PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio RISOLTO!

Topic: [RISOLTO] virus VUNDO sul file ckvo0.dll

(Topic Chiuso Topic Chiuso)
Altre pagine della discussione:




Krool
Principiante Principiante
Krool
Principiante Principiante
Krool
Principiante
Principiante

Avatar


Iscritto dal : 04/Luglio/2007
Da: Italy
Status: Offline
Posts: 113
bullet Topic: Post n° 84.758 - Postato: 11/Novembre/2008 alle 20:35


Ps...
scusa la dimenticanza. Il mio sistema è XP Home. Ciao e buona serata


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 84.815 - Postato: 12/Novembre/2008 alle 22:06


Si... Immaginavo che Combofix faccesse il suo "sporco" lavoro...
per questo ti ho consigliato di usarlo...

Io spesso sono volutamente ridondante nei miei consigli...
e questo perchè... se da un lato c'è l'impossibilità, per
una questione principalmente di tempo, ad esser dettagliati...
dall'altra mi rendo conto della difficoltà di seguire alla
lettera (sperando non accadano intoppi o fraintendimenti)
ciò che uno consiglia... Tra tutto questo, infine, c'è da
dire che i contagi possono differire da pc a pc... (per
varie ragioni...) Quindi... quello che con un passaggio
non riesco a togliere... spero vada via con un altro...
Puoi comunque seguire anche il mio secondo tentativo di
eliminazione... (non troverà alcune cose... va eliminerà
certamente altre cose...)

Comunque ci sono ancora altre cose da fare... non tanto..
ma alcune cose vanno fatte... e poi dobbiamo pulire la
penna e farlo senza pericolo.... (se la tua penna usb
è infetta... ti basta inserirla per farla andare in
autoplay... e contagiarti ancora...)

Mi interesserebbe vedere il log di combofix... (lo trovi in C:\ ) ed inoltre sapere
cosa ha eliminato avira... e dove lo ha trovato... (oltre a risolvere i nostri
problemi... è utile lasciare riferimenti anche agli altri...)

Riguardo la cartella QooBox la puoi eliminare... di sicuro non ne sentirai la
mancanza (infatti contiene i file cancellati da Combofix).

Poi... dobbiamo ripristinare i valori del registro... e questo lo fai con quello
che ti ho indicato nel post precedente:
Segue del testo riportato...

vai a questa pagina: http://mihd.net/dl
e clicca su: Request ticket  (devi avere gli script attivati.. altrimenti non te lo da...)
e poi su Download per scaricare il file unhide.reg
Scaricalo e tienilo in vista sul desktop....
fai doppio clic sul file che hai appena scaricato...

Fine testo riportato...
Poi... abbiamo da eliminare la chiave che avviava il programma in automatico...
Segue del testo riportato...

Fai partire ... hijackthis e fixa la seguente voce:

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe

(metti la spunta... e cliccai su Fix...)

Fine testo riportato...
Poi abbiamo da eliminare il file autorun.inf da ogni disco/partizione che è intallata
sul tuo pc... (io avevo predisposto quel file per leggere tutti i file in root... 
e il contenuto di autorun.inf... comunque non importa... facciamo manualmente)
Imposta la visualizzazione dei file nascosti e di sistema... vai in risorse del computer
clicca con il tasto destro del mouse su ogni disco o partizione e scegli dal menù
contestuale la voce "Esplora"... una volta entrato sul disco/partizione...
elimina il file autorun.inf (il file in questione va cercato ed eliminato per
ogni disco/partizione... ed eliminato...)

Poi ... abbiamo la cartella temp da pulire... io la cancellerei tutta...
e per farlo.. ti trovi... usa avenger come ti ho indicato nel post precedente...
Segue del testo riportato...

Adesso scarica avenger........
Adesso estrai il file di  avenger dalla cartella
compressa, fallo partire e copia il seguente script:
Segue del testo riportato...

Files to delete:
C:\windows\system32\ckvo.exe
C:\windows\system32\ckvo0.dll
C:\windows\system32\ckvo1.dll
C:\windows\system32\ckvo2.dll
C:\windows\system32\klif.sys
C:\autorun.inf
Folders to delete:
%temp%

Fine testo riportato...
... incolla nella casella bianca... della finestra del programma...
e clicca su execute...

Il pc verrà riavviato... ed i file verranno cancellati e messi in un archivio protetto
da password... (infected)

Fine testo riportato...
Come vedi ci son voci in più ormai inutili nello script... ma sto copiando,
dal post precedente, ed incollando... e poi... melius abundare quam deficere...
(non ci far caso... sono un'ignorante che si diverte... TongueBig%20smileLOL)

Poi... scarica Ccleaner e fagli dare una pulita ai temporanei... impostando
nelle impostazioni... di eliminare anche i file non più vecchi di 48 ore...
Inoltre in avanzate... metti di eliminare i soli file di prefetch...
Dopo aver eliminato i temporanei... risolvi anche i problemi del registro...

Adesso vai in C:\windows\tasks   
In questa cartella, ammeno che non hai impostato dei job (delle operazioni pianificate),
non dovresti trovar nulla... tranne la seguente voce:

Aggiungi operazione pianificata

Se ci sono altre voci che tu non conosci... oltre la suddetta...
è convenitene eliminarle...

Adesso passiamo alla pulizia delle chiavi e degli archivi esterni removibili...

Per impostazioni di default... xp (come anche altri sistemi) ha attivato l'autoplay...
in pratica... appena si collega un'unità di massa esterna... il sistema va sopra
l'unità... e cerca di avviare qualcosa...

Quindi... al di la di premere shift nell'inserimento... io ti consiglio di disattivare
(anche solo momentaneamente) l'autoplay... in modo da lavorare più tranquilli...

Il tuo sistema è XP Home... e non ha gpedit.msc (presente su XP professional...)
quindi non possiamo usare questo strumento..., ma possiamo utilizzare 2 modalità
anche esse efficaci...
La prima... consiste nel modificare una chiave di registro... e la seconda consiste
nello scaricare un programma della stessa microsoft... che ci permette di fare
la stessa cosa... ed in sicurezza...  (editare il registro di windows.. non è esente
da rischi...)

Quindi... vediamo la seconda...

Vai alla seguente pagina:

http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx

e scarica Tweak UI (i link li trovi sulla destra...)

Lo installi ... lo fai partire... e scendendo nella sezione di sinistra arrivi a
AutoPlay... ed una volta la... vai in Types...
In Types, nella parte destra..., togli le 2 spunta per eliminare l'autoplay
da tutti i drives del pc... (basterebbe anche solo la seconda... nel tuo caso)
come indicato nella seguente immagine:



e poi clicca su Apply...

Adesso hai disattivato l'autoplay...

Imposta la visione dei files nascosti e di sistema... ed inserici i tuoi drives
esterni nella presa usb o quella firewire se hai drives del genre...
(uno alla volta.. macchinette fotografiche... lettori mp3... memory card... HDD esterni
ecc. ecc.) poi..., dopo l'inserimento, vai in Esplora risorse... e SENZA FARE DOPPIO
CLICK
sulla driver inserito..., ma facendo clic con il tasto destro... scegli prima
la scansione con avira (con le impostazioni che ti ho indicato nel'altro post...
e poi..., facendo ancora clic con il tasto destro, scegli esplora... ed una
volta che sei andato sul driver... cerca e cancella il file autorun.inf

Questo lo fai per tutti i drivers... con calma... e senza fare errori... Wink

Hai disattivato il ripristino configurazione di sistema...?
Se si... adesso, se è un'impostazione che ti fa comodo avere..., puoi riattivarla...
e crearti un nuovo punto di ripristino pulito...
Altrimenti la devi disattivare... infatti c'è il rischio di avere qualche punto di
ripristino infetto ancora sul pc...
Dopo disattivata... vale il discorso di poco prima... (se ti serve l'attivi... altrimenti...
desisti... Big%20smile)

Adesso sarai sufficientemente stanco di starmi a sentire.. quindi ti lascio
al da farsi... Ciao...  Big%20smile



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 84.834 - Postato: 13/Novembre/2008 alle 14:09


Tanto per esser di servizio... diciamo che avira la da per Vundo.. ma tanti altri lo danno per:

TR/Gamania-BW
PWS:Win32/Frethog.D
Generic PWS.ak
Win32.Hack.NsAnti.176128
Trojan-GameThief.Win32.Magania.ajon
Trojan-GameThief.Win32.Magania.ajon [Engine:A]
Trojan-GameThief.Win32.Magania.ajon [AVP]
TR/Vundo.Gen
Trojan.Lineage.DYW
Infostealer.Gampass
Troj/Virtum-Gen
Win32.Packed.Krap.b.3
TSPY_ONLINEG.MCL
W32/Lineage.KDD.worm

Questi sono i risultati di molti antivirus alle definizioni vailide al 07-08/11/2008
E' possibile che alcuni nomi siano stati assegnati in base all'analisi del comportamento
del file infetto... e non in base ad un riconoscimento vero è proprio dovuto alle definizioni...

Krool.. ricorda di controllare bene i tuoi driver removibili... e di cancellare tutti
i file sospetti che non riconosci siano legittimi... Wink

Modificato da prgn - 13/Novembre/2008 alle 14:11



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Krool
Principiante Principiante
Krool
Principiante Principiante
Krool
Principiante
Principiante

Avatar


Iscritto dal : 04/Luglio/2007
Da: Italy
Status: Offline
Posts: 113
bullet Topic: Post n° 84.849 - Postato: 14/Novembre/2008 alle 00:23


Ciao... scusa per il ritardo. Adesso cerco di rispondere al tuo post.
Purtroppo ad alcune delle tue curiosità non posso rispondere. Non sono in grado di postare il log di Combofix perché non riesco più a trovarlo, penso di averlo inavvertitamente cancellato assieme al log di hijackthis che avevo già postato, mi dispiace. Anche per quanto riguarda i files eliminati da avira non posso darti una risposta precisa (a meno che non ci sia un modo per recuperare tali informazioni, nel qual caso sarei felice di dartele). Ricordo solo che si trattava di ckvo0.dll (anche se trovato in una posizione diversa da system32) e di due altri files trovati in una cartella che purtroppo non ricordo. Mi dispiace davvero per la mia disattenzione.
La cartella QooBox l’ho eliminata come da te suggeritomi….
Ho cercato la chiave che avviava il programma in automatico che avrei dovuto eliminare ma non l’ho trovata (mi riferisco a O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe… credo che sia già stata eliminata altrimenti non saprei cosa dirti).
Ho selezionato la visualizzazione dei files nascosti e di quelli di sistema al fine di eliminare autorun.inf ma non è presente e per essere preciso ricordo che era uno dei files eliminati da combofix.
Cartella temp completamente svuotata.
Ccleaner utilizzato…
In windows\tasks non c’è niente nessuna voce sconosciuta…
La penna Usb l’avevo completamente formattata ma comunque ho fatto la scansione come da te suggeritomi e non è stato individuato nulla… neanche il file autorun.inf. Altri drivers esterni non erano stati connessi dopo che il pc era stato infettato (grazie al tuo suggerimento ho evitato di combinare altri guai) quindi penso di essere a posto da quel punto di vista.
Per quanto riguarda il ripristino configurazione di sistema ho seguito alla lettera le tue indicazioni quindi penso di essere giunto al termine.
Non so se c’è altro… fammi sapere. Ti ringrazio vivamente per tutto il tempo e l'attenzione che mi hai dedicato. Ciao!


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 84.876 - Postato: 14/Novembre/2008 alle 18:35


C'è la questione riguardo al file unhide.reg
Che avrebbe dovuto variare le impostazioni di registro apportate dal malware...
per rimanere nascosto...
Comunque.. se adesso riesci a variare le impostazioni sulla visualizzazione
dei file... penso che potesti non farlo...
Se tutto funziona.. e non riscontri altri problemi... possiamo chiudere la discussione..
Fammi sapere...
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Krool
Principiante Principiante
Krool
Principiante Principiante
Krool
Principiante
Principiante

Avatar


Iscritto dal : 04/Luglio/2007
Da: Italy
Status: Offline
Posts: 113
bullet Topic: Post n° 84.877 - Postato: 14/Novembre/2008 alle 20:10


Si.... da quando ho effettuato tutti gli interventi che mi hai suggerito non ho più avuto problemi. Se tu credi che possa evitare di effettuare l'altro intervento che mi suggerivi nell'ultimo post preferirei non farlo (se evitabile) visto che, e penso si sia ben capito, sono una frana totale e non vorrei rischiare di incasinare il pc visto che in questo periodo mi serve tantissimo. Però se pensi sia utile farlo io lo faccio visto che cerco di seguire alla lettera i tuoi suggerimenti che si sono rivelati utilissimi anche in passato. Fammi sapere... ciao!


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 84.883 - Postato: 14/Novembre/2008 alle 21:56


Non ti preoccupare.... non farlo... se tutto funziona correttamente non usare
quel file...
Se nn hai da aggiungere possiamo chiudere..



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Krool
Principiante Principiante
Krool
Principiante Principiante
Krool
Principiante
Principiante

Avatar


Iscritto dal : 04/Luglio/2007
Da: Italy
Status: Offline
Posts: 113
bullet Topic: Post n° 84.885 - Postato: 15/Novembre/2008 alle 10:36


Non so come ringraziarti per tutto l'aiuto che mi hai dato. Ti ringrazio di cuore. Ciao e grazie ancora...


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 84.886 - Postato: 15/Novembre/2008 alle 13:38


Figurati.. felice di esserti stato d'aiuto...
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,051 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni