problema con win32:Vundo@dll[trj] che non se ne va ...

[Deifobe]

scarica Avenger e CCleaner

NB:durante la procedura accetta le modifiche al registro (per valori eliminati) richieste da Spybot

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{7E09D32C-E5E6-4184-B177-784CEE1E09C4}]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file

Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\WINDOWS\system32\drvmak.dll
C:\WINDOWS\system32\khfCVPfE.dll
C:\WINDOWS\system32\winetn32.dll
C:\WINDOWS\system32\winjrs32.dll
C:\WINDOWS\system32\winmyy32.dll

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {7E09D32C-E5E6-4184-B177-784CEE1E09C4}

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\winjrs32
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\khfCVPfE
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{7E09D32C-E5E6-4184-B177-784CEE1E09C4}]

programs to launch on reboot:
c:\fix.reg

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato


Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).


Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E09D32C-E5E6-4184-B177-784CEE1E09C4} - C:\WINDOWS\system32\khfCVPfE.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O20 - Winlogon Notify: khfCVPfE - C:\WINDOWS\SYSTEM32\khfCVPfE.dll
O20 - Winlogon Notify: winjrs32 - C:\WINDOWS\SYSTEM32\winjrs32.dll

NB: quelle in verde potresti già non trovarle più. Tutte le altre sono legittime ma superflue... quindi ne facciamo a meno.

Vai su Virustotal e analizza questo file: C:\WINDOWS\SYSTEM32\winver.bat. Se è infetto, rimuovilo (vedo che c'è anche un file winver.exe legittimo..)

Esegui nuovamente systemscan

Posta il rapporto di systemscan e quello di avenger (c:\avenger)