problema vundo@dll

[mattimatti]

è da 2-3 giorni che un virus trojan vundo mi tormenta. non è che mi dia dei problemi visibili, ma il pc ogni tanto si blocca e comunque va a rilento. ho gia provato a eliminarlo con avast home, vundofix, ccleaner, adaware 2007 e hijackthis ma non riesco a toglierlo. ogni volta che mi si presenta l'avviso, il file infetto ha un nome diverso con estensione .dll nella cartella system32 e nei processi attivi ce n'è uno sospetto: klgjog.exe. qualcuno può aiutarmi senza dover formattare il pc?

grazie

[Deifobe]

si, benvenuto..
Scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Sendmefile oppure su Savefile e posta il link ottenuto.

[mattimatti]

ecco il link: http://www.sendmefile.com/00630326

[Deifobe]

ok, guardo il rapporto e ti faccio sapere.

[mattimatti]

va bene grazie

[Deifobe]

scarica Avenger e CCleaner

apri il blocco note e incollaci dentro questo:

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{129FA2A1-408C-4824-83A4-5001581FD01E}]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\WINDOWS\system32\vtULbbCr.dll
C:\DOCUME~1\Mattia\IMPOST~1\Temp\CmdLineExt03.dll

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {129FA2A1-408C-4824-83A4-5001581FD01E}

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtULbbCr
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{129FA2A1-408C-4824-83A4-5001581FD01E}

programs to launch on reboot:
c:\fix.reg

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato


Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"

O2 - BHO: (no name) - {129FA2A1-408C-4824-83A4-5001581FD01E} - C:\WINDOWS\system32\vtULbbCr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe "
O20 - Winlogon Notify: vtULbbCr - C:\WINDOWS\SYSTEM32\vtULbbCr.dll

NB: quelle in verde potresti non trovarle

posta un nuovo rapporto di systemscan

Ciao

[mattimatti]

ecco il report:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\vtULbbCr.dll" deleted successfully.
File "C:\DOCUME~1\Mattia\IMPOST~1\Temp\CmdLineExt03.dll " deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Ex plorer\ShellExecuteHooks|{129FA2A1-408C-4824-83A4-5001581FD01E}" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtULbbCr" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Browser Helper Objects\{129FA2A1-408C-4824-83A4-5001581FD01E}" deleted successfully.
Program "c:\fix.reg" successfully queued to run on reboot.

Completed script processing.

*******************

Finished! Terminate.

[Deifobe]

il pc come va?

[mattimatti]

adesso va come bene. grazie dell'aiuto. anche il processo fastidioso non si apre più.

[Deifobe]

ok, tutto ok allora.
dovesse servire altro basta scrivere..

ciao