Win32/Adware.Virtumonde.NCH

[Julyen]

Ho eseguito la prima parte delle istruzioni, eseguendo Avenger come mi hai spiegato.

Al riavvio, il pc ha dato un errore, dicendo che il file fix.reg non esisteva... E in effetti, tornando a verificare in C: non c'era piu'.

Questo e' il report rilasciato da avenger:

Error: file "C:\WINDOWS\system32\xxyxVnkh.dll" not found!
Deletion of file "C:\WINDOWS\system32\xxyxVnkh.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\ddcDwwvs.dll" deleted successfully.
File "C:\WINDOWS\system32\bb7749fd-.txt" deleted successfully.
File "C:\WINDOWS\tasks\At3.job" deleted successfully.
File "C:\WINDOWS\tasks\At1.job" deleted successfully.
File "C:\WINDOWS\tasks\At2.job" deleted successfully.
File "C:\Documents and Settings\Administrator\Dati applicazioni\wunauclt.exe" deleted successfully.

Error: file "C:\Documents and Settings\Administrator\Dati applicazioni\user32.exe" not found!
Deletion of file "C:\Documents and Settings\Administrator\Dati applicazioni\user32.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n|user32" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Ex plorer\ShellExecuteHooks|{07FAA62B-2F85-4009-ADA2-F2B5D7E74C74}" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayvSmMF" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcDwwvs" deleted successfully.
Program "c:\fix.reg" successfully queued to run on reboot.

Completed script processing.

*******************

Finished! Terminate.

E' normale che mi abbia dato quell'errore? Il file l'avevo creato, come da tue istruzioni... Di questo sono sicuro.

Vado avanti con il ccleaner e le altre istruzioni e ti mando il nuovo systemscan?

[Julyen]

Ho seguito tutte le tue indicazioni.... Ecco il log del Systemscan dopo la pulizia:

http://www.savefile.com/files/1844749

Sembra tutto molto piu' veloce e fluido di prima... Il log com'e'?

Qual'e' la diagnosi finale?

EDIT: per evitare il triplo post, edito questo...

Il sistema sembra molto piu' stabile e veloce di prima, non ci sono piu' ritardi all'avvio ne' all'esecuzione di programmi... Ho fatto una scansione con nod32, e non ha trovato traccia del virus in memoria.

Continuando la scansione pero' ha rilevato 3 virus:


C:\Programmi\update.zip »ZIP »update1.exe - Win32/TrojanDownloader.Agent.AHUS cavallo di troia

C:\Programmi\update.zip »ZIP »update2.exe - variante modificata di Win32/Adware.Virtumonde.NCC applicazione

C:\System Volume Information\_restore{8AC853D0-E53D-4574-9B59-386273539F88}\RP2\A0000013.dll - variante modificata di Win32/Adware.Virtumonde.NCH applicazione


I primi due, come puoi vedere, erano in un archivio che ho prontamente cancellato... l'ultimo invece mi veniva data la possibilita' di cancellarlo tramite il prompt di nod32 stesso, e cosi' ho fatto.

La cosa strana e' che quell'archivio fino al precedente avvio del sistema non c'era proprio, nella directory programmi... Ne sono ragionevolmente sicuro

Comunque, ripeto, il sistema sembra stabile e l'antivirus non da' tracce di virus in memoria... Cosa mi consigli a questo punto?

Comunque, devo proprio ringraziarti... Gentilissima e precisa, oltre che competente. Grazie davvero

[Deifobe]

controllo il rapporto. a tra poco..

[Deifobe]

si sono ricreati i file. hai eseguito lo zip eliminato?

analizza su Virustotal C:\WINDOWS\system32\CF1981.exe e posta i risultati.

nel frattempo preparo la procedura..

[Julyen]

Ecco il risultato dell'analisi di Virustotal:

http://www.virustotal.com/it/analisi...2bfd64a8a49d04

Non ho eseguito lo zip, l'ho rimosso e cancellato dal cestino

EDIT: scusa, avevo fatto analizzare il file sbagliato. Ho corretto mandando il nuovo, il link sopra ora e' corretto.

[Deifobe]

nota: se il file CF1981.exe risulta pulito, eliminalo dallo script di avenger.

in un file di testo copia/incolla:

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{29263FD2-F977-4FDD-92E0-804D08B50A83}]

chiamalo: fix.reg
tipo di file: tutti i file


esegui con avenger:

files to delete:
C:\WINDOWS\system32\LUBHNXbc.ini
C:\WINDOWS\system32\LUBHNXbc.ini2
C:\WINDOWS\system32\tnqhscki.exe
C:\WINDOWS\system32\rbinbiwp.ini
C:\WINDOWS\system32\pwibnibr.dll
C:\WINDOWS\system32\cbXNHBUL.dll
C:\WINDOWS\system32\CF1981.exe
C:\WINDOWS\system32\pwibnibr.dll

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | b0548d83

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{29263FD2-F977-4FDD-92E0-804D08B50A83}

programs to launch on reboot:
c:\fix.reg

clicca su execute


Non appena puoi, fai una scansione on-line con Kaspersky:
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra) => al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e posta il rapporto.

Posta anche un nuovo systemscan: eseguilo, clicca su "unselect all" e punta solo le scansioni "recent files" e "registry run keys" (le restanti non servono). Posta questo rapporto

[Deifobe]

magari qualcuno c'era e non l'ho visto io....... mah

esegui la scansione e vediamo cos'altro trova kaspersky

riguardo il file: zippalo ed elimina quello exe presente. Tieni nel pc la copia zippata.
svuota il cestino

[Julyen]

Ho seguito tutte le istruzioni nel tuo primo reply, mi manca solo la scansione con kaspersky online.

Intanto, ecco i log... Prima Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\LUBHNXbc.ini" deleted successfully.
File "C:\WINDOWS\system32\LUBHNXbc.ini2" deleted successfully.
File "C:\WINDOWS\system32\tnqhscki.exe" deleted successfully.
File "C:\WINDOWS\system32\rbinbiwp.ini" deleted successfully.
File "C:\WINDOWS\system32\pwibnibr.dll" deleted successfully.
File "C:\WINDOWS\system32\cbXNHBUL.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\pwibnibr.dll" not found!
Deletion of file "C:\WINDOWS\system32\pwibnibr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n|b0548d83" deleted successfully.

Error: registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Browser Helper Objects\{29263FD2-F977-4FDD-92E0-804D08B50A83}" not found!
Deletion of registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Browser Helper Objects\{29263FD2-F977-4FDD-92E0-804D08B50A83}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Program "c:\fix.reg" successfully queued to run on reboot.

Completed script processing.

*******************

Finished! Terminate.

Anche questa volta dopo il riavvio mi ha dato lo stesso errore di prima, dicendomi che il file c:\fix.reg non esiste... Ma e' normale?

E poi, il log di systemscan:

http://www.savefile.com/files/1844851

Non ho ben capito di quale file exe parli quando mi chiedi di zippare ed eliminare... CF1981.exe? La scansione di nod non rileva virus, e neppure quella fatta da virustotal sembra rilevarne (o sbaglio?). Devo ugualmente zipparlo?

Adesso vado a fare la scansione su kaspersky e posto il log appena fatto...

Ancora grazie per l'aiuto

[Deifobe]

scarica ed esegui questo file (dura un attimo, non vedrai nulla) http://www.sendmefile.com/00652654

si parlavo del file CFxxx.exe. al limite deviamo cosa succede...
il rapporto mi sembra pulito, eccetto una cosina da eliminare nel registro (spero lo farà il file postato)


edit: non ringraziarmi, mi fa piacere...sto qui per questo...

a dopo




edit2: se vuoi, puoi disconnettere il pc da internet. La scansione continuerà comunque..

[Julyen]

Ho eseguito il file che mi hai mandato, e come mi avevi detto non ho visto nulla :P

La scansione di kaspersky e' in esecuzione (70% al momento) e ho rimosso l'eseguibile di cui parlavi prima dopo averlo messo in un archivio.

Per curiosita', ma quel messaggio che mi dava dopo il riavvio a seguito dell'esecuzione di avenger (quello in cui mi diceva che non riusciva a trovare il file fix.reg anche se io l'avevo creato) era normale?

Dopo la scansione di kaspersky mando l'ultimo systemscan, per sicurezza... Incrocio le dita