VIRUS msn

[Merry]

chiacchieravo in msn ad un certo punto una mia amica inglese (che non parla italiano) mi passa un file con allegato zippato IMAGE 24 con una frase simpatica del tipo guarda che buffa foto mia sorella è proprio matta divertito apro lo zippato, fidandomi di lei e mi riporta ad un eseguibile di photobucker o una cosa simile che non riesco ad aprire. La cosa finisce lì. Dopo alcuni minuti msn si blocca per degli istanti rapidissimi delle caselle msn di miei contatti si aprono e chiudono rapidamente. Vengo avvertito che sto mandando l'allegato di prima capisco che era un virus VVoVe:

ho fatto girare di tutto:

avast!
avg
windows defender
ad-aware
spy-bot s&d
hijiackthis
kaspersky online e panda online

ora msn non manda più roba ma il pc resta lento e ad ogni riavvio nonostante abbia spuntato il ripristino mi riappaiono le voci incriminate...prima tra tutte VIRTUAMONDE! mi potete aiutare?

posto log di hijackthis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmi\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\miopc\Desktop\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica]
Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\SYSTEM32\Userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

QuickTime Task = "C:\Programmi\QuickTime\qttask.exe" -atboottime
SunJavaUpdateSched = C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
POINTER = point32.exe
avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
Apoint = C:\Programmi\Apoint2K\Apoint.exe
TkBellExe = "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
Windows Defender = "C:\Programmi\Windows Defender\MSASCui.exe" -hide
PCSuiteTrayApplication = C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
AVG7_CC = C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
36751852 = rundll32.exe "C:\WINDOWS\system32\bsxfviif.dll",b

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once

Spybot - Search & Destroy = "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
SpybotDeletingA9019 = command /c del "C:\WINDOWS\system32\cdbrcqac.dllbox"
SpybotDeletingC8420 = cmd /c del "C:\WINDOWS\system32\cdbrcqac.dllbox"

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
SpybotSD TeaTimer = C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\sstext3d.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Task Scheduler jobs:

MP Scheduled Scan.job

--------------------------------------------------

Enumerating Download Program Files:

[Microsoft Office Template and Media Control]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\IEAWSDC.DLL
CODEBASE = http://office.microsoft.com/templates/ieawsdc.cab

[CKAVWebScan Object]
InProcServer32 = C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
CODEBASE = http://www.kaspersky.com/kos/eng/par...an_unicode.cab

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/s...irector/sw.cab

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:\WINDOWS\system32\LegitCheckControl.DLL
CODEBASE = http://go.microsoft.com/fwlink/?linkid=39204

[InstallerBehaviorFactory Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MsnInstC.dll
CODEBASE = https://signup.msn.com/pages/MsnInstC.cab

[ewidoOnlineScan Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\EWIDOO~1.DLL
CODEBASE = http://download.ewido.net/ewidoOnlineScan.cab

[Checkers Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\msgrchkr.dll
CODEBASE = http://messenger.zone.msn.com/binary...r.cab56986.cab

[Minesweeper Flags Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\minesweeper.dll
CODEBASE = http://messenger.zone.msn.com/binary...r.cab31267.cab

[Windows Live Safety Center Base Module]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\wlscBase.dll
CODEBASE = http://scan.safety.live.com/resource...scbase5059.cab

[MUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\muweb.dll
CODEBASE = http://update.microsoft.com/microsof...?1137181591426

[MessengerStatsClient Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll
CODEBASE = http://messenger.zone.msn.com/binary...t.cab31267.cab

[InetDownload Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\WMDownload.dll
CODEBASE = https://media.pineconeresearch.com/A...oadcontrol.cab

[Lycos File Upload Component]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\FileUploader.dll
CODEBASE = http://f012.mail.lycos.it/app/uploader/FileUploader.cab

[MessengerStatsClient Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll
CODEBASE = http://messenger.zone.msn.com/binary...t.cab56907.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9c.ocx
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

--------------------------------------------------
End of report, 8.267 bytes
Report generated in 0,240 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

secondo hijiackthis tutto è regolare...ma il pc è lento e macina parecchio soprattutto all'avvio e non riesco a tenere più di una finestra aperta senza che il pc si rallenti.

aspetto fiducioso

[cionfs]

Ciao Merry,
hai provato semplicemente ad effettuare una deframmentazione con un programma di defrag, a cancellare i files temporanei, a cancellare tutto il "superfluo"?

Spesso il rallentamento di un pc può essere causato da quello

[Merry]

ma essendo pieno di maleware autoreplicanti non credo risolva il problema contavo di ripulirmi da tutto lo schifo e dopo fare defrag ecc... ad ogni avvio spybot mi trova virtumonde, mentre posto avg mi sta segnalando che sta togliendo hitbox, quindi come vedi pululo di schifezze come posso liberarmene? HELP ME PLEASE

[gpgiuit]

prova con spyeraser

a me succedeva che appena aprivo il messenger di microsoft o miranda (avevo provato a sostituire) dopo un po' non mi faceva navigare.

Ho provato con spyeraser, non sai quanti malware mi ha trovato.
Non so se risolverai ma provare non costa nulla.
Ciau

[bootzenn]

ciao

è un virus che gira da tempo su msn e quasi tutti gli antivirus lo riconosco solo che cambia spesso variante..se aspetti qualche giorno (2o3) kaspersky on-line, panda on line e antivir free sicuramente lo riconosceranno sistemando i tuoi problemi
prova anche prevx csi

[Deifobe]

prova anche con Vundofix, poi combofix e ripeti la scansione con spybot. Verifica quello che viene eliminato in tutte e tre le scansioni.

Prima di cominciare, visualizza i file nascostri e trova (puoi anche farlo analizzare se non ti senti sicuro di poterlo direttamente eliminare) file .dllbox in system32. Lo trovi nel log; da quello che so dovrebbe essere nascosto.

[Merry]

Ciao Deifobe grazie per il supporto. Ho fatto girare vundofix e non ha trovato nulla poi spybot e ha trovato il solito virtumonte. Ho cercato dllbox ma l'ho cancellato dal posto sbagliato (da spybot) e quindi mi è tornata fuori tutta la menata del virus tipo vaso di pandora VVoVe: VVoVe: aiutooooo

[Deifobe]

Scusa e combofix cosa ti ha trovato? O non l'hai fatto? uhmm
Scarica questi programmi se non li hai:
combofix
Superantispyware (aggiornalo).

Disconnessa da internet, disattiva antivirus, firewall e ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema").
Scansiona con combofix, poi spybot e Superantispyware.

Apri il registro (start - digita regedit) - ok)
clicca su modifica, poi su trova e digita dllbox. Se le trova, controlla che la fine del percorso in cui sono contenute sia \ACMru\5603 (vedi cartelline gialle a sinistra) e quindi procedi con l'eliminazione dei valori (cioe' devi eliminare solo le voci riferite a dllbox, mi raccomando, quelle che trovi nella finestra a destra.. non devi eliminare le cartelline gialle...).

Chiudi il registro, usa la funzione "cerca" dllbox e spunta in "opzioni avanzate" "cerca file e cartelle nascosti". Elimina i file che eventualmente trova.

Riattiva antivirus, firewall e ripr. configurazione di sistema.
Prova a fare tutto ma se sei insicura sul passaggio nel registro non farlo, risolviamo in un altro modo.

Posta i risultati delle scansioni (caricali su www.sendmefile.com e posta i link ottenuti).

Copia/incolla su un foglio word queste indicazioni.

[Merry]

ti ringrazio provo a farlo stasera con calma solo una curiosità ho fatto rigirare tutti gli spyware antivirus che avevo. non hanno rovato nulla però ero insospettita dal fatto che avevo cancellato vrtumonde da cartelle di avg. ho disinstallato e reinstallato avg e spybot. non segnala nulla dice che il pc è pulito. sarà vero? mah

[Deifobe]

mah, spero di si! se non rilevano più nulla va bene..
Non so cosa dirti, se vuoi puoi anche non eseguirla: l'avevo inserita perchè avevi scritto che ti era "tornata fuori tutta la menata del virus tipo vaso di pandora "

se navigando vedi che non hai probelmi allora è tutto ok