Come eliminare trojan.vundo?

**giancarlo31** · 08-02-2008, 03.24.45

Prova a scaricare questo e fagli fare una scansione:

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

http://www.defaultuser.net/?p=424

Specifico per il Vundo:

http://secured2k.home.comcast.net/to...undoBeGone.exe

**Basilico_** · 08-02-2008, 11.57.50

Grazie per la risposta, vorrei dire che ora il pc si accende (se riavvio non mi carica il desktop, ma digito explorer nel task manager, se lo spengo e lo riaccendo, anche se un pò più lentamente rispetto al solito, mi carica tutto)
Allora cureit non mi rileva nulla, nè in express mode, nè in modalità completa.
Ho poi applicato VirtumundoBeGone che penso trovi qualcosa, anche se non riesco a comprendere bene il log perchè ci sono dei warning e non ho capito se l'ha cancellato o c'è ancora . La geeeb.dll in system32 però c'è ancora. Ho notato altre due dll strane che partonoi insieme a geeeb e che sono state create la stessa data e ora, sono wsots32.dll e wsots32.dll (non ho trovato nulla nel web a riguardo).
Allego il file di log.

**giancarlo31** · 08-02-2008, 12.26.02

Guarda se hai applicato il programma VirtumundoBeGone,in modalità provvisoria in questo modo al link c'è un passo/passo. Infatti questa metodica di solito lo cancella. Rifai l'operazione e poi metti anche un *.log di Hijacthis.

http://www.bleepingcomputer.com/forums/topic18610.html

**Basilico_** · 08-02-2008, 13.03.28

Ho rifatto tutto e il file geeb ora non c'è in system32
allego il log di hijackthis

**giancarlo31** · 08-02-2008, 13.24.01

O2 - BHO: (no name) - {EFCB1D95-FFF6-47BB-B6C9-61A523F04322} - C:\WINDOWS\system32\vturr.dll
O20 - Winlogon Notify: vturr - C:\WINDOWS\system32\vturr.dll

Queste sono le due stringhe che di solito nel*.log di hijacthis rivelano il vundo ed ora non ci sono, se hai rifatto in provvisoria seguendo la guida di VirtumundoBeGone magari ci diamo un'occhiata. Questo trojan usa ora la tecnica dei rootkit.
Dimmi anche le cose come vanno.

**Basilico_** · 08-02-2008, 16.15.20

Il file di log in cui mi aveva cancellato le dll per sbaglio l'ho cancellato, ma ho rifatto tutta le operazioni (chiaramente avendoli tolti prima non li ha troavati) e poi sono riuscito a mandare anche in esecuzione il combofix.
Volevo dire che i riferimenti alle dll del virus(che prima si vedevano nel task manager nell'immagine allegata qualche post fa) ora non ci sono più.
Allego i log

**giancarlo31** · 08-02-2008, 16.33.02

Hai visto anche tu il nuovo VGB.txt paragonalo al precedente ed hai anche letto la frase finale.

**Basilico_** · 08-02-2008, 16.42.36

Grazie Giancarlo

**giancarlo31** · 08-02-2008, 16.46.49

Originariamente Scritto da Basilico_

Grazie Giancarlo

Grazie a te.

**Trysky** · 28-02-2008, 16.34.00

Salve! Da un paio di giorni ho un "piccolo" ed inopportuno ospite nel pc...! Norton lo ha identificato come Trojan Vundo.b AvG neanche lo "vede"! Ho provato a seguire le vostre preziose indicazioni, ma non sono riuscita a venirne a capo. Il Sistema operativo è Windows Vista Basic. Ho scaricato FixVundo.exe dal sito http://www.symantec.com/it/it/securi...112210-3747-99
ma non riesco a seguire le indicazioni di Ste...

Potete darmi una mano?!

E se provassi a togliere manualmente i file infetti... funzionerebbe? Consigliatemi che fare!

Edit: ho fatto la scansione con Norton e (c'è l'opzione Auto-Protect attiva) ha messo in quarantena 8 voci di registro, 1 file e 1 cache del browser. Se clicco su start, FixVundo non trova i file infetti (ovviamente!), perchè (immagino sia questa la spiegazione!) sono stati messi in quarantena da Norton (o Symantec o... boh!). Comunque (credo farò le 4 anche oggi!), non so se sto sbagliando, ma il fatto che un file sia stato messo in quarantena, non significa che sia stato cancellato o "curato" al chè il virus o trojan c'è, ma non si vede! Sbaglio?! Ma io non voglio ovviare al problema mettendo in quarantena 'sti file, voglio eliminarli! Anche perchè, il pc continua ad essere lento e a "far finta di lavorare" (avete presente il classico gracidio dell'HD? Inoltre c'è pure una lucetta che lampeggia con intensità diversa in base all'attività dell'HD... è un portatile Acer Extensa 5220 con un mese e mezzo di vita!)
Che dovrei fare? Li tolgo dalla quarantena e li elimino a mano? Ma poi, probabilmente, anche altri file potrebbero infettarsi... Son dieci anni che uso Mac e non ho mai avuto problemi di questo tipo! Scusatemi, ma la cosa mi spaventa un pò!
Speranzosa e fiduciosa nel vostro prezioso aiuto, attendo lumi!

**Ste** · 28-02-2008, 19.21.13

ciao,
se i virus sono in quarantena sono innocui e poi comunque dalla quarantena di solito si possono cancellare definitivamente

allora fai questi due passaggi così si può avere una visione più chiara della tua situazione

scarica Vundofix sul desktop
fai doppio click su vundofix.exe e clicca su scan for vundo
quando ha finito lo scan clicca su remove vundo
quando ti chiede di rimuovere i file digli di sì
dopo che hai cliccato sì il desktop diventerà bianco e inizierà a rimuovere i file infetti
appena finito ti dirà che riavvierà il pc clicca OK

metti in allegato il file C:\vundofix.txt

scarica HijackThis ed estrai il file in una cartella
poi apri il programma e clicchi su "Do a system scan and save a logfile" così si aprirà il notepad con un log
clicca su file>salva con nome e cambi il nome da hijackthis.log in hijackthis.txt e lo salvi

mettilo in allegato cliccando su vai alla modalità avanzata > gestione allegati > sfoglia > selezioni il log > upload

**Trysky** · 28-02-2008, 20.30.06

Grazie 1000 Ste! Mi metto subito al lavoro e ti faccio sapere l'esito appena finisco!

**Trysky** · 04-03-2008, 23.29.42

Ciao!
Ho seguito le tue preziose indicazioni. Ho scaricato VundoFix e HijackThis. Ho avviato VundoFix e, almeno una ventina di volte, ho fatto la scansione... sai che mi dice? Che non ci sono tracce di file sospetti e che l'applicazione verrà chiusa. Ma dico io! Norton l'aveva messo in quarantena e Vundo non lo trova?! Eppure fa la scansione di tutti i file... ci mette quasi un ora e mezza! Forse sbaglio qualcosa io?

Un amico mi ha suggerito di togliere dalla quarantena i file e riavviare Vundo oppure agire manualmente cercando il file infetto e di cestinarlo... (quello in C:\Users\Trysky\AppData\Local\Temp\... pmt... non ricordo... comunque è ".dll") mi ha detto che è la stessa cosa... non so cosa fare! Non sono pratica, ma mi chiedo: le key poi che fine farebbero? Non dovrei cercare pure quelle una ad una e cestinarle? Ma questa cosa non mi convince molto...

Morale della fabula: sono punto e a capo! Che faccio? Hai qualche suggerimento o mi conviene contattare un tecnico?

Grazie per tutti i suggerimenti!