Possibile Problema (credo) Col Virus Virtumonde

[sabbe]

Salve a voi di WinInizio,

Avast ha rilevato nel mio sistema il virus:win32:Agent.vgv (nel file Winva36.sys), e cestinato.

Sucessivamente Spybot S&D mi rileva virtumonde, ma mi cancella solo l'eseguibile e non la dll.

Provato con vari toolfix (anche in modalità provvisoria) ma rimane sempre in memoria.

I sintomi sono:

-continui segnalazioni di virus con Spybot e avast

-desktop bianco con l'errore "c: windows/privacy_danger errore/index.html,file mancante"

vi allego il log di hijackt.

Vi ringrazio anticipatamente x l'eventuale risposta, e mi scuso in anticipo

se ho violato involonatriamente le regole del forum.

Saluti,

Sabbe

hijackthis.log

[thesorrow83]

Con HijackThis fixa le seguenti voci:

O3 - Toolbar: fdkowvbp - {B6CDE539-A03C-484B-8FC0-B8A3775C5220} - C:\WINDOWS\fdkowvbp.dll (file missing)

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

Disattiva il ripristino configurazione di sistema, avvia il pc in modalità provvisoria e prova a fare la scansione con Spybot S&D. Poi riavvia in modalità normale, posta il nuovo log di hijackthis e riabilita il ripristino configurazione di sistema.

Per curiosità hai gia provato con Vundo Fix o VirtumundoBegone?

[sabbe]

Inanzitutto grazie x la risposta,

tutto e filato bene, ma appena collegato ad internet, avast a rilevato il file "Winad36.sys" infetto

dal worm Agent-VGV.

Spybot nella scansione a rilevato la disabilitazione del centro sicurezza PC, e del malware "doubleclik", entrambe eliminate.

Ho provato con i due tool che tu citavi, entrambi non hanno trovato niente.

A questo punto mi chiedo se sono infetto da Agent, o se e sempre Virtumonde che fa "scattare" l'antivirus...

Per lo sfondo del desktop (e relativo messaggio d'errore), ho rimediato eliminando la voce "privacy" da proprietà desktop/personalizza desktop/pagine web.

ti allego il log di hj.

hijackthis.log

[$angelique!?]

Benvenuto/a!

Ciao e Benvenuto/a nel forum, sabbe2008. Perché non personalizzi la tua presenza in WinInizio aggiungendo una firma e un'immagine al tuo profilo personale ? se non sai come fare, clicca qui. Sarebbe simpatico se tu ti presentassi alla comunità; perchè non fai un salto in "Benvenuto!", la discussione creata proprio per l'accoglienza ai nuovi iscritti? Se sei una ragazza e vuoi essere aggiunta al gruppo delle WinGirls non dovrai fare altro che presentarti in questo thread o contattare un membro dello staff; se invece hai meno di 18 anni potresti far parte degli Juniores, per farlo presentati qui o contatta un membro dello staff. Il gruppo WinGirls e Juniores offrono alcuni vantaggi speciali, scoprili nell'apposito thread di presentazione! Ricordati, infine, che un titolo appropriato per dare visibilità alle tue nuove discussioni è essenziale: chiamare una discussione "Aiuto" o "Consiglio" non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Ciao sabbe2008,

disattiva il teatimer di spybot...

Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

Salvalo sul desktop.

(se il file salvato dal primo link non dovesse funzionare, scaricalo dal secondo link)

Disconnettiti da internet...

1. Doppio click su combofix.exe, comparirà la seguente videata:

2. Digita 1, premi Invio e segui le indicazioni.

3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.

4. Posta il log creato

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

[sabbe]

ho avviato combofix e sembra "quasi" tutto aposto.

solo che al riavvio mi sono trovato un altra icona di IE sul desktop, e l'icona di avast e scomparsa dalla barra applicazioni.

ti allego il log,

ComboFix.txt

[$angelique!?]

Scarica the Avenger

http://swandog46.geekstogo.com/avenger.zip

lo salvi in una cartella, scompatti il file .zip.

individua avenger.exe, lo avvii.

inserisci questo script nel box bianco

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:

C:\Programmi\Alwil Software\Avast4\ashDisp.exe

C:\Programmi\Messenger\msmsgs.exe

C:\Programmi\VIA\RAID\ViaRaidTool.log

C:\WINDOWS\system32\wvUkIBSM.dll

C:\WINDOWS\SYSTEM32\WinCtrl32.dll

files to move:

C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe | C:\Programmi\Alwil Software\Avast4\ashDisp.exe

C:\Programmi\Messenger\bak\msmsgs.exe | C:\Programmi\Messenger\msmsgs.exe

C:\Programmi\VIA\RAID\bak\ViaRaidTool.log | C:\Programmi\VIA\RAID\ViaRaidTool.log

folders to delete:

C:\WINDOWS\temp

C:\WINDOWS\Tasks

Clicca su Execute

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

[sabbe]

fatto, anche se l'icona di avast continua a non apparire.

avenger.txt

[$angelique!?]

Ciao sabbe2008, disinstalla Avast

Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) http://www.ccleaner.com/download/downloadpage.aspx?f=2

Wise Registry Cleaner http://www.wisecleaner.com/soft/WRC3Setup.exe

+ Lingua italiana http://www.wisecleaner.com/soft/languages/wrc3/Italiano.zip

una volta scaricato, (dopo averlo decompresso) copialo nella cartella "Language" del programma

Ripulisci il sistema con Ccleaner

Pulisci il registro con Wise Registry Cleaner (elimina le voci in verde)

(è normale che nel log visualizzi che alcune voci non possono essere rimosse)

Esegui una scansione online con Kaspersky (su "my computer")ed allega il report in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Se non riesci ad allegare il report,

carica il file su http://www.wikifortio.com/

e poi copia il link per poterlo scaricare

ora puoi reistallare Avast

http://www.avast.com/ita/download-avast-home.html

[sabbe]

fatto!

kaspersky non ha rilevato niente, comunque allego il log.

ancora grazie x l'interessamento

report.html

[magodeisogni]

ho avviato combofix e sembra "quasi" tutto aposto.

solo che al riavvio mi sono trovato un altra icona di IE sul desktop, e l'icona di avast e scomparsa dalla barra applicazioni.

ti allego il log,

prova ad usare dr web cureit e vedrai che risolvi fai la scansione completa dammi retta

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Modificato July 27, 2008 da magodeisogni

[sabbe]

tutto ok ragazzi,

grazie mille x l'aiuto!!

siete dei geni

saluti,

sabbe2008

[$angelique!?]

Immagino tu abbia risolto...

per curiosità hai usato anche drweb? (ha trovato qualcosa?)

[sabbe]

non ancora,

appena lo uso vi faccio sapere.

ciao