Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 13
  1. 06-12-2008, 00:25 #1
    facri
    facri non è in linea
    Utente di HTML.it
    Registrato dal
    Dec 2008
    Messaggi
    7

    Rimuovere trojans TR/crypt.XPACK.Gen e Vundo.Gen

    Ciao a tutti! Sono nuovo di questo forum. Non riesco ad eliminare alcuni trojan dal mio pc...spero che voi possiate darmi una mano.

    Il mio antivirus è Avira. Da oggi succede che Avira mi segnala in continuazione la presenza dei due trojan TR/crypt.XPACK.Gen e Vundo.Gen in alcuni files con estensione .dll all'interno della cartella C:/Windows/System32. Avira non riesce ad eliminarli, nè a metterli in quarantena, nè riesce ad intraprendere qualsiasi altra azione contro questi virus.
    Ho fatto anche la scansione dell'intero sistema, con Avira, ma non ha risolto il problema.

    Come faccio ad eliminare questi fastidiosi trojans?
    Ringrazio anticipatamente per le risposte.
    Rispondi quotando Rispondi quotando
  2. 06-12-2008, 12:22 #2
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    Scarica e installa malwarebytes.
    Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
    Esegui una "scansione completa" (seleziona l'opzione)
    A scansione completata, posta il rapporto.

    per ora non rimuovere nulla
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  3. 06-12-2008, 20:19 #3
    facri
    facri non è in linea
    Utente di HTML.it
    Registrato dal
    Dec 2008
    Messaggi
    7
    Ecco il rapporto...ci ha messo più di 6 ore a fare la scansione!!!

    Malwarebytes' Anti-Malware 1.31
    Versione del database: 1466
    Windows 5.1.2600 Service Pack 3

    06/12/2008 19.12.56
    mbam-log-2008-12-06 (19-12-49).txt

    Tipo di scansione: Scansione completa (C:\|D:\|)
    Elementi scansionati: 394885
    Tempo trascorso: 6 hour(s), 39 minute(s), 33 second(s)

    Processi delle memoria infetti: 0
    Moduli della memoria infetti: 4
    Chiavi di registro infette: 19
    Valori di registro infetti: 4
    Elementi dato del registro infetti: 6
    Cartelle infette: 0
    File infetti: 11

    Processi delle memoria infetti:
    (Nessun elemento malevolo rilevato)

    Moduli della memoria infetti:
    C:\WINDOWS\system32\khfEvSkK.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\yabajuku.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\zowirewa.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\hgGwUllJ.dll (Trojan.Vundo) -> No action taken.

    Chiavi di registro infette:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hggwullj (Trojan.Vundo.H) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{90db5182-f914-4b02-81b7-56cd5a426bef} (Trojan.Vundo.H) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{90db5182-f914-4b02-81b7-56cd5a426bef} (Trojan.Vundo.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{e2f2fd92-cb84-4475-9d23-b22d6c9aa2a4} (Trojan.Vundo.H) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{e2f2fd92-cb84-4475-9d23-b22d6c9aa2a4} (Trojan.Vundo.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{1af9d3c1-6b43-4b7c-9a77-519fcc3c5e6c} (Trojan.Vundo.H) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{1af9d3c1-6b43-4b7c-9a77-519fcc3c5e6c} (Trojan.Vundo.H) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{1af9d3c1-6b43-4b7c-9a77-519fcc3c5e6c} (Trojan.Vundo.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

    Valori di registro infetti:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\zunelusizu (Trojan.Vundo.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\55dd2963 (Trojan.Vundo.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\zunelusizu (Trojan.Vundo.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

    Elementi dato del registro infetti:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\khfevskk -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\zowirewa.dll -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\zowirewa.dll -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\zowirewa.dll -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\khfevskk -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

    Cartelle infette:
    (Nessun elemento malevolo rilevato)

    File infetti:
    C:\WINDOWS\system32\hgGwUllJ.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\khfEvSkK.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\KkSvEfhk.ini (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\KkSvEfhk.ini2 (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\goccuv.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\yabajuku.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\zenonabi.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\zowirewa.dll (Trojan.Vundo.H) -> No action taken.
    C:\Documents and Settings\Fabio Cristofoli\Impostazioni locali\Temporary Internet Files\Content.IE5\Q4LV79PQ\cntr[1] (Trojan.Vundo.H) -> No action taken.
    C:\Documents and Settings\Fabio Cristofoli\Impostazioni locali\Temporary Internet Files\Content.IE5\WIROFZ1S\InstallAVv_770522168489[1].exe (Rogue.Installer) -> No action taken.
    C:\WINDOWS\system32\~.exe (Trojan.Vundo.H) -> No action taken.
    Rispondi quotando Rispondi quotando
  4. 06-12-2008, 22:18 #4
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    rimuovi quanto trovato..

    scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

    carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

    nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  5. 07-12-2008, 23:15 #5
    facri
    facri non è in linea
    Utente di HTML.it
    Registrato dal
    Dec 2008
    Messaggi
    7
    Il file di systemscan è:

    http://www.savefile.com/files/1920049
    Rispondi quotando Rispondi quotando
  6. 07-12-2008, 23:41 #6
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

    files to delete:
    C:\DOCUME~1\FABIOC~1\IMPOST~1\Temp\jar_cache49370. tmp
    C:\DOCUME~1\FABIOC~1\IMPOST~1\Temp\pmnoMgHb.bat
    C:\DOCUME~1\FABIOC~1\IMPOST~1\Temp\vtUoNFXR.bat
    C:\DOCUME~1\FABIOC~1\IMPOST~1\Temp\utt3.tmp.bat
    C:\DOCUME~1\FABIOC~1\IMPOST~1\Temp\utt3.tmp
    C:\DOCUME~1\FABIOC~1\IMPOST~1\Temp\utt2.tmp
    C:\WINDOWS\system32\5efeed1d-.txt
    C:\WINDOWS\system32\twkalgmd.ini
    C:\WINDOWS\system32\euuogyqj.ini
    C:\WINDOWS\system32\ppvhufjk.ini
    C:\WINDOWS\temp\TMP35.tmp
    C:\WINDOWS\temp\TMP35.exe
    C:\WINDOWS\temp\TMP9D.exe
    C:\WINDOWS\temp\TMP9D.tmp
    C:\WINDOWS\temp\TMP2C.exe
    C:\WINDOWS\temp\TMP2C.tmp
    C:\Documents and Settings\Fabio Cristofoli\Dati applicazioni\wklnhst.dat
    C:\WINDOWS\tasks\rjsqtjbu.job

    registry values to replace with dummy:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
    Spunta "Automatically disable any rootkits found" e clicca su "execute".
    Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in c:\avenger


    Apri un file di testo e copiaci dentro:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    "UpdatesDisableNotify"=dword:00000000
    ;
    salvalo come:
    nome: fix.reg
    tipo di file: tutti i file
    chidilo ed esegitlo - accetta le modifiche (dura un attimo)

    Posta un nuovo systemscan


    Fai una scansione on-line con Kaspersky:
    clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
    => seleziona "my computer" (a sinistra)
    => al termine della scansione clicca su "View Scan Report"
    => "Save Report As" => salva e posta il rapporto.
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  7. 08-12-2008, 22:29 #7
    facri
    facri non è in linea
    Utente di HTML.it
    Registrato dal
    Dec 2008
    Messaggi
    7
    La scansione con SystemScan mi si blocca alla voce 7 "Alternate Data Stream"

    Il report di avenger è:

    http://www.savefile.com/files/1920086


    Il report di Kaspersky (7 ore di scansione!!!):

    http://www.savefile.com/files/1921473
    Rispondi quotando Rispondi quotando
  8. 09-12-2008, 01:26 #8
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    ok
    riguardo systemscan, puoi togliere la spunta (nella finestra principale) alla 7 scansione

    (in generale, vale per tutte quelle che si bloccano)


    Oppure, puoi eseguire 2 scansioni.... una dalla 1^ alla 6 - e una dall'8^ in poi
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  9. 09-12-2008, 22:57 #9
    facri
    facri non è in linea
    Utente di HTML.it
    Registrato dal
    Dec 2008
    Messaggi
    7
    Ho dovuto escludere 2 voci da SystemScan per evitare che si bloccasse la scansione (Alternate Data Stream & Hidden Files)

    i links dei report di SystemScan sono:
    http://www.savefile.com/files/1923033
    http://www.savefile.com/files/1923041
    http://www.savefile.com/files/1923044
    Rispondi quotando Rispondi quotando
  10. 09-12-2008, 23:36 #10
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    elimina C:\WINDOWS\system32\govutoru

    ed eimina tutti i C:\sqmdataxx.sqm numerati da 01 a 13
    e tutti i C:\sqmnooptxx.sqm numerati sempre da 01 a 13

    scarica, installa ed esegui CCleaner e ripulisci i file temporanei e i cookie (ripulisci il pc di tanto in tanto)


    il pc come va?
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.