Spyware 2009

[B.Fortebraccio]

Salve

Il mio computer e' stato infettato da un virus veramente cattivo
l'ultimo aggiornamento dell'antivirus mi segnala un Trojan.VUNDO si manifesta
con una finestra che dice "YOU HAVE A SECURITY PROBLEM CLICK OK FOR SCAN YOUR SYSTEM " se si clicka su ok avviene un finto scan del computer ed il virus ti porta su un sito che vuole 20 Euro per avere un antivirus che loro dicono sia il migliore.
Compare anche un cerchio rosso barrato sulla barra delle applicazioni.
Come suggerisce AMVINFE ho effettuato uno scan usando SUSPECTFILE e quindi ho il report pronto.

AMVINFE e' disponibile ad aiutarmi come ha fatto con Massimo ?

[Deifobe]

ciao... ti vedo on line..
comincia a postare il rapporto. magari ti conviene

ciao
dei

[B.Fortebraccio]

Ciao Dei

grazie per la risposta

allego il link per scaricare il report

report_1232300473145_284.zip

[Deifobe]

ciao ti rispondo io.... se per te va bene..


Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\DOCUME~1\Pippo\IMPOST~1\Temp\ljJCtqRJ.bat
C:\WINDOWS\seeukluba.exe
C:\WINDOWS\salrtybek.exe
C:\WINDOWS\jikglond.exe
C:\WINDOWS\jiklagka.exe
C:\WINDOWS\tobmygers.exe
C:\WINDOWS\tobykke.exe
C:\WINDOWS\klopnidret.exe
C:\WINDOWS\jungertab.exe
C:\WINDOWS\iddqdops.exe
C:\WINDOWS\skaaanret.exe
C:\WINDOWS\zibaglertz.exe
C:\WINDOWS\aazalirt.exe
C:\WINDOWS\ronitfst.exe
C:\WINDOWS\system32\ijPWxyxx.ini
C:\WINDOWS\system32\ijPWxyxx.ini2
C:\WINDOWS\system32\jkkIAPGW.dll
C:\WINDOWS\system32\3f614f4c-.txt
C:\WINDOWS\system32\rpbsroyj.ini
C:\WINDOWS\system32\xxyxWPji.dll
C:\WINDOWS\system32\awttqpqR.dll
C:\WINDOWS\temp\tmp3.exe
C:\WINDOWS\temp\tmp3.tmp
C:\WINDOWS\temp\tmp19.exe
C:\WINDOWS\temp\tmp19.tmp
C:\WINDOWS\temp\tmp4C.exe
C:\WINDOWS\temp\tmp4C.tmp
C:\WINDOWS\system32\jyorsbpr.dll
C:\WINDOWS\sysguard.exe
C:\WINDOWS\system32\awttqpqR.dll
C:\WINDOWS\system32\xxyxWPji.dll
C:\WINDOWS\tasks\gyokqong.job

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | 34428b32
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

registry keys to delete:
HKLM\system\currentcontrolset\services\asc3550p
HKLM\system\controlset001\services\asc3550p
HKLM\system\controlset002\services\asc3550p
HKLM\system\currentcontrolset\enun\root\legacy_asc 3550p
HKLM\system\controlset001\enun\root\legacy_asc3550 p
HKLM\system\controlset002\enun\root\legacy_asc3550 p
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awttqpqR
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{0C90AFF8-9BA1-4F99-BCE7-47F549B51A17}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.

-----

apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"sysguard"=-

[-HKey_Classes_Root\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]

[-HKey_Classes_Root\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]

[-HKey_Classes_Root\CLSID\{0C90AFF8-9BA1-4F99-BCE7-47F549B51A17}]
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file

chiudi ed eseguilo. accetta le modifiche

-----

Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.

Posta il rapporto.

-----

posta anche un nuovo systemscan
ciao

[B.Fortebraccio]

Ciao Dei

Sei stata Splendida

Ho eseguito ESATTAMENTE le istruzioni che hai inserito nel forum , ora il PC -Testato per
un'ora di seguito non presenta alcun problema .

Non so' come ringraziarti ero disperato, avevo gia' salvato tutti i dati personali pronto alla
reinstallazione totale .

Ti allego lo zip file contenente i log di MalvereBytes e di Suspectfiles

reports.ZIP

[Deifobe]

.....ma che.. scusaci tu per il ritardo..

ora veniamo al pc.. ultime pulizie..

questi file li hai creati tu? se no, eliminali..

C:\11.reg
C:\9.reg
C:\4.reg
C:\3.reg
C:\2.reg
C:\1.reg


esegui hijackthis e fixa:

O2 - BHO: (no name) - {B07C9A2A-2471-40E3-89B8-DADF735C3690} - C:\WINDOWS\system32\xxyxWPji.dll (file missing)
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte)



dovessero esserci altri problemi, stiamo qui.

ciao

dei

[B.Fortebraccio]

Ciao Dei

Il mio PC continua a funzionare senza problemi.

Riguardo ai Files *.reg penso che siano stati creati da avenger o malwarebytes
comunque li ho cancellati.

Ti allego gli ultimi reports di SystemScan e MalwareBytes

Ti ringrazio di nuovo , penso se e' possibile, di approfittare ancora della porfessionalita'
Tua e di tutto il Team "Sicurezza Informatica e Virus" per Fixare il PC di un mio amico
che e' poco capace di muoversi fra questi tools.

LastReport.ZIP

[Deifobe]

tutto ok

riguardo il tuo amico, nessun problema.
ricorda solo che devi aprire un nuovo thread...


ciao
dei..