NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 TR/vundo aj5 , gen ecc ecc...		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Autore Discussione Precedente Discussione Discussione Successiva  

Alphetto
New Member



38 Messaggi

Inserito il - 25/04/2007 : 10:31:17  Mostra Profilo
Salve mi sono appena iscritto e spero possiate aiutarmi.
Da diversi giorni Avira Antivir mi segnala questo trojan vundo e ovviamente non riesce ad eliminarlo in oltre credo di avere problemi anche con i processi...ho provato ad informarmi un po anche su questo forum ma sono molto limitato (di cervello), tuttavia ho già preso Hijack This htt ://freefilehosting.net/files/MTg3ODEw salvando il .txt
e Virit che non ho ancora avviato perchè non so se farlo prima o dopo un eventuale pulizia dei processi.
Grazie in anticipo per la pazienza.

Leleago
Advanced Member

Tanto impegno, buona volonta ma capacità di analisi malware da migliorare.



1918 Messaggi
Inserito il - 25/04/2007 : 10:51:15  Mostra Profilo
fa girare intanto questo tool
htt*://[www].atribune.org/ccount/click.php?id=4
Mettilo sul desktop e avvialo.
Quando ti si apre premi su Scan for Vundo.
Quando ha finito la scansione premi su Remove Vundo.
Ti chiederà se vuoi rimuovere i files, tu rispondi YES
Quando cliccherai yes il desktop diventerà bianco perchè il VundoFix inizierà a rimuovere i files.
Quando avrà finito ti chiederà se può riavviare il pc, premi OK... poi posta un nuovo log di hiack
Torna all'inizio della Pagina

Alphetto
New Member



38 Messaggi
Inserito il - 25/04/2007 : 11:16:51  Mostra Profilo
Dunque ho fatto quello che mi hai detto ma avira continua a segnalarmelo sempre...però ha cancellato 4 file

File cancellati da vundofix :
C:\WINDOWS\system32\rtstv.bak1 Has been deleted!
C:\WINDOWS\system32\rtstv.bak2 Has been deleted!
C:\WINDOWS\system32\rtstv.ini Has been deleted!
C:\WINDOWS\system32\vtstr.dll Could not be deleted.

Qui il nuovo log di hijack "htt*://freefilehosting.net/files/MTg3ODMz" hijackthis2.txt
Torna all'inizio della Pagina

Leleago
Advanced Member

Tanto impegno, buona volonta ma capacità di analisi malware da migliorare.



1918 Messaggi
Inserito il - 25/04/2007 : 11:35:53  Mostra Profilo
innanzitutto disattiva ripristino configurazione di sistema
1. Fare clic su Start -> Impostazioni -> Pannello di controllo -> Sistema -> Ripristino configurazione di sistema

2. Selezionare "Disattiva Ripristino configurazione di sistema" oppure "Disattiva Ripristino configurazione di sistema su tutte le unità" come mostrato in figura.

3. Fare clic su Applica

4. Con quest'azione vengono eliminati tutti i punti di ripristino esistenti. Fare clic su SÌ per eseguire.


poi apri hijack e spunta queste voci:
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\rueiqpxs.dll
O2 - BHO: (no name) - {68218620-3D65-43F6-AD47-D38D84B5412A} - C:\WINDOWS\system32\xxyxvuu.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A4F76221-A008-4FD8-A218-AC0CF9B95AF0} - C:\WINDOWS\system32\eyuqohdy.dll
O2 - BHO: (no name) - {BFD72D81-854F-4E05-B6B6-D203AA711968} - C:\WINDOWS\system32\vtstr.dll
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\tjvlyisr.dll",setvm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O20 - Winlogon Notify: xxyxvuu - C:\WINDOWS\SYSTEM32\xxyxvuu.dll

dopo averle spuntate clicca su FIX CHECKED

scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli

registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyxvuu

files to delete:
C:\WINDOWS\system32\rueiqpxs.dll
C:\WINDOWS\system32\xxyxvuu.dll
C:\WINDOWS\system32\eyuqohdy.dll
C:\WINDOWS\system32\vtstr.dll
C:\WINDOWS\system32\tjvlyisr.dll


clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

alla fine fa una scansione con quest'altro tool (htt*://[www].symantec[.com]/content/en/us/global/removal_tool/threat_writeups/FixVundo.exe), fa una scansione con virit e riposta un altro log di hijack
Modificato da - Leleago in data 25/04/2007 11:48:33
Torna all'inizio della Pagina

Alphetto
New Member



38 Messaggi
Inserito il - 25/04/2007 : 13:34:40  Mostra Profilo
Allora ho fatto tutto nell'ordine in cui l'hai scritto e ora ti metto il log di hijack "htt*://freefilehosting.net/files/MTg3OTM4"]hijackthis3.txt
avira ora non me lo segnala più in nessuna azione che faccio o programma che apro quindi penso sia risolto il problema , credo di doverti rigraziare Grazie! .
Torna all'inizio della Pagina

Leleago
Advanced Member

Tanto impegno, buona volonta ma capacità di analisi malware da migliorare.



1918 Messaggi
Inserito il - 25/04/2007 : 13:39:13  Mostra Profilo
ok il log è apposto...l'unica voce che resta da fixare è:
O20 - Winlogon Notify: vtstr - C:\WINDOWS\system32\vtstr.dll (file missing)

ora che hai eseguito tutto puoi riattivare il ripristino configurazione di sistema
Torna all'inizio della Pagina
  Discussione Precedente Discussione Discussione Successiva  

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 2,03 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000