Ciao, non riesco a rimuovere questo virus. Spero mi possiate dare una mano.
Ho provato inutilmente Avg e VirIT in modalità provvisoria senza successo. Ho provato a rimuovere i file con killbox, ma nemmeno cosi' riesco a venirne a capo. mi poteet dare una mano? Grazie
Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.
per ora non rimuovere nulla
ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Ciao Deifobe,
grazie per l'interessamento. Eccoti i risultati:
Malwarebytes' Anti-Malware 1.31
Versione del database: 1602
Windows 5.1.2600 Service Pack 3
03/01/2009 19.41.14
mbam-log-2009-01-03 (19-41-07).txt
Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 111398
Tempo trascorso: 29 minute(s), 34 second(s)
Processi delle memoria infetti: 1
Moduli della memoria infetti: 4
Chiavi di registro infette: 41
Valori di registro infetti: 10
Elementi dato del registro infetti: 2
Cartelle infette: 0
File infetti: 17
Processi delle memoria infetti:
C:\WINDOWS\fxstaller.exe (Backdoor.Bot) -> No action taken.
Moduli della memoria infetti:
C:\WINDOWS\system32\gyjkgduh.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tuvSijKE.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\kjwsdk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nnnljkIa.dll (Trojan.Vundo) -> No action taken.
Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{21cdcfca-f81e-401f-82cd-92910595ca24} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{21cdcfca-f81e-401f-82cd-92910595ca24} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{2747ec86-0fe1-4d53-8f92-e8cbde95ec96} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2747ec86-0fe1-4d53-8f92-e8cbde95ec96} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnljkia (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{21cdcfca-f81e-401f-82cd-92910595ca24} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{3e720452-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{e79dfbca-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWay) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\W MPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlo ok\Addins\MyWebSearch.OutlookAddin (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Word\ Addins\MyWebSearch.OutlookAddin (Adware.MyWebSearch) -> No action taken.
Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\a8db3490 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\My Web Search Bar Search Scope Monitor (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\windows lol layer (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\windows lol layer (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices\windows lol layer (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\ (Adware.Hotbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Media\WMSDK\Sources\f3PopularScreensavers (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\User Agent\Post Platform\FunWebProducts (Adware.MyWebSearch) -> No action taken.
Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\tuvsijke -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\tuvsijke -> No action taken.
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
C:\WINDOWS\system32\kjwsdk.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tuvSijKE.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\EKjiSvut.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\EKjiSvut.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\nnnljkIa.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\gyjkgduh.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hudgkjyg.ini (Trojan.Vundo.H) -> No action taken.
C:\spc.exe (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Cecilia\Impostazioni locali\Temporary Internet Files\Content.IE5\4W14YRVH\index[1] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Cecilia\Impostazioni locali\Temporary Internet Files\Content.IE5\WLT94W7G\upd105320[1] (Trojan.Vundo.H) -> No action taken.
C:\Documents and Settings\Cecilia\Impostazioni locali\Temporary Internet Files\Content.IE5\WLT94W7G\file[1].exe (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Cecilia\Impostazioni locali\Temporary Internet Files\Content.IE5\WLT94W7G\divx[1] (Trojan.Vundo) -> No action taken.
C:\Programmi\Windows Live\Messenger\riched20.dll (Adware.MyWebSearch) -> No action taken.
C:\WINDOWS\system32\f3PSSavr.scr (Adware.MyWebSearch) -> No action taken.
C:\WINDOWS\system32\frjqptdd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\sagg.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\fxstaller.exe (Backdoor.Bot) -> No action taken.
ok, rimuovi tutto, poi scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus
carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.
nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.
Poi dovresti farmi una cortesia:
visualizza file e cartelle nascoste
zippa la cartella c:\documents and settings\Cecilia\dati applicazioni\malwarebytes\Malwarebytes' Anti-Malware\quarantine e carica anche questo su freefilehosting.
questo link devi inviarmelo con un messaggio privato (non postarlo sul forum, mi raccomando)
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Dopo aver ripulito ho fatto una scansione in modalità provvisoria con Malwarebytes che mi ha segnalato di nuovo la presenza del virus, a questo punto ho usato killbox per rimuoverlo all'avvio e al momento il sistema sembra pulito.
Un ringraziamento a tutti voi e uno in particolare a Deifobe.
Rey
Ho parlato troppo presto..
Oggi all'accensione mi sono trovato l'ennesimo msg di allert.
Ho fatto una scansione con AVG che ha trovato 2 Trojan backdoor.ircbot.GTO
A questo punto penso di aver cantato vittoria troppo presto. Resto in attesa di suggerimenti..
Rey
Originariamente inviato da rey_mf
Resto in attesa di suggerimenti..per seguirli?
se si, mi posti il systemscan che ti avevo chiesto?
ciao...
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Ciao Deifobe,
ti ho inviato quello che mi hai chiesto il giorno stesso ma la tua casella di posta è piena. Fammi sapere se ti occorre che rifaccia la procedura dopo i miei nuovi tentativi.
Rey
sto fatto dei rapporti via pm non lo sto capendo..
credo di non averne chiesto mai uno.. e le indicazioni non lo dicono...
vabbè.. ora comunque è libera.. (ancora per poco) ripeti systemscan e inviamelo.. eccetto tu non voglia farti controllare il pc in base a quello che poteva esserci qualche giorno fa...
ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
c'è ancora vundo
il tempo di preparare la procedura e te la posto
ciao
edit: Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:
Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.files to delete:
C:\WINDOWS\system32\VDJTEfhk.ini
C:\WINDOWS\system32\VDJTEfhk.ini2
C:\WINDOWS\system32\rXxHOXbc.ini
C:\WINDOWS\system32\rXxHOXbc.ini2
C:\WINDOWS\system32\ycJPoXbc.ini
C:\WINDOWS\system32\ycJPoXbc.ini2
C:\WINDOWS\system32\vobkhqmb.ini
C:\WINDOWS\system32\YcJjPXbc.ini
C:\WINDOWS\system32\YcJjPXbc.ini2
C:\WINDOWS\system32\mjllnplf.ini
C:\WINDOWS\system32\OUtDNqss.ini
C:\WINDOWS\system32\OUtDNqss.ini2
C:\WINDOWS\system32\a3f8f0ee-.txt
C:\WINDOWS\system32\dJkTwGgh.ini
C:\WINDOWS\system32\dJkTwGgh.ini2
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\STS7.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\DIO4.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\MAR3.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\DIO7.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\STS6.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\DIO3.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\MAR2.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\STS4.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\DIO2.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\MAR1.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\DIO5.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\MAR4.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\STSA.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\DIO6.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\MAR5.tmp
C:\DOCUME~1\Cecilia\IMPOST~1\Temp\STS9.tmp
C:\WINDOWS\system32\sagg.exe
registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbXrQhFx
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcBQhiI
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcBtrOh
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\geBspppp
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\geBtRiGY
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkIYpnO
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfDwxvV
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qoMccCtR
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqRKeEuv
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayXOiGX
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayYpqoM
ripeti la scansione con malwarebytes e posta sul forum il rapporto e un nuovo systemscan
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Permessi di invio
Rispondi quotando