vundo - virtumonde - winlogonhook

[Deifobe]

scarica Registry Search Tool Avenger e CCleaner (salva i programmini nella pen)


Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{c8fe7d8d-22dc-49ed-8461-e3343d29a491}]

salvalo con il nome nome: fix.reg
tipo di file: tutti i file
trasferisci il file nella pen


Salva la seguente citazione in un blocco note (chiamalo script.txt ), salvalo e trasferiscilo nella pen

files to delete:
C:\WINDOWS\BM4b6d43bb.xml
C:\WINDOWS\BM4b6d43bb.txt
C:\WINDOWS\system32\1051433682.dat
C:\WINDOWS\system32\actmoviel.exe
C:\WINDOWS\system32\winwim32.dll
C:\WINDOWS\system32\wquantjh.ini
C:\WINDOWS\system32\ordwepus.tmp
C:\WINDOWS\system32\iifdaaAR.dll
C:\WINDOWS\system32\437db459-.txt
C:\WINDOWS\system32\kycopxkd.dll
C:\WINDOWS\system32\RAaadfii.ini2
C:\WINDOWS\system32\RAaadfii.ini
C:\WINDOWS\system32\hjtnauqw.dll
C:\WINDOWS\opnkiGWm.dll
C:\WINDOWS\system32\opnkiGWm.dll

registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | 485e7027

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnkiGWm
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{c8fe7d8d-22dc-49ed-8461-e3343d29a491}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{5bba03d0-78fe-43b5-8d23-81eb74934ce7}

programs to launch on reboot:
c:\fix.reg

---

vai all'altro pc

trasferisci i programmi

trasferisci in c:\ il file fix.reg

Esegui avenger e nella finestra copia/incolla tutto il contenuto del file script.txt (compreso "files to delete:")

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Svuota C:\WINDOWS\Prefetch

Esegui Registry Search Tool e cerca separatamente:
845e0d4f
winwim32
swnf54

posta i risultati delle ricerche, un nuovo systemscan e il rapporto di avenger

[muriel]

Magnifico, grazie.
Faccio in modalità normale o provvisoria?
In provvisoria non mi legge la chiavetta però.
Dovrei salvare e poi dovrei riavviare.
Faccio in normale?
Grazie

[Deifobe]

mod. normale...

[muriel]

Cara,
ecco il report di avenger qui di seguito (spero di non sbagliare...).
al primo riavvio dopo avenger si è spento di nuovo tutto.
Al secondo mi ha detto che non trovava più fix.reg.
poi per ragioni oscure è crashato di nuovo tutto.
Al terzo tentativo si è riavviato.

Ora faccio il resto.

Che dici, ce la facciamo?

A prestissimo

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "swnf54" found!
Driver disabled successfully.

Rootkit scan completed.

File "C:\WINDOWS\BM4b6d43bb.xml" deleted successfully.
File "C:\WINDOWS\BM4b6d43bb.txt" deleted successfully.
File "C:\WINDOWS\system32\1051433682.dat" deleted successfully.
File "C:\WINDOWS\system32\actmoviel.exe" deleted successfully.
File "C:\WINDOWS\system32\winwim32.dll" deleted successfully.
File "C:\WINDOWS\system32\wquantjh.ini" deleted successfully.
File "C:\WINDOWS\system32\ordwepus.tmp" deleted successfully.
File "C:\WINDOWS\system32\iifdaaAR.dll" deleted successfully.
File "C:\WINDOWS\system32\437db459-.txt" deleted successfully.
File "C:\WINDOWS\system32\kycopxkd.dll" deleted successfully.
File "C:\WINDOWS\system32\RAaadfii.ini2" deleted successfully.
File "C:\WINDOWS\system32\RAaadfii.ini" deleted successfully.

Error: file "C:\WINDOWS\system32\hjtnauqw.dll" not found!
Deletion of file "C:\WINDOWS\system32\hjtnauqw.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\opnkiGWm.dll" not found!
Deletion of file "C:\WINDOWS\opnkiGWm.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\opnkiGWm.dll" not found!
Deletion of file "C:\WINDOWS\system32\opnkiGWm.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n|485e7027" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnkiGWm" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Browser Helper Objects\{c8fe7d8d-22dc-49ed-8461-e3343d29a491}" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Browser Helper Objects\{5bba03d0-78fe-43b5-8d23-81eb74934ce7}" deleted successfully.
Program "c:\fix.reg" successfully queued to run on reboot.

Completed script processing.

*******************

Finished! Terminate.

[Deifobe]

mah. Posta le ricerche con registry search tool.

[muriel]

Mi è andato via il simbolino malefico sul tray di Windows "security" center (oltre che lo sfondo del desktop e qualche altro ammenicolo) è il pc ha tutto un altro spolvero... mi sa che siamo sulla buona strada... o almeno spero.

Report di Registry search toolkit

"No instances of 845e0d4f found"

per "winwim32":

http://www.savefile.com/files/1692069

per "swnf54":

http://www.savefile.com/files/1692074

report di ScanSystem:

http://www.savefile.com/files/1692076

come è andata?
Grazie

mu

[Deifobe]

controllo i rapporti
comincia a scaricare SmitfraudFix

a dopo

[muriel]

Scaricato.
Attendo la tua analisi con apprensione.
Grazie. Io son qui.
Mu

[Deifobe]

ok, abbiamo ancora 1 avenger da eseguire..

Scarica anche Norman Malware Cleaner

avvia il PC in modalità provvisoria ed esegui Norman Malware Cleaner.
Finita la scansione, rimuovi i files infetti trovati e posta il log che viene generato sul desktop.

Sempre in modalità provvisoria, esegui SmitfraudFix. Seleziona l'opzione 2 (Clean) e premi invio. Alla domanda "Registry cleaning - Do you want to clean the registry ?" digita "Y" e dai l'invio. Il computer si riavviera' per completare il processo di pulizia (altrimenti riavvialo tu in modalita' normale). Sul desktop verra' visualizzato un file di testo che dovrai postare (lo trovi anche in C:\rapport.txt).

collegati con il pc, vai su Virustotal e analizza questi due filels:
C:\WINDOWS\System32\drivers\845e0d4f.sys
c:\WINDOWS\system32\drivers\Swnf54.sys

posta i risultati fino alla riga MD5 compresa

Poi, vai sui files, cliccaci sopra con il tasto destro del mouse e seleziona "proprietà"
vedi se è indicato la società o il copyright (se si, dimmi qual è)

Non resta molto da fare..

[muriel]

Fiuh! sollievo!
ci metto tutto me stesso, allora.
Ci mettero un'oretta a fare tutto, mi sa (solo Norman ci mette una mezz'oretta, mi pare di ricordare).
secondo te è pericoloso che io mi porti dietro quei due file sul pc sano per farli analizzare dal sito?
Dici che posso connetermi da quello infetto?
E' che ho paura che se c'è ancora qualcosa che non va, quello si scarichi di nuovo tutte le infezioni da internet... non disponendo io di un firewall.
Cosa ne pensi? Mi porto tutto in chiavetta?
Grazie, sei fantastica.

Mu

P.S.: intanto inizio il lavoro