Vundo dll infette!

[nyloo]

Ciao a tutti!

Come da titolo, avast mi trova spesso e segnala dll infette da questo virus Vundo@dll. C'è un modo per eliminarlo definitivamente??
Da quando è infetto capita che all'avvio di windows compare l'errore relativo a Explorer.EXE, ma senza che io faccia partire internet explorer! anche perchè uso firefox..
Inoltre a volte la schermata "scompare" lasciando solo lo sfondo del desktop, per poi far riapparire le icone solo dopo qualche secondo.
E aggiungo che il pc è rallentato in ogni operazione.

Help!!!!!
e grazie in anticipo!

[Deifobe]

benvenuto,

scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

[nyloo]

ecco qui
http://www.savefile.com/files/1585139

grazie!

[Deifobe]

Ciao,

Copia queste indicazioni in un file di testo e salvalo.

Scarica Avenger e CCleaner

Vai su Virustotal e analizza questo files (copia/incolla il percorso)
C:\DOCUME~1\Utente\IMPOST~1\Temp\hyq661cx.exe
Se te lo riconosce come infetto eliminalo.
Se non lo è, visualizza i files nascosti, trova il file e cliccaci sopra una volta con il tasto destro del mouse. Seleziona "proprietà" e dimmi se è indicato il produttore.

Disconnetti il pc da internet

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{bbfb0291-fb03-4343-ad31-0e7160b50cd8}]

[-HKCR\CLSID\{27796771-8D05-4EE6-B478-43CE759F2106}]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


Esegui avenger e nella finestra copia/incolla questo script (compreso files to delete):

files to delete:
C:\WINDOWS\system32\b4fm.dll
C:\WINDOWS\xmpstean.exe
C:\WINDOWS\vregfwlx.dll
C:\WINDOWS\system32\khfFYRhH.dll
C:\WINDOWS\Resources\DriveSrv.dll
C:\DOCUME~1\Utente\IMPOST~1\Temp\jar_cache35051.tm p

registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | DriveSrv
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {27796771-8D05-4EE6-B478-43CE759F2106}

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfFYRhH
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{27796771-8D05-4EE6-B478-43CE759F2106}

programs to launch on reboot:
c:\fix.reg

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"

O2 - BHO: (no name) - {27796771-8D05-4EE6-B478-43CE759F2106} - C:\WINDOWS\system32\khfFYRhH.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O20 - Winlogon Notify: khfFYRhH - C:\WINDOWS\SYSTEM32\khfFYRhH.dll
O21 - SSODL: DriveSrv - {bbfb0291-fb03-4343-ad31-0e7160b50cd8} - C:\WINDOWS\Resources\DriveSrv.dll

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Svuota C:\WINDOWS\Prefetch

Esegui Systemscan e posta il rapporto della scansione

[nyloo]

hyq661cx.exe non è stato riconosciuto come infetto
e su proprietà le info che si hanno sono:

Descrizione: SpywareBlaster Setup
Copyright: Copyright (C) 2002-2008 Javacool Software LLC. All Rights Reserved.
Società: Javacool Software LLC
Commenti: This installation was built with Inno Setup.

Questo il report di avenger:



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\b4fm.dll" deleted successfully.
File "C:\WINDOWS\xmpstean.exe" deleted successfully.
File "C:\WINDOWS\vregfwlx.dll" deleted successfully.
File "C:\WINDOWS\system32\khfFYRhH.dll" deleted successfully.
File "C:\WINDOWS\Resources\DriveSrv.dll" deleted successfully.
File "C:\DOCUME~1\Utente\IMPOST~1\Temp\jar_cache35051.t mp" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\ShellServiceObjectDelayLoad|DriveSrv" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Ex plorer\ShellExecuteHooks|{27796771-8D05-4EE6-B478-43CE759F2106}" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfFYRhH" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Browser Helper Objects\{27796771-8D05-4EE6-B478-43CE759F2106}" deleted successfully.
Program "c:\fix.reg" successfully queued to run on reboot.

Completed script processing.

*******************

Finished! Terminate.


e appena ho finito metto il link di Systemscan!

[nyloo]

ecco qui http://www.savefile.com/files/1585355

[Deifobe]

è pulito. Riscontri altri problemi?

ciao
ps: messenger discovery ti serve? se no, disinsallalo

[nyloo]

Il pc sembra tornato a posto... quel programma in effetti non lo uso e adesso lo elimino..
GRAZIE 1000!!! anche per la tempestività!
Non so come avrei fatto senza il tuo aiuto! ...combinato disastri sicuramente

[Deifobe]

Devi disinstallarlo dalle applicazioni (quindi pannello di controllo => installazione applicazioni).

Dovessi aver problemi, puoi usare anche MSNFix, che dovrebbe rimuoverlo.
Scompatta MSNFix in una tua cartella creata in c:\programmi.
Inizialmente devi rispondere con I e invio - R (ricerca) e invio, N e invio. Alla fine della scansione troverai un file di testo e un file zip (quest'ultimo dovrai eliminarlo).
Posta il file di testo.



(ma prova prima con la normale disinstallazione )

[nyloo]

Fatto. Non ha dato problemi.. fino ad ora