Virus - Help Virtumonde!!!

DevastoMC · 16 Ottobre 2008

Virus - Help Virtumonde!!!

Salve!IL pc da qualche giorno raggiunge velocità di una lentezza impressionante,errori vari,e pop-up di mozilla che si aprono nonostante ho a-squared 4 attivissimo!Questo però mi avvisa di un virus,il Virtumonde,che si riproduce più e più volte!Ho fatto il log su hijackthis,spero ke possiate aiutarmi a rimuovere sto virus.

Posto qui il logfile:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18.11.19, on 16/10/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

E:WINDOWSSystem32smss.exe

E:WINDOWSsystem32csrss.exe

E:WINDOWSsystem32winlogon.exe

E:WINDOWSsystem32services.exe

E:WINDOWSsystem32lsass.exe

E:WINDOWSsystem32rundll32.exe

E:WINDOWSsystem32svchost.exe

E:WINDOWSsystem32svchost.exe

E:WINDOWSSystem32svchost.exe

E:WINDOWSsystem32svchost.exe

E:WINDOWSsystem32svchost.exe

ErogrammiLavasoftAd-Awareaawservice.exe

E:WINDOWSExplorer.EXE

E:WINDOWSsystem32spoolsv.exe

E:WINDOWSVM_STI.EXE

Erogrammia-squared Anti-Malwarea2guard.exe

ErogrammiGoogleGoogle Talkgoogletalk.exe

ErogrammiRocketDockRocketDock.exe

ErogrammiStylerStyler.exe

Erogrammia-squared Anti-Malwarea2service.exe

ErogrammiFile comuniAppleMobile Device SupportbinAppleMobileDeviceService.exe

ErogrammiNeroNero8Nero BackItUpNBService.exe

E:WINDOWSsystem32nvsvc32.exe

E:WINDOWSsystem32oodag.exe

E:WINDOWSsystem32HPZipm12.exe

E:WINDOWSsystem32PSIService.exe

ErogrammiSpyware Terminatorsp_rsser.exe

E:WINDOWSsystem32svchost.exe

E:WINDOWSSystem32alg.exe

Eocuments and SettingsutenteImpostazioni localiDati applicazioniGoogleUpdateGoogleUpdate.exe

E:WINDOWSsystem32rundll32.exe

ErogrammiMozilla Firefoxfirefox.exe

E:WINDOWSsystem32msiexec.exe

ErogrammiMozilla Firefoxfirefox.exe

Eocuments and SettingsutenteDesktopVundoFix.exe

crogrammiwinrarWinRAR.exe

EOCUME~1utenteIMPOST~1TempRar$EX00.485HijackThis.exe

E:WINDOWSsystem32wbemwmiprvse.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.enterpage.info/

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = E:WINDOWSpchealthhelpctrSystempanelsblank.htm

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - ErogrammiStylerTBStylerTB.dll

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE E:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [BigDogPath] E:WINDOWSVM_STI.EXE Vimicro USB PC Camera (ZC0301PL)

O4 - HKLM..Run: [AVP] "ErogrammiKaspersky LabKaspersky Internet Security 2009avp.exe"

O4 - HKLM..Run: [a-squared] "Erogrammia-squared Anti-Malwarea2guard.exe" /d=60

O4 - HKCU..Run: [googletalk] "ErogrammiGoogleGoogle Talkgoogletalk.exe" /autostart

O4 - HKCU..Run: [RocketDock] "ErogrammiRocketDockRocketDock.exe"

O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] E:WINDOWSsystem32CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] E:WINDOWSsystem32CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] E:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] E:WINDOWSsystem32CTFMON.EXE (User 'Default user')

O4 - Startup: Styler.lnk = ?

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://EROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - ErogrammiJavajre1.6.0_06binssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - ErogrammiJavajre1.6.0_06binssv.dll

O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - ErogrammiKaspersky LabKaspersky Internet Security 2009SCIEPlgn.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - EROGRA~1MICROS~2OFFICE11REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - EROGRA~1SPYBOT~1SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - EROGRA~1SPYBOT~1SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - ErogrammiMessengermsmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - ErogrammiMessengermsmsgs.exe

O16 - DPF: Iphona - http://www.inps.it/Servizi/ParlaConNoi/VoipFiles/Iphona.CAB

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - ErogrammiYahoo!Commonyinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1213263865527

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab

O20 - AppInit_DLLs: EROGRA~1KASPER~2KASPER~1mzvkbd.dll,EROGRA~1KASPER~2KASPER~1adialhk.dll,EROGRA~1KASPER~2KASPER~1kloehk.dll uiihpv.dll

O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - Erogrammia-squared Anti-Malwarea2service.exe

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - ErogrammiLavasoftAd-Awareaawservice.exe

O23 - Service: Apple Mobile Device - Apple Inc. - ErogrammiFile comuniAppleMobile Device SupportbinAppleMobileDeviceService.exe

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - ErogrammiKaspersky LabKaspersky Internet Security 2009avp.exe

O23 - Service: ISCII Code Page Translation DLL (c_iscii32) - Unknown owner - rundll32.exe (file missing)

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:MAGIXCommonDatabasebinfbserver.exe

O23 - Service: Google Desktop Manager 5.7.805.16405 (GoogleDesktopManager-051608-133132) - Google - ErogrammiGoogleGoogle Desktop SearchGoogleDesktop.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - ErogrammiFile comuniInstallShieldDriver1150Intel 32IDriverT.exe

O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - ErogrammiiPodbiniPodService.exe

O23 - Service: MSCSPTISRV - Sony Corporation - ErogrammiFile comuniSony SharedAVLibMSCSPTISRV.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - ErogrammiNeroNero8Nero BackItUpNBService.exe

O23 - Service: NMIndexingService - Nero AG - ErogrammiFile comuniNeroLibNMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:WINDOWSsystem32nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - E:WINDOWSsystem32oodag.exe

O23 - Service: PACSPTISVR - Unknown owner - ErogrammiFile comuniSony SharedAVLibPACSPTISVR.exe

O23 - Service: Pml Driver HPZ12 - HP - E:WINDOWSsystem32HPZipm12.exe

O23 - Service: ProtexisLicensing - Unknown owner - E:WINDOWSsystem32PSIService.exe

O23 - Service: ServiceLayer - Nokia. - ErogrammiPC Connectivity SolutionServiceLayer.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - ErogrammiFile comuniSony SharedAVLibSPTISRV.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - ErogrammiSpyware Terminatorsp_rsser.exe

--

End of file - 8328 bytes

Grazie in anticipo!

tecnico24 · 16 Ottobre 2008

Fixa questa voce:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.enterpage.info/

Poi scaricati Vundofix

Avvialo,clicca su "Scan For Vundo",poi quando ha finito clicca su "Fix vundo".

Riavvia il pc e al ritorno posta il relativo log.

cobra · 16 Ottobre 2008

@DevastoMC,perche non alleghi in formato zip il log,oltre che occupare spazio,mette in evidenza tutto quello che c'e sul tuo PC,e non mi sempbra corretto.

cobra

DevastoMC · 16 Ottobre 2008

Hai ragione Cobra,purtroppo pensavo che neanche questo forum permettesse i link come quello dove ho provato in precedenza..

Comunque niente,ho usato Vundofix,che ha trovato un virus,ho riavviato,ma i popup mi si riaprono continuamente,e Spybot mi ha ritrovato 2 Virtumonde.prx e 3 Virtumonde.dll!

Cmq il log file è hostato qui:

http://www.mediafire.com/?tkmcnymmzm2

cobra · 16 Ottobre 2008

Bene lo allego io per te il log,dopo le leggero' con calma,e vedro di risponderti.

cobra

DevastoMC · 16 Ottobre 2008

Grazie Cobra!

Cavolo ho urgente bisogno di risolvere..=(

Il virus mi blocca i software di elaborazione audio tipo Cubase..devo registrare!

cobra · 17 Ottobre 2008

Fixa questa voce:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.enterpage.info/

a seguire scarica combofix, fallo partire (durerà un10 minuti) e posta il suo log.

cobra

DevastoMC · 17 Ottobre 2008

Io uso Firefox non IE,può influire sul fixaggio della voce?..

Ho installato AVG 8 Free,che molti ritengono un giocattolo..e mi ha rimosso parecchi virus,però ho sempre questo problema dei pop-up,e adesso firefox tipo se apro un altra scheda mi si chiude solo..ora provo con combofix cmq!

A nuovi aggiornamenti

DevastoMC · 17 Ottobre 2008

Ecco il log di combofix

http://www.mediafire.com/?zzmzdwmvyzn

cobra · 17 Ottobre 2008

Scarica e scansiona con: http://www.gmer.net/files.php

cobra

DevastoMC · 17 Ottobre 2008

Ho scansionato l'hardisk Cresario e l'hardisk E: di sistema..ecco il log

http://www.mediafire.com/?hhnmygyklgl

tecnico24 · 23 Ottobre 2008

Scansiona con malwarebytes:

http://www.malwarebytes.org/mbam.php

e Virtumondebegone:

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Avvialo , esegui le istruzioni e quando ha finito fammi sapere.

leo4555 · 24 Ottobre 2008

io l'ho risolto con SUPERAntispyware, poi leggiti la voce su wikipedia he ho scritto io. un metodo per risolverlo senza scaricare niente è quello di usare lo strumento di rimozione malware di windows, basta che vai sul menù>esegui>digiti mrt e si avvia. Devi peò aver scaricato un aggiornamento di windows che si scarica anche dal sito Microsoft (potresti averlo già installato poichè si scarica come un aggiornamento per windows con gli aggiornamenti automatici) http://www.microsoft.com/downloads/...e0-e72d-4f54-9ab3-75b8eb148356&displaylang=it

Oppure puoi usare Spybot Search and destroy

ps occhio che ci sono molte versioni di virtumonde, non è facile riconoscerle tutte

leo4555 · 24 Ottobre 2008

qui c'è la descrizione dello strumento http://www.microsoft.com/italy/security/malwareremove/default.mspx

leo4555 · 24 Ottobre 2008

qui è spiegato molto bene l'ho scritta io http://it.wikipedia.org/wiki/Virtumonde

Accedi o Registrati

Virus - Help Virtumonde!!!

DevastoMC techNewbie

tecnico24 techUser

cobra techAddicted

DevastoMC techNewbie

cobra techAddicted

Attached Files:

log_2[1].zip

DevastoMC techNewbie

cobra techAddicted

DevastoMC techNewbie

DevastoMC techNewbie

cobra techAddicted

DevastoMC techNewbie

tecnico24 techUser

leo4555 techNewbie

leo4555 techNewbie

leo4555 techNewbie