In Windows/System32 ho il file in title che HiJackthis mi classifica come Trojan Vundo.
Se provo a eliminarlo manualmente dice che non posso perché il file lo sta usando un altro utente o fa parte di un processo.
Come devo comportarmi?
In Windows/System32 ho il file in title che HiJackthis mi classifica come Trojan Vundo.
Se provo a eliminarlo manualmente dice che non posso perché il file lo sta usando un altro utente o fa parte di un processo.
Come devo comportarmi?
ciao,
da quando HJT segnala i nomi delle infezioni? Probabile tu ti sia confuso
scarica sul desktp ComboFix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Esegui il programma appena scaricato e quando richiesto premi 1 per continuare.
============
scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.
NB
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.
--
-- RAPPORTO SystemScan:
vai su http://www.freefilehosting.net carica il file con estensione .zip e scrivi, nella tua prossima replica, l'URL per poterlo scaricare.
-- RAPPORTO Combofix:
portati in C:\ e carica su http://www.freefilehosting.net
il file ComboFix.txt, scrivi l'URL per poter scaricare il rapporto.
NB
anche durante l'uso di ComboFix disattiva l'antivirus e non usare il pc, mouse compreso.
Quando invio il file log per l'analisi mi dice:
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccdDsqn.dll
Da eliminare! [random file name] - VirtuMonde/Vundo, http://www.bleepingcomputer.com/forums/H ow-to-remove-the-TrojanVundoB-Search42co m-MSevents-tx18610-0.html#entry110599 adware variant
Quindi il nome lo dice, cmq ok proverò a scaricare anche l'altro...
Per il momento ho scaricato e usato ComboFix e questo è il report
http://freefilehosting.net/download/42ggb
Systemscan con IE non me lo faceva scaricare; con FF sì... ok
Ho il report anche per quanto riguarda System scan e questo è l'url per reperirlo zippato:
http://freefilehosting.net/download/42gib
Sopra trovi anche quello di ComboFix.
Appena puoi dimmi cosa devo fare, grazie.
scarica sul desktop questo file
http://www.mvps.org/winhelp2002/DelDomains.inf
Apri SystemScan>Clicca su "Removal Script".
All'interno del box bianco copia ed incolla i valori riportati qui sotto
ora clicca su "Proceed with removal" e poi su OK.Files to delete:
C:\WINDOWS\zip.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\system32\eddKRqss.ini
C:\WINDOWS\system32\eddKRqss.ini2
C:\WINDOWS\system32\qwdwkakk.ini
C:\WINDOWS\system32\kkakwdwq.dll
C:\WINDOWS\tasks\qrbakqxk.job
C:\WINDOWS\system32\kmnhla.dll
C:\WINDOWS\system32\wieutrha.dll
C:\WINDOWS\system32\2f618bed-.txt
C:\WINDOWS\system32\ssqRKdde.dll
C:\WINDOWS\system32\fccdDsqn.dll
C:\WINDOWS\system32\warning.gif
C:\WINDOWS\system32\ntdll64.exe
C:\WINDOWS\system32\uniq.tll
C:\WINDOWS\system32\test.ttt
C:\WINDOWS\system32\khfGvvur.dll
C:\WINDOWS\system32\SpywareRemover.exe
C:\WINDOWS\system32\d3d9caps.dat
Folders to delete:
C:\Programmi\vghd
C:\Documents and Settings\gabriele.GABRIELEPICHI\Dati applicazioni\vghd
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | 24424f93
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{62FC6ED8-0CE2-40C8-942D-7EC2E645025B}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{bd036aac-cae8-4757-b9da-d9b69db9d811}
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente
clicca di dx su DelDomains.inf>seleziona "Installa"
Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt) insieme ad un nuovo SystemScan
Il file txt di avenger è questo http://freefilehosting.net/download/42h51.
Non so se è inutile per te saperlo ma relativamente a questa voce
File C:\WINDOWS\tasks\qrbakqxk.job not found!
Deletion of file C:\WINDOWS\tasks\qrbakqxk.job failed!
posso dirti che sotto tasks non ho nessuna operazione pianificata.
L'operazione qrbakqxk l'avevo messa a 0 tramite regedit.
Nel pomeriggio ti posto anche il nuvo System scan
Ecco il nuovo System scan zippato
http://freefilehosting.net/download/42h7a
Apri SystemScan>Clicca su "Removal Script".
All'interno del box bianco copia ed incolla i valori riportati qui sotto
ora clicca su "Proceed with removal" e poi su OK.Registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify | fccdDsqn
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{476FD5CB-9844-4054-9D36-BAEC0B42ABB9}
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente
Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt)
PS
solo se lamenti altri problemi, spiegami quali e scrivi il link ad un nuovo SystemScan
Permessi di invio
Rispondi quotando