Win32/Adware.Virtumonde.NCH

[Julyen]

Salve a tutti,

durante una delle scansioni periodiche con Nod32, l'antivirus ha riportato la presenza di un virus con questo messaggio:

variante di Win32/Adware.Virtumonde.NCH applicazione trovato nella memoria operativa. Questo file può essere cancellato. Assicurati di aver salvato i tuoi dati prima di cancellarlo. Alle infezioni della memoria non può essere applicata alcuna azione. Clicca "Nessuna azione" per continuare e quindi eseguire la pulizia di tutti i dischi locali. Infezione della memoria originata dal file C:\WINDOWS\system32\cbXOFutU.dll.

Purtroppo Nod non mi dava la possibilita' di cancellare o mettere in quarantena il file, cosi' ho provato a fare direttamente la scansione dell'intera directory system32, rilevando la presenza di piu' file infetti.

Per quanto l'antivirus rilevi l'infezione dei file e per quanto io possa cancellare e fare scansioni, i file continuano a spuntare ad ogni riavvio, e la scansione del Nod continua a rilevare la presenza del Virtumonde.

Ho provato a eseguire la scansione in modalita' provvisoria, ma il risultato e' stato lo stesso; ho provato a fare una scansione con VundoFix 7.0.6, ma non ha rilevato alcun virus... Nel frattempo l'avvio del computer e' sempre piu' lento e problematico, e io mi trovo a corto di idee

Potreste darmi una mano a sistemare il problema, per favore?

Questo e' il log di hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.23.22, on 17/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Documents and Settings\Administrator\Dati applicazioni\Facegame\Facegame.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [user32] C:\Documents and Settings\Administrator\Dati applicazioni\user32.exe
O4 - HKLM\..\Run: [b0548d83] rundll32.exe "C:\WINDOWS\system32\ftxnanfm.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [wupdate] C:\Documents and Settings\Administrator\Dati applicazioni\wunauclt.exe
O4 - HKCU\..\Run: [Facegame] "C:\Documents and Settings\Administrator\Dati applicazioni\Facegame\Facegame.exe" 61A847B5BBF72810329B385577F801F0B3E35B6638993F4661 AA4EBD86D67C56389B284534F310
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.it/
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4504 bytes


Vi ringrazio anticipatamente per la pazienza e la gentilezza

[Deifobe]

ciao,

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[Julyen]

Originariamente inviato da Deifobe
ciao,

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

Innanzitutto, grazie per l'aiuto e per la risposta velocissima

Ho seguito alla lettera le tue istruzioni... ecco il link al log della scansione: http://www.savefile.com/files/1844244

Aspetto la diagnosi... Sia sincera, dottoressa: e' grave?

[Deifobe]

allora, scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto e non chiudere il programma.

per ora non eliminare nulla, voglio prima controllarlo

se sono on line, ti dico al volo cosa eliminare.

[Julyen]

Fatto! Mi ha un po' traumatizzato vedere ben 18 elementi infetti rilevati... E nod ne rilevava uno solo.

Ecco il log:

Malwarebytes' Anti-Malware 1.29
Versione del database: 1278
Windows 5.1.2600 Service Pack 2

17/10/2008 17.57.35
mbam-log-2008-10-17 (17-57-23).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 120694
Tempo trascorso: 39 minute(s), 1 second(s)

Processi delle memoria infetti: 1
Moduli della memoria infetti: 3
Chiavi di registro infette: 8
Valori di registro infetti: 3
Elementi dato del registro infetti: 2
Cartelle infette: 1
File infetti: 7

Processi delle memoria infetti:
C:\Documents and Settings\Administrator\Dati applicazioni\Facegame\Facegame.exe (Trojan.Agent) -> No action taken.

Moduli della memoria infetti:
C:\WINDOWS\system32\ftxnanfm.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\urqOIawV.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\cbXOFutU.dll (Trojan.Vundo) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{07faa62b-2f85-4009-ada2-f2b5d7e74c74} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbxofutu (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{07faa62b-2f85-4009-ada2-f2b5d7e74c74} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{24eb34c8-5527-4e80-86f2-947ea33353fe} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{24eb34c8-5527-4e80-86f2-947ea33353fe} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\b0548d83 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{07faa62b-2f85-4009-ada2-f2b5d7e74c74} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\facegame (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\urqoiawv -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqoiawv -> No action taken.

Cartelle infette:
C:\Documents and Settings\Administrator\Dati applicazioni\Facegame (Trojan.Agent) -> No action taken.

File infetti:
C:\WINDOWS\system32\cbXOFutU.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\urqOIawV.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\VwaIOqru.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\VwaIOqru.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ftxnanfm.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\mfnanxtf.ini (Trojan.Vundo.H) -> No action taken.
C:\Documents and Settings\Administrator\Dati applicazioni\Facegame\Facegame.exe (Trojan.Agent) -> No action taken.




Come mi hai consigliato di fare, non ho rimosso ancora nulla e ho lasciato il programma in esecuzione

Base, qui Alfa: siamo in posizione e restiamo in attesa di ulteriori istruzioni :P

PS: mi sono appena accorto di non avere disabilitato nod32 durante la scansione... nelle tue istruzioni non era scritto perche' sottinteso che dovessi farlo? Oppure il fatto che fosse attivo non mina l'affidabilita' della scansione di malwarebytes?

[Deifobe]

ok, rimuovi tutto e posta un nuovo systemscan
grazie


edit: tranquillo, va bene quello che ha trovato..

[Julyen]

Sono io che ringrazio te, sei veramente gentile

Allora, prima le cattive notizie... Dopo la rimozione e il riavvio ho provato una scansione con nod32, e mi ha trovato ancora il solito virus... quindi temo che non sia stato rimosso da malwarebytes.

Ecco il nuovo systemscan: http://www.savefile.com/files/1844564

[Deifobe]

controllo il rapporto.....
non so se ci vorrà parecchio.. comunque ti rispondo non appena finisco..

[Julyen]

Nessun problema: sono ancora lontano dall'insorgere dei primi sintomi della sindrome di Stoccolma, posso aspettare

Resto in attesa della nuova diagnosi... Ancora grazie per l'aiuto

[Deifobe]

Scarica Avenger e CCleaner

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"wupdate"=-

[-HKey_Classes_Root\CLSID\{07FAA62B-2F85-4009-ADA2-F2B5D7E74C74}]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\removalfile.bat
C:\WINDOWS\002406_.tmp
C:\WINDOWS\system32\xxyxVnkh.dll
C:\WINDOWS\system32\ddcDwwvs.dll
C:\WINDOWS\system32\bb7749fd-.txt
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\Documents and Settings\Administrator\Dati applicazioni\wunauclt.exe
C:\Documents and Settings\Administrator\Dati applicazioni\user32.exe

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | user32
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {07FAA62B-2F85-4009-ADA2-F2B5D7E74C74}

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayvSmMF
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcDwwvs

programs to launch on reboot:
c:\fix.reg

clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Esegui hijackthis e fixa, se ancora presenti:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [user32] C:\Documents and Settings\Administrator\Dati applicazioni\user32.exe
O4 - HKCU\..\Run: [wupdate] C:\Documents and Settings\Administrator\Dati applicazioni\wunauclt.exe
O20 - Winlogon Notify: ddcDwwvs - C:\WINDOWS\SYSTEM32\ddcDwwvs.dll
O20 - Winlogon Notify: yayvSmMF - yayvSmMF.dll (file missing)


Posta un nuovo systemscan