vundo - virtumonde - winlogonhook

**Deifobe** · 27-07-2008, 21:06

ciao.. allora, vedo che qualcosa si è riformato ma solo come valori e chiavi, di files non hai nulla.

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{c8fe7d8d-22dc-49ed-8461-e3343d29a491}]

[-HKEY_USERS\S-1-5-21-3808285475-2364932172-1398707126-1007\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{c8fe7d8d-22dc-49ed-8461-e3343d29a491}]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file

Esegui avenger e nella finestra copia/incolla tutta la citazione:

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwim32
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{c8fe7d8d-22dc-49ed-8461-e3343d29a491}

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | 485e7027

programs to launch on reboot:
c:\fix.reg

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

con registry search tool cerca:
iifdaaAR
hjtnauqw
c8fe7d8d-22dc-49ed-8461-e3343d29a491
485e7027

e posta i risultati

edit : modificato

**muriel** · 27-07-2008, 21:59

Faccio subito

**muriel** · 27-07-2008, 23:26

In realtà sono riuscito a farlo solo ora...

Fatto lo scan con Avira.

Ecco il log:

http://www.savefile.com/files/1692623

Quanto ai controlli fatti con Registry search tool, sono di seguito per i 5 "cespiti".

Con mio fratello sono andato su Regedit fino alla cartella RUN: se li tolgo da lì, rimangono?

Comunque se tu mi volessi dare l'ultima mano per finire (speriamo) il lavoro, te ne sarei grato.

Io domani non so se sono on-line, ma prima di partire l'ultima passatina la do di sicuro...

Grazie mille ancora...e per la pizza l'invito è sempre valido.

mu

1) winwim32: no found!!!!!!

2) iifdaaAR: no found!!!!!!

3) hjtnauqw:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "hjtnauqw" 27/07/2008 23.09.30

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"485e7027"="\"rundll32.exe\" \"C:\\WINDOWS\\system32\\hjtnauqw.dll\",b"

4) c8fe7d8d-22dc-49ed-8461-e3343d29a491:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "c8fe7d8d-22dc-49ed-8461-e3343d29a491" 27/07/2008 23.13.44

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_USERS\S-1-5-21-3808285475-2364932172-1398707126-1007\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{c8fe7d8d-22dc-49ed-8461-e3343d29a491}]

[HKEY_USERS\S-1-5-21-3808285475-2364932172-1398707126-1007\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{c8fe7d8d-22dc-49ed-8461-e3343d29a491}\iexplore]

5) 485e7027:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "485e7027" 27/07/2008 23.16.37

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"485e7027"="\"rundll32.exe\" \"C:\\WINDOWS\\system32\\hjtnauqw.dll\",b"

**Deifobe** · 27-07-2008, 23:35

aggiorna la pagina di tanto in tanto.. ti modifico direttamente lo script per avenger (l'ultimo che ho postato).
altrimenti dobbiamo cercare ancora.. o usare un tool..

avira ha eliminato C:\WINDOWS\system32\RtlGina2.dll.. io non ricordo per quale motivo l'avevo lasciato.. poi vedo..

Riguardo la chiave RUN.. si, quel valore si ricrea (se vedi, lo hai già eliminato un paio di volte... compreso nell'ultimo avenger)

edit: ho anche visto che, almeno fino alle ricerche, non c'era winwim32. Avevi eseguito avenger immediatamente prima? Altrimenti è probabile che si ricrei

**muriel** · 27-07-2008, 23:37

Grazie!

a domani o dopodomani, allora

P.S.: mi sono messo l'avvertimento via mail!

Salutone e grazie

**Deifobe** · 27-07-2008, 23:39

ok

ciao...

ps: ovviamente devi creare anche il file di testo fix.reg...

**muriel** · 27-07-2008, 23:43

sì, avevo eseguito avenger direttamente prima...

**muriel** · 27-07-2008, 23:45

ok, quando mi mandi cerco di capire...
salutone anche a te

**muriel** · 27-07-2008, 23:48

Dimenticavo di ringraziarti infinitamente ancora.
Se non fosse che ho perso quasi due giorni (e il primo giorno e mezzo invano), sarei quasi contento della cosa che mi è capitata, perché mi ha fatto capire quanto sia importante tenere in ordine il pc. Voto per l'avvenire.

Un salutone

**Deifobe** · 27-07-2008, 23:54

tranquillo.. poi vediamo come risolvere anche il fastidio del registro.
quello che mi interessa (fammi sapere) è che non ci siano i files cui fanno riferimento..

riguardo il pc, si.. e con avira dovresti trovarti bene

Discussione: vundo - virtumonde - winlogonhook

Strumenti discussione

Ricerca discussione

Visualizza

Permessi di invio