trojan vundo

[aumas]

Salve a tutti, ho un problema con un trojan.vundo che non riesco ad eliminare, neanche con vundofix, perchè sembra che non rilevi il problema. Mi sapreste aiutare????
Grazie

[hell's bells]

Segui questa procedura iniziale:

scarica Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum

per postare il report segui questa scaletta:

1) andare sul sito http://www.savefile.com/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]

Non eseguire altre scansioni, solo questa che ti ho postato.

[aumas]

Ho fatto la scansione e questo è il lnk

http://www.savefile.com/files/1854867

[hell's bells]

Ho controllato il tuo report, rimuovi tutto se hai ancora malewarebytes aperto, se l'hai chiuso rifai la scansione, rimuovi tutto poi segui questa procedura:

scarica Systemscan

1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"

Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.

Posta il report come il precedente, cortesemente da ora in poi dopo che hai eliminato tutto e riavviato, non fare nessuna scansione con nessun programma anti virus o anti spyware.

[aumas]

Questo è il report di suspect file

http://www.savefile.com/files/1856394

grazie

[hell's bells]

Segui questa procedura:

Apri il blocco note di windows, copia al suo interno questo testo come lo vedi

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{A5F97AB4-D69A-4BE1-996D-736991A2FBF6}]

ci deve essere una riga vuota dopo ] dai un invio
salvalo in c:\ e chiamalo fix.reg (lo devi salvare come "tipo file - tutti i file")

scarica Avenger

Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\WINDOWS\system32\77ccf2d3-.txt
C:\WINDOWS\system32\uxtnwxlu.dll
C:\WINDOWS\system32\yqqfnc.dll
C:\WINDOWS\system32\rvslqwrt.dll
C:\WINDOWS\system32\vtvepd.dll
C:\WINDOWS\system32\rbkytrxe.ini
C:\WINDOWS\system32\xlvvwlhs.ini
C:\WINDOWS\system32\nsjttrfb.ini
C:\WINDOWS\system32\mkvypnyx.ini
C:\WINDOWS\system32\svnuvfer.ini
C:\WINDOWS\system32\rowocooy.ini
C:\WINDOWS\system32\fploaipr.ini
C:\WINDOWS\system32\yrmiqdei.ini
C:\WINDOWS\system32\ivrnaedu.ini
C:\WINDOWS\system32\wgykqrqy.ini
C:\WINDOWS\system32\dyuvriaa.ini

registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{A5F97AB4-D69A-4BE1-996D-736991A2FBF6}

programs to launch on reboot:
c:\fix.reg

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.

Riesegui systemscan e lascia il flag o segno di spunta solo su "Recent files" e su "Registry run keys"

Posta il report di avenger e di systemscan come quello precedente

[aumas]

Questo è il log di suspectfile

http://www.savefile.com/files/1856635

Questo invece è il log di avenger:
http://www.savefile.com/files/1856641

Mi sono accorto dopo che si potevano postare insieme

[hell's bells]

Segui questa procedura:

scarica questo file sul desktop http://www.savefile.com/files/1856683 doppio click per eseguirlo, accetta le modifiche al registro, poi

riesegui avenger e nella finestra copia/incolla tutta la citazione

registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.

Rifammi cortesemente un systemscan ridotto come l'ultimo e postami di nuovo i 2 report.

[aumas]

suspectfile:

http://www.savefile.com/files/1856710

avenger:

http://www.savefile.com/files/1856711

[hell's bells]

Allora, files infetti non ce ne sono più, stranamente ci sono 2 chiavi di registro che non si muovono, quindi le rimuoviamo in altro modo, segui la procedura:

da start>>>esegui>>>digita regedit poi apri i valori a sinistra e arriva a questa chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows nel tabellino di destra cerca la voce AppInit_DLLs ci clicchi sopra, nel tabellino che si apre nella riga dati valore dovresti trovare btcuzy.dll eliminalo, poi sempre con l'editor del registro aperto clicca su file>>>importa>>>importa il file fix.reg di cui ti ho postato il link, poi premi f5.

Chiudi e riavvia il pc, poi ripostami il solito systemscan ridotto