Infezione da Trojan Vundo e Vundo .H

[MGNFBA72]

Ciao a tutti

Scusatemi ma rieccomi infetto ho eseguito um programma non certificato da firma digitale e non ascoltando Kaspersky l' ho messo in esecuzione

Ho caricato il file zip si Fereefilehosting :http://freefilehosting.net/download/45c9l

Premetto che ho precedentemente avviato Malwarebytes rimuovendo le voci infette, hijackthis fixando le voci inutili/sospette, ma al riavvio del pc ho : Aggionamenti autom. sempre disattivato e scansioni di Malwarebytes sempre con voci di infezioni rilevate. A questo punto ahime' chiedo consiglio su come procedere

ed elenco le infezioni rilevate da Malwarebytes :

Malwarebytes' Anti-Malware 1.33
Versione del database: 1654
Windows 5.1.2600 Service Pack 3

23/02/2009 10.36.26
mbam-log-2009-02-23 (10-36-21).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 56782
Tempo trascorso: 3 minute(s), 20 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 4
Valori di registro infetti: 0
Elementi dato del registro infetti: 2
Cartelle infette: 0
File infetti: 3

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\tuvUKAPJ.dll (Trojan.Vundo.H) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{848b99fa-2302-4cf5-9c21-7938f73950d9} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{848b99fa-2302-4cf5-9c21-7938f73950d9} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{848b99fa-2302-4cf5-9c21-7938f73950d9} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\tuvukapj -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\tuvukapj -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\tuvUKAPJ.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\JPAKUvut.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\JPAKUvut.ini2 (Trojan.Vundo.H) -> No action taken.

[MGNFBA72]

[QUOTE]Originariamente inviato da MGNFBA72
Ciao a tutti



Ho caricato il file zip si Fereefilehosting :http://freefilehosting.net/download/45c9l


Non ho specificato che questo report caricato e' quello di sistemscan

[Deifobe]

ciao ogni tanto ci si rivede..
controllo il rapporto (ci vorrà un pochino..)

[MGNFBA72]

Originariamente inviato da Deifobe
ciao ogni tanto ci si rivede..
controllo il rapporto (ci vorrà un pochino..)

Ha ha ha !!!

Senza di me che fareste voi !!!!!

:quote:

Ti ringrazio anticipatamente

[Deifobe]

se malwarebytes è ancora aperto, rimuovi tutto ed esegui solo l'ultimo passaggio con l'utility

se non lo è, esegui questa procedura:

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\DOCUME~1\dada'\IMPOST~1\Temp\removalfile.bat
C:\DOCUME~1\dada'\IMPOST~1\Temp\tmp1E5.tmp
C:\DOCUME~1\dada'\IMPOST~1\Temp\tmp1AF.tmp
C:\WINDOWS\system32\JPAKUvut.ini
C:\WINDOWS\system32\JPAKUvut.ini2
C:\WINDOWS\system32\tuvUKAPJ.dll
C:\WINDOWS\system32\b35bbca9-.txt

folders to delete:
C:\WINDOWS\temp\Temporary Internet Files
C:\WINDOWS\temp\History
C:\WINDOWS\temp\Cookies

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{848B99FA-2302-4CF5-9C21-7938F73950D9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[-HKey_Classes_Root\CLSID\{848B99FA-2302-4CF5-9C21-7938F73950D9}]

[-HKEY_CLASSES_ROOT\CLSID\{848b99fa-2302-4cf5-9c21-7938f73950d9}]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{848b99fa-2302-4cf5-9c21-7938f73950d9}]
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi ed eseguilo. accetta le modifiche (dura solo un attimo)


scarica questa Utility ed attiva solo:
14) Abilita servizio "Aggiornamenti AutomaticI" (Wuauserv & BITS)


riesegui la scansione con malwarebytes e posta un nuovo systemscan

ciao

[MGNFBA72]

Malwarwbytes gia' chiuso ho eseguito "Proceed with removal" su sistemscan. (esito positivo)

eseguito fix.reg (anche se il file e' rimasto sul desktop; devo eliminarlo vero?)

Utility avviata con successo

Malwarebytes non rileva piu' niente.

Ecco il link per il report di Sistemscan :

http://freefilehosting.net/download/45ce7

Devo assentarmi per qualche ora ti rispondero' nel tardo pomeriggio

Thanks

[Deifobe]

anche io devo un attimo staccarmi dal pc appena rientro lo controllo.
dovessi rientrare prima di me, vedi se gli aggiornamenti ora vanno...
puoi eliminare il file fix.reg

non ringraziarmi... ti mando la parcella a casa

[Deifobe]

tutto ok
e gli aggiornamenti li vedo abilitati.
dovesse servire altro, stiamo qui


ciao....

[MGNFBA72]

Tutto OK

Non ringraziare te e tutto lo staff sarebbe maleducazione allo stato puro !

siete veramente forti e SERI e dire via Web seria ad una persona per me e' veramente uno dei migliori complimenti che si possa fare .

Buon forum

[Deifobe]

....grazie....

allora x stavolta niente parcella, ritiro tutto