Pagine che si aprono da sole... (virtumonde)

[mjolneer]

ciao, anch'io da diverso tempo sto impazzendo con virtumonde e altro. a inizio gennaio ho fatto un ripristino configurazione ma non è servito a nulla, continuano ad aprirsi finestre il sistema rallenta e continui avvisi di antivirus e antispy. non so quante volte sono partito in modalità provvisoria, ho fatto il decheck del ripristino, ma ogni volta che lancio spybot mi trova i file infetti me li sana ma poi se riscansiono non cambia nulla; spesso durante l'elaborazione del pc, senza nemmeno connettermi a internet spybot mi segnala importanti modifiche al registro tipo valore aggiunto e altro. a inizio gennaio ho installato mozilla ma le finestre si aprono lo stesso, poi a un certo punto il pc non partiva più, se non in modalità provvisoria, e il risultato è che ora lo tengo fermo in attesa di capire cosa fare, molti parlano di un antivirus altri del firewall che io ho impostati con avast e windows firewall, poi altri dicono che non bisogna far fare gli aggiornamenti automatici di windows altri invece no, (tra l'altro io li ho impostati su "sì" ma mi arriva sempre un avviso iniziale che sono disattivati). Insomma non so più che pesci prendere. grazie a tutti per l'attenzione, Luigi.

[Deifobe]

Ciao Luigi,
scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto.


scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Freefilehosting e posta sul forum il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[mjolneer]

grazie Deifobe, ma devo eseguirli in modalità provvisoria oppure normale?
e malware devo per forza aggiornarlo? nel senso che ora sto usando un altro pc, non so cosa succede se mi collego a internet da quello infetto...

[Deifobe]

da modalità normale va bene
si, serve aggiornarlo

se proprio non ti fidi (i file vengono scaricati, in effetti.. ma vengono anche rimossi, dopo..) puoi eseguire solo systemscan.. ma consiglierei di fare una prima ripulita con malwarebytes.. dipende da come sta messo il pc...

comunque, come vuoi..

[mjolneer]

ecco l'esito di malware:

Malwarebytes' Anti-Malware 1.33
Versione del database: 1693
Windows 5.1.2600 Service Pack 2

26/01/2009 0.08.18
mbam-log-2009-01-26 (00-08-18).txt

Tipo di scansione: Scansione completa (C:\|E:\|F:\|)
Elementi scansionati: 150259
Tempo trascorso: 1 hour(s), 20 minute(s), 16 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 14
Valori di registro infetti: 0
Elementi dato del registro infetti: 2
Cartelle infette: 0
File infetti: 5

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\efcdeExx.dll (Trojan.Vundo.H) -> Delete on reboot.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{3d39538b-6e4c-4283-b8eb-3456b13f4ae2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{3d39538b-6e4c-4283-b8eb-3456b13f4ae2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3d39538b-6e4c-4283-b8eb-3456b13f4ae2} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{00000000-0000-0000-0000-100005000004} (Rogue.Installer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{db893839-10f0-4af9-92fa-b23528f530af} (Dialer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\efcdeexx -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\efcdeexx -> Quarantined and deleted successfully.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\efcdeExx.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xxEedcfe.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xxEedcfe.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\_avast4_\unp256169663.tmp (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.


alla fine ha detto che c'era roba che non poteva eliminare e che c'era bisogno di ripartire e io l'ho fatto riavviare come hai chiesto tu, grazie mille, a presto, Luigi

[Deifobe]

dovresti postare systemscan...
poi... come vuoi...

ciao

[mjolneer]

ciao lo farò stasera, ieri era tardi e ho dovuto mettermi a nanna, grazie ancora.

[mjolneer]

ecco il link di SystemScan:
report_1233006807537_4.txt

[Deifobe]

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\WINDOWS\system32\3b87ca86-.txt
C:\WINDOWS\system32\lxjsviil.ini
C:\WINDOWS\system32\llfckxog.ini
C:\WINDOWS\system32\ydyhbykh.ini
C:\WINDOWS\system32\owoyfpme.ini
C:\Documents and Settings\LUIGI\Impostazioni locali\Dati applicazioni\koemk.dat
C:\Documents and Settings\LUIGI\Impostazioni locali\Dati applicazioni\koemk_navps.dat
C:\Documents and Settings\LUIGI\Impostazioni locali\Dati applicazioni\koemk_nav.dat
C:\Documents and Settings\LUIGI\Impostazioni locali\Dati applicazioni\koemk.exe
C:\Documents and Settings\LUIGI\Impostazioni locali\Dati applicazioni\cuswcie_navps.dat
C:\Documents and Settings\LUIGI\Impostazioni locali\Dati applicazioni\cuswcie.dat
C:\Documents and Settings\LUIGI\Impostazioni locali\Dati applicazioni\cuswcie_nav.dat

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.

e vedi il pc come va..

ciao..

[mjolneer]

removal script was executed correctly. Results are in c:avenger.txt
grazie. posso quindi riconnettermi a internet?
ma quali sono le precauzioni di base comunque? devo lasciare windows firewall o usarne un altro? devo togliere avast e usare un altro antivirus, quale? e gli aggiornamenti di windows, continuano ad apparirmi come non attivi, che devo fare? e come antispy posso lasciare spybot?
grazie per la pazienza e scusa.