vundo colpisce ancora...

[marcociccone]

Spero di trovare aiuto almeno qui... qualche giorno fa mi sono preso il vundo.gen... dopo mille peripezie sono riuscito a toglierlo (in parte), in compenso adesso ogni volta che avvio il pc non posso usare il desktop. Tutte le icone sono scomparse, idem per la taskbar e per le il tasto destro del mouse. Ho provato ad usare il tool della Symantec per eliminare vundo, ma non ha funzionato. Ho provato anche VundoFix che mi ha trovato questa dll infetta: C:\WINDOWS\system32\iifcawx.dll, ma quando clicco su remove vundo mi dice che il file è protetto ed non si può eliminare e di riprovare dopo aver riavviato il pc. E' inutile dire che dopo il riavvio del pc non riesco ancora ad eliminare quel file... come antivirus ho McAfee VirusScan AOL Edition, ma praticamente è come non averlo visto che a quanto pare questo trojan se ne sta indisturbato nel mio pc. Qualcuno mi può aiutare? Usare il pc tramite il task manager sta iniziando a diventare frustrante =(

P.S.
Non mi sono neanche presentato! Mi chiamo Marco cmq

EDIT:
Ho provato anche ad aprire "explorer.exe" e "%System%/explorer.exe", ma mi dice che il programma è impossibile da trovare.

[amvinfe]

riavvia in modalità provvisoria ed avvia il tool Symantec, se anche in provvisoria non viene eliminato eseguiuna scansione online su

http://www.pandasoftware.com/actives..._principal.htm

[marcociccone]

La scansione con panda software non riesco a farla perché ora sto navigando con firefox e non riesco a navigare con IE perché non riesco ad aprirlo tramite task manager... è come se fosse scomparso! Ora provo in modalità provvisoria... come hai detto tu. Se non funziona provo a postarvi il log di Hijack This...

[marcociccone]

Allora...

Ho provato FixVundo (quello della Symantec) in modalità provvisoria e non trova nulla.
Ho riprovato anche VundoFix sia in modalità normale che in modalità provvisoria e mi dice che c'è una dll infetta (il nome della dll è lo stesso che ho scritto nel primo post), ma in entrambi i casi non riesce ad eliminarla e dice che è necessario il reboot del computer. Anche dopo il reboot (sia in modalità normale che in modalità provvisoria) continua ad essere impossibile cancellare quella maledetta dll.

Visto che non posso fare scansioni online perché non posso usare IE pensavo di provare a scaricare la trial di Kaspersky prima di postare il log di Hijack This... consigli?


N.B.
Mi ero anche dimenticato di dire che ieri ho provato anche VirtumundoBeGone e non trovava nessun virus.

[marcociccone]

Ce l'ho fatta! Sono andato nel registro e ho cancellato le chiavi per explorer.exe e iexplorer.exe... ora ho ripristinato tutto! Se ho qualche problema, nei prossimi giorni posto...

[marcociccone]

Come non detto... ho ripristinato explorer.exe e iexplorer.exe, ma Avira AntiVir e Kaspersky (la versione trial) mi rilevano ancora sto vundo in alcune dll e non riescono a cancellare il file... help =(

[amvinfe]

Scarica
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now " al termine della scansione verrà rilasciato in C:\suspectfile un file con estensione .zip (data+ora+.zip) cariaclo su www.sendmefile.com e scrivi l'URL per poterlo scaricare.

NB
lascansione deve essere effuttuata non connesso e con antivirus disabilitato, ricordati di riabilitare le protezioni prima di connetterti nuovamente.

[marcociccone]

Ho seguito le istruzioni passo passo...

L'url è questo: http://www.sendmefile.com/00610532

Tra l'altro nel report ho trovato le dll che l'antivirus mi segna come infette, sono 3-4 e sono tutte nella sezione Browser Helper Objects... se serve ti dico quali sono.

Cmq grazie x tutto quello che stai facendo!

[amvinfe]

ti sto preparando la procedura di rimozione

[amvinfe]

Scarica
http://www.filehippo.com/download_ccleaner/
ed installalo, lo useremo successivamente.

salva questa pagina per poter procedere comodamente con la rimozione

disattiva l'antivirus, disconnettiti da internet

apri SystemScan e clicca su "Removal Script", copia ed incolla il seguente script all'interno del box bianco

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\mmjxydvu.ini
C:\WINDOWS\system32\ddabc.dll
C:\WINDOWS\system32\hsqqedin.dll
C:\WINDOWS\system32\syhjwsiv.dll
C:\WINDOWS\system32\ijbueckf.dll
C:\WINDOWS\system32\fkceubji.ini
C:\WINDOWS\system32\gjilaygb.dll
C:\WINDOWS\system32\cbadd.ini2
C:\WINDOWS\system32\cbadd.ini
C:\DOCUME~1\Cicco\IMPOST~1\Temp\AAX308.tmp
C:\DOCUME~1\Cicco\IMPOST~1\Temp\3q93E3.tmp
C:\DOCUME~1\Cicco\IMPOST~1\Temp\AAX13D.tmp
C:\DOCUME~1\Cicco\IMPOST~1\Temp\AAX3AE.tmp
C:\DOCUME~1\Cicco\IMPOST~1\Temp\AAX29.tmp
C:\DOCUME~1\Cicco\IMPOST~1\Temp\3169644
C:\DOCUME~1\Cicco\IMPOST~1\Temp\AAX49.tmp
C:\DOCUME~1\Cicco\IMPOST~1\Temp\AAX381.tmp
C:\DOCUME~1\Cicco\IMPOST~1\Temp\removalfile.bat
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\iifcawx.dll
C:\WINDOWS\system32\mlljk.dll
C:\WINDOWS\system32\hsqqedin.dll
C:\WINDOWS\system32\gjilaygb.dll
C:\DOCUME~1\Cicco\IMPOST~1\Temp\win13C.exe
C:\DOCUME~1\Cicco\IMPOST~1\Temp\win154.bat

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \34cc591f

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks\{9AA57522-2ECD-47DF-BD38-20E7E577A464}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{38253AA1-B7CB-4562-BBDE-AB0341B440B5}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{799C1013-489B-42C4-A344-86D700895700}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{addaf5bf-de45-443a-99a8-dfb32b02cd95}

ora seleziona
"Proceed with removal" e dai l'OK.

Il pc si riavvierà, diversamente riavvialo manualmente.


Al riavvio verrà mostrata la finestra di SystemScan ed un avviso di esito positivo o negativo della rimozione.
Portati in C:\ e copia ed incolla, nella tua prossima risposta, il contenuto del file avenger.txt


Ora disconnettiti nuovamente e disabilita l'antivirus.
Esegui un nuovo scan con SystemScan e posta il nuovo URL per scaricare il report, mi servirà per vedere se tutto è stato rimosso e per darti nuove indicazioni per come rimuovere, questa volta manualmente, alcuni valori nel registro di sistema.


NB:
prima di riconnetterti la prima volta apri CCleaner, seleziona "Opzioni">Avanzate e togli la spunta da
"Cancella file in Windows Temp solo se più vecchi di 48 ore"
Ora clicca sull'icona "Pulizia" e poi, in basso a dx, su "Avvia Pulizia"


NB2:
lascia installato solo un antivirus, il secondo deve essere disinstallato o non avere il controllo in real-time