percorso, vedi se così li trova. (non era rivolvolto a te ma all'utente goblin_90)

Ad ogni modo, il problema e' Vundrop.

vai su Kaspersky_virusscanner
clicca su "kaspersky online scanner"
clicca su "accept"
--- verrà eseguito il download dei componenti necessari alla scansione
quando è terminato clicca su "next"
clicca su "my computer" (così non ti limiti solo a fare una scansione delle aree critiche ma fai analizzare tutto il pc, pen compresa)
clicca su "scan settings"
salva il rapporto di scansione, caricalo su Savefile e posta il link ottenuto.


Scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nella tua prossima risposta indica anche se il pc ha ulteriori problemi e quali sono, a parte la segnalazione di Vundrop

[nicovisco]

link a report kaspersky = http://www.savefile.com/files/1582212
link a report systemscan =http://www.savefile.com/files/1582206
Il pc è lento e spesso si attivano popup di pubblicità di prodotti per eliminare virus

[Deifobe]

... il tempo di prepararti la procedura...
non eseguire altre scansioni, mi raccomando
a dopo

edit:
NB :durante la procedura accetta le modifiche al registro (per valori eliminati) richieste da Spybot

Scarica Avenger e CCleaner

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{6F8DDADA-D71B-450C-B894-D86251EEC844}]

[-HKCR\CLSID\{01FB9C55-FC66-4476-A199-389241193188}]

[-HKCR\CLSID\{6410BCAC-C1C6-42A7-94FC-87E7E86E535E}]

[-HKCR\CLSID\{6F8DDADA-D71B-450C-B894-D86251EEC844}]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file

Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\WINDOWS\BM772bec00.txt
C:\WINDOWS\BM772bec00.xml
C:\WINDOWS\IFinst26.exe
C:\WINDOWS\kvCaTqlsu.exe
C:\WINDOWS\tasks\Tyjegb
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\aspymevt.dll
C:\WINDOWS\system32\awtrPfgD.dll
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\djthjyck.dll
C:\WINDOWS\system32\efcCsPJA.dll.vir
C:\WINDOWS\system32\efcdCUMG.dll
C:\WINDOWS\system32\hgGAsTki.dll
C:\WINDOWS\system32\IjRBayay.ini
C:\WINDOWS\system32\IjRBayay.ini2
C:\WINDOWS\system32\ljJCrPIB.dll
C:\WINDOWS\system32\MxCFCHYM.dll
C:\WINDOWS\system32\pmnnLEus.dll
C:\WINDOWS\system32\qdcuvrhy.dll
C:\WINDOWS\system32\skxgyocl.dll
C:\WINDOWS\system32\spogqnds.ini
C:\WINDOWS\system32\tuvSJcdb.dll
C:\WINDOWS\system32\tvemypsa.ini
C:\WINDOWS\system32\urqQhfgf.dll
C:\WINDOWS\system32\vtULcdAp.dll
C:\WINDOWS\system32\wvUKCvUk.dll
C:\WINDOWS\system32\yayaBRjI.dll
C:\WINDOWS\system32\yglxpdpf.dll
C:\WINDOWS\temp\h0ikgxhl.TMP
C:\WINDOWS\system32\cbrsvc.exe
C:\WINDOWS\system32\drivers\etc\hosts.bak
C:\DOCUME~1\NICO~1.COM\IMPOST~1\Temp\foto7.zip
C:\DOCUME~1\NICO~1.COM\IMPOST~1\Temp\jar_cache2160 0.tmp
C:\DOCUME~1\NICO~1.COM\IMPOST~1\Temp\jar_cache5533 0.tmp
C:\DOCUME~1\NICO~1.COM\IMPOST~1\Temp\photo-022.zip
C:\DOCUME~1\NICO~1.COM\IMPOST~1\Temp\photo-028.zip
C:\DOCUME~1\NICO~1.COM\IMPOST~1\Temp\photo-031.zip
C:\DOCUME~1\NICO~1.COM\IMPOST~1\Temp\removalfile.b at
C:\Documents and Settings\nico.COMPUTER-MARTI\Documenti\File ricevuti\photo-028.zip
C:\Documents and Settings\nico.COMPUTER-MARTI\Documenti\File ricevuti\photo-031.zip
C:\Documents and Settings\nico.COMPUTER-MARTI\Documenti\File ricevuti\photo-022.zip
C:\RECYCLER\S-1-5-21-2052111302-854245398-839522115-1006\Dc2093.zip

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | 7418df9c
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | BM772bec00
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Windows Performance Adapter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | {81D6FDCB-651D-47E2-9538-16BD14659205}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | {6F8DDADA-D71B-450C-B894-D86251EEC844}

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{01FB9C55-FC66-4476-A199-389241193188}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{6410BCAC-C1C6-42A7-94FC-87E7E86E535E}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{6F8DDADA-D71B-450C-B894-D86251EEC844}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{C10A35BF-49B3-4D18-A2A6-1FF122683FE1}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{F3BEA1B2-6285-41AD-8399-03D04518B1AE}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{FEE322BB-081A-43AF-91BF-1F89ECD67DFF}
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtULcdAp

programs to launch on reboot:
c:\fix.reg

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).
Esegui systemscan
Svuota C:\WINDOWS\Prefetch

Posta il rapporto di systemscan e quello di avenger - (caricali sempre su Savefile oppure su Sendmefile)

Analizza su Virustotal questi due files:
C:\WINDOWS\Setup1.exe
C:\WINDOWS\ST6UNST.EXE
[U]salva i risultati[U] copiandoli in un file di testo e carica anche questi su savefile o sendmefile.

[nicovisco]

ecco i link ai report richiesti
http://www.savefile.com/files/1582858
http://www.savefile.com/files/1582931

questo è il report di virustotal
http://www.savefile.com/files/1582939

[Deifobe]

Vai in C:\DOCUME~1\NICO~1.COM\IMPOST~1\Temp (devi visualizzare files e cartelle nascoste) ed elimina tutti i file.tmp che inizia con TFR , tipo TFR54A.tmp

NB:
- controlla che in c:\ ci sia ancora il file fix.reg creato (servirà nuovamente)
- accetta le modifiche al registro segnalate da spybot per i valori eliminati

Esegui avenger:

files to delete:
C:\WINDOWS\system32\xxyvvSiI.dll
C:\WINDOWS\system32\vtULcdAp.dll
C:\WINDOWS\system32\MxCFCHYM.dll

folders to delete:
C:\WINDOWS\tasks\Tyjegb

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {81D6FDCB-651D-47E2-9538-16BD14659205}

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtULcdAp
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{01FB9C55-FC66-4476-A199-389241193188}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{6F8DDADA-D71B-450C-B894-D86251EEC844}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{C10A35BF-49B3-4D18-A2A6-1FF122683FE1}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{F3BEA1B2-6285-41AD-8399-03D04518B1AE}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{FEE322BB-081A-43AF-91BF-1F89ECD67DFF}

clicca su execute.

Scarica Hijackthis e mettilo in un cartella dedicata (tipo: c:\programmi\Hijackthis).
Eseguilo e clicca sul tasto "Do a system scan and save a log file". Posta il file di testo ottenuto.

Ciao

[nicovisco]

questo è il link al report che hai chiesto
http://www.savefile.com/files/1583592

[Deifobe]

esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"

R3 - Default URLSearchHook is missing
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\system32\MxCFCHYM.dll (file missing)
O2 - BHO: (no name) - {6F8DDADA-D71B-450C-B894-D86251EEC844} - C:\WINDOWS\system32\vtULcdAp.dll (file missing)
O2 - BHO: (no name) - {C10A35BF-49B3-4D18-A2A6-1FF122683FE1} - (no file)
O2 - BHO: (no name) - {F3BEA1B2-6285-41AD-8399-03D04518B1AE} - (no file)
O2 - BHO: (no name) - {FEE322BB-081A-43AF-91BF-1F89ECD67DFF} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\RunOnce: [] C:\Programmi\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/ser...oductMessages? *****
O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} *****
O9 - Extra 'Tools' menuitem: cerca sul web - {16930DCA-0910-4C00-86FF-0C73872D4ABA} *****
O9 - Extra button: ***** - {2B44FD33-B048-4B2B-88D5-4B80AB018F29} *****
O9 - Extra button: cerca sul web - {810B72CB-566A-409B-B6A3-31F720C16FAE} *****
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} *****
O9 - Extra 'Tools' menuitem: ***** - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} *****
O9 - Extra button: InstallareKazaa - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} *****
O9 - Extra button: ***** - {F4445FEB-6D20-47CB-9ACF-9D142A7F680A} *****
O9 - Extra button: (no name) - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} *****
O9 - Extra 'Tools' menuitem: ***** - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} *****
O20 - Winlogon Notify: vtULcdAp - C:\WINDOWS\
O23 - Service: Gestione P&P Plus (pppcntl) - Unknown owner - C:\WINDOWS\downlo~1\qho2\420tke6u.exe (file missing)

ho coperto con gli asterischi la parte restante perchè inutile; ora è più semplice individuare le voci da fixare. Vedi di non saltarne nessuna.

Poi riposta nuovamente hijackthis, per piacere.

Ciao

[nicovisco]

eccoti il link del nuovo report
http://savefile.com/files/1583983
ciao