TR/vundo.gen + modalità provvisoria

[Robincook]

Ciao a tutti. Come avrete capito dal titolo sono infettato da questo virus. Ho letto per intero il topic dedicato al vundo ma ho cmq deciso di aprire un nuovo topic perchè il mio problema sembra essere leggermente diverso (sentitevi cmq liberi di integrare questo post a quel thread se necessario). Quello che mi accade è sostanzialmente questo: ad ogni avvio, Avira Antivir Pe rileva due .dll infetti nella cartella System32. Se seleziono l'opzione "elimina" al nuovo riavvio dell'S.O. i 2 .dll vengono ricreati e Antivir ne rileva la presenza. Ho installato ed eseguito altri antivirus tra cui il KIS, l'AVK, l'avast, l'AVG professional, il nod 32 e il pc cillin. Se si esclude l'infezione data dal vundo.gen non ho altre particolari minacce. Ho eseguito uno scan con hijack che però non individua nulla di anomalo e non è in grado di rintracciare nel registro di sistema il percorso da cui si "rigenerano" i vari .dll virali. Ho applicato i vari fix e tool per la rimozione del vundo.gen (3 in tutto) ma nessuno sembra trovare traccia del virus dopo che Avira ne ha eliminato i .dll dal file system. Ho pensato di eseguire le scansioni in modalità provvisoria ma, orrore degli orrori, questa non è più utilizzabile. Mi appare una schermata con scritto STOP: errore 0*0000007b. Mi si chiede di controllare se il pc non ha virus o di fare uno scandisk. Lo scandisk non ha rilevato nulla di che. Ho anche eseguito il comando fixmbr dalla console di ripristino di XP, ma nulla. Qualcuno sa spiegarmi se il problema vundo è direttamente collegato al secondo problema, quello della modalità provvisoria, e come eventualmente procedere per riattivare quest'ultima.

[Deifobe]

Scarica SistemScan

Disconnettiti da internet => disattiva l'antivirus => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su www.sendmefile.com e posta il link ottenuto.
Se hai problemi con il SeDebug, scarica SeDebug-Restore ed esegui l'applicazione. Riavvia e riprova con SystemScan

Dopo l'esecuzione di systemscan non lanciare nessun'altra scansione, non rimuovere nessun file

[Robincook]

un po antiprivacy questo tool ma se necessario, ben venga. il link al file è questo REPORT la password è 58965.

[Robincook]

ho tentato anche con i comandi da console di ripristino: CHKDSK /P /R e BOOTCFG /rebuild ma continuo a ricevere lo stesso messaggio di errore con la stessa schermata blu ogni volta che tento di avviare XP in modalità provvisoria. Heeeelppp pleeeeze. Ora, ogni volta che lancio un applicazione (thunderbird, firefox, ecc) un nuovo dll infetto viene individuato.

[Deifobe]

apri il registro (start - esegui - digita regedit e dai l'ok)
clicca su "modifica" - "trova" SadNet
se trova qualcosa importa delle foto e caricale su sendmefile.

elimina:
C:\Documents and Settings\pippo\Dati applicazioni\GDIPFONTCACHEV1.DAT

[Robincook]

non ho trovato nulla che riguardi SadNet nel registro. Ho cancellato il file da te indicato e seguito questa guida symantec per la rimozione manuale del Trojan.Vundo (quale non è specificato).

# Click Start > Run.
# Type regedit

Then click OK.

# Navigate to the keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLE vents\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLE vents.1\CLSID

# In the right pane, delete the value:

"[Default value]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"

# Navigate to the key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runonce

# If it exists, in the right pane, delete the value:

"*WinLogon = "[Trojan full path file name] ren time:[random number]"

# Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce

# If it exists, in the right pane, delete the value:

"*[Trojan file name]" = "[Trojan full path file name] rerun"

# Navigate to the key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\

# If it exists, in the right pane, delete the value:

"*[Trojan file name]" = "[Trojan full path file name]"

# Navigate to and delete the following registry entries:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\ActiveState
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB 7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\
Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2353FCB C-012D-487B-8BF3-865C0929FBEB} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATL Distrib\CLSID\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATL Distrib.1\CLSID\
HKEY_USERS\S-1-5-21-2068663838-1736639611-1443527720-500\Software\Microsoft\Windows
\CurrentVersion\Ext\Stats\{2353FCBC-012D-487B-8BF3-865C0929FBEB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22E85F2 A-4A67-4835-B2C3-C575FE4EC322}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.A DOUsefulNet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.A DOUsefulNet.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{22E85F2A-4A67-4835-B2C3-C575FE4EC322}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60}
HKEY_CLASSES_ROOT\CLSID\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPC Updater
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPC Updater.1

# Exit the Registry Editor.



Nessuno di questi valori è presente nel mio registro! Sono nella ME...A!

[Deifobe]

fammi sapere se si riforma quel file avira_GDIPFONTCACHEV1.DAT

certe guide non puoi prenderle alla lettera. Se non hai trovato nessuna CLSID non vuol dire nulla. Le tue potrebbero chiamarsi in modo diverso e non lo sai. tutto qui.

{E32A7AB6-545C-485C-94C9-00D34BCF1BD3}
cercala nel tuo pc e nel registro. Che l'hai nella cartella temp già lo so.
non eliminare nulla!

[Robincook]

Sempre gentilissimo Deifobe. La voce da te indicata è situata qui:

Chiave: "[HKEY_CURRENT_USER] Software\Microsoft\Search Assistant\ACMru\5603"
Corrispondenza trovata nei dati del valore: ""000"" = ""{E32A7AB6-545C-485C-94C9-00D34BCF1BD3}""

nessun altra occorenza trovata sul pc (tra i file e le cartelle).

2 Domande: cos'è quella chiave? Credi che sia stato questo vundo a inibire l'accesso alla utilità di ripristino causando l'errore 0*0000007b? ormai sto impazzendo per cercare di riabilitare il safe mode di xp. l'opzione /SAFE BOOT spuntabile in msconfig-->boot.ini credi che possa permettermi di accedere alla modalità provvisoria?

P.S: il file .dat dovrebbe riformarsi dopo il riavvio o anche in questo momento'

[Deifobe]

non usare assolutamente quella modalità per entrare in provvisoria...
se non ci entri non ti conviene forzarla, potresti non poter più accedere nè alla normale (preclusa da te cambiando l'opzione) nè in provvisoria (dove già non riesci ad entrare).

quella voce nel registro non è utile..

prova a riavviare e non se ne parla più.. così vedi se trova altri virus..

[Robincook]

al nuovo riavvio Avira Antivir PE rileva ed elimina (su mio comando) i soliti .dll ecco un report dell'antivirus

Virus or unwanted program 'TR/Vundo.Gen [TR/Vundo.Gen]'
detected in file 'C:\WINDOWS\system32\ddcywww.dll.
Action performed: Delete file

Virus or unwanted program 'TR/Vundo.Gen [TR/Vundo.Gen]'
detected in file 'C:\WINDOWS\system32\ddccyaw.dll.
Action performed: Delete file

Error detected in AntiVir Guard.
Error message: Action failed for file: C:\WINDOWS\system32\ddccyaw.dll
Error code: [0x00000005 - Accesso negato.]

Ogni volta che tento di aprire un'applicazione i due dll vengono rilevati ed "eliminati" (si fa per dire).