Win32:vundo@dll[trj] e Win32:vundrop(drp) dropper

[dr.gix]

Ciao a tutti,

sono un neofita del forum in quanto nel cercare una soluzione ai due virus elencati nel titolo ho trovato altri utenti con i miei stessi problemi:

da un paio di giorni sono assillato da Win32:vundo@dll[trj] che fortunatamente ho scoperto non essere un virus letale per il pc però è molto fastidioso devo ammettere.
Stasera è comparso Win32:vundrop(drp) dropper che cercando su internet sembrerebbe essere correlato al primo citato.

Dal momento che non so come risolvere il problema qualcuno potrebbe venirmi gentilmente in aiuto?

Il mio antivirus è Avast 4.8 home edition e già sono in possesso di CCleaner.

Grazie mille anticipatamente a chiunque mi risponda

Aspetto vostre news...

PS bisogna trovare il modo di eliminare tutti i virus presenti in circolazione; specialmente CHI li mette in circolazione!!!

[hell's bells]

Segui queste operazioni preliminari:

Scarica SystemScan da qui Systemscan

1)disconnetti il pc da internet
2)disattiva l'antivirus
3)esegui systemscan poi clicca su "Scan Now"
4)a scansione terminata riattiva l'antivirus
5)il programma ti rilascera un file di report posizionato sul desktop, postalo sul forum seguendo questa scaletta

a) andare sul sito http://www.sendmefile.com/
b) click su sfoglia
c) scegliere il file di log, txt dal proprio computer
d) click su Upload
e) click su save
f) copiare ed incollare sul forum il link per il download che trovate sotto la voce
[ Here is a link for your reference: ]

[dr.gix]

Ok, fatto.

Ecco il report. Mi ha creato un file .txt e uno zippato che apparentemente sembra uguale... Ti ho allegato solamente il primo.

http://www.sendmefile.com/00630941

[hell's bells]

Ho ricevuto il tuo pm e ti dico che il tuo report è in fase di analisi, attendi.

[Deifobe]

Scarica Avenger e CCleaner

clicca start - pannello di controllo - opzioni internet - connessioni
in "connessioni" elimina => [Internet Connection] e imposta la tua come predefinita

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{14370F76-7676-44A2-AD11-93A31C5FC9FC}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"ChristmasTree"=-

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


Esegui avenger e nella finestra copia/incolla:

files to delete:
C:\DOCUME~1\User\IMPOST~1\Temp\Rar$EX00.954\Christ mas.exe
C:\DOCUME~1\User\IMPOST~1\Temp\r742923952.exe
C:\WINDOWS\system32\qoMdbyvW.dll
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At1.job
C:\Documents and Settings\User\Dati applicazioni\wunauclt.exe

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {14370F76-7676-44A2-AD11-93A31C5FC9FC}

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{14370F76-7676-44A2-AD11-93A31C5FC9FC}

programs to launch on reboot:
c:\fix.reg

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Svuota C:\WINDOWS\Prefetch

Usa la funzione cerca di windows, trova ed elimina Christmas.exe (se presente)

Esegui systemscan

Posta il rapporto di systemscan e quello di avenger (c:\avenger) - (caricali sempre su savefile)

[dr.gix]

Ok, fatto tutto.

A fine esecuzione di avenger, in seguito al riavvio, mi è comparso il messaggio che notificava l'impossibilità di trovare C:\fix.reg
Io ho copiato e salvato come mi hai detto tu.

Boh...

In ogni caso ha creato il report. Poi ho eseguito CCleaner 2 volte, fatto la scansione con SystemScan scollegando sia la rete che l'antivirus e ora ti posto entrambi i report.

Scusa se non te li linko con savefile ma è tre giorni che ho effettuato la registrazione e non mi hanno ancora inoltrato la mail di attivazione...

systemscan report: http://www.sendmefile.com/00631139
avenger report: http://www.sendmefile.com

Devo notificarti di tre situazioni nuove:

1. mi è comparso per la prima volta un dialer [trj]
2. il pc, quando decide, si connette automaticamente e se lo disconnetto ricompone il numero
3. capita che la connessione salti da sola

Le tre situazione appena riportate non si erano mai presentate prima; sono collegate sempre a vundo?

Grazie



@ dr.gix: ho eliminato il link al backup di avenger. Dei

[Deifobe]

ciao dr.gix,
il problema del dialer (i tre punti che citi): ti avevo scritto di eliminare una connessione chiamata "internet connection"; i problemi sono dovuti proprio a questa connessione.

sono collegate sempre a vundo?: temo di si, sto vedendo che le due infezioni (precedentemente separate) ora le ritrovo insieme. Quindi bisogna eliminare l'una e l'altra.

Scarica Locate32 e installalo:
Clicca su esegui => avanti x 3 => togli tutte le spunte e spunta solo "create files .dbs files...." => clicca su "fine"
(se poi vuoi crearti l'icona sul desktop spunta anche la prima voce)

Eseguilo (start => tutti i programmi => locate => locate 32)
nella finestra che si apre clicca su: options => settings => auto update => add
in "schedule updates" inserisci At Startup => ok

Poi, clicca su "Size and Date"
metti la spunta a "minimum filesize " e nella finestra a destra digita 14348 ("bytes")
metti la spunta a "maximum filesize " e nella finestra a destra digita 14348 ("bytes")

Clicca su "find now", comparirà un elenco di files.
Clicca su file => save reports => salvalo

Poi, fai una nuova ricerca:
metti la spunta a "minimum filesize " e nella finestra a destra digita 15360 ("bytes")
metti la spunta a "maximum filesize " e nella finestra a destra digita 15360 ("bytes")

Clicca su "find now", comparirà un elenco di files.
Clicca su file => save reports => salvalo

carica i rapporti su Savefile

- - - - -

Poi, vai su Kaspersky_virusscanner
clicca su "kaspersky online scanner"
clicca su "accept"
--- verrà eseguito il download dei componenti necessari alla scansione
quando è terminato clicca su "next"
clicca su "scan settings"
spunta "extended" e dal l'ok
clicca su "my computer"
clicca su "scan settings"
salva e posta il rapporto di scansione (caricalo su Savefile e posta il link ottenuto)

[dr.gix]

Ok, fatto tutto. La scansione mi ha portato via un po' di tempo ma tutto ok.
Allora:

- internet connection l'avevo già cancellata precedentemente quando mi hai detto tu; ora non esiste più...

- eseguendo locate32 impostando come minimum e maximum filesize 14348 bytes e avviando la ricerca, non ottengo né alcun file elencato né nessun file dal nome savereport

- eseguendo locate32 impostando come minimum e maximum filesize 15360 bytes e avviando la ricerca ottengo si un elenco di files ma nessuno di nome savereport.

- dopo aver eseguito kaspersky virusscanner ho ottenuto i seguenti risultati che, non sapendo in che formato salvare, ho salvato sia in txt che in html. Te li posto entrambi, sempre in sendmefile perchè non mi arriva la mail di attivazione di savefile.

report in txt --> http://www.sendmefile.com/00631234
report in html --> http://www.sendmefile.com/00631235

dal report risultano si delle infezioni e sono presenti anche i nomi; non so come eliminarle però.

Rimango in attesa di tue indicazioni a riguardo. Per il momento grazie mille dell'aiutosia a te che a hell's bell

[Deifobe]

- dopo aver eseguito kaspersky virusscanner ho ottenuto i seguenti risultati che, non sapendo in che formato salvare, ho salvato sia in txt che in html. Te li posto entrambi, sempre in sendmefile perchè non mi arriva la mail di attivazione di savefile

ehmm.. veramente ti avevo scritto che dovevi salvare (per poi postare) quel rapporto.

visualizza file e cartelle nascoste

elimina manualmente (e svuota il cestino): C:\Documents and Settings\User\Dati applicazioni\setup_it[1].exe

esegui systemscan, clicca su "unselect all" e spunta solo la scansione "recent file". Caricala su Savefile e posta il link o sendmefile.

Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"

Riavvia il pc

Riattiva il ripristino (stesso percorso ma stavolta togli la spunta a "disattiva ripristino configuraz. di sistema")

[dr.gix]

Ok, ci sono. Scusa per il silenzio stampa ma ho trascorso il weekend fuori.

Fatto tutto; ecco il link

http://www.sendmefile.com/00631713

rimango in attesa di nuove istruzioni...

grazie