« Torna alla lista delle News

17
gen
2009

Rimozione Trojan.Vundo.H - Si apre automaticamente finestra verso ip 82.98.235.111


Mi sono imbattuto recentemente in un notebook che presentava questo problema.
All'avvio si aprivano, dopo pochi secondi, delle finestre in automatico del browser che puntavano a questo indirizzo:
http://82.98.235.111/go/?cmp=vm_mg_juan&...
E presentavano una pagina facsimile di google con la dicitura: "Spiacenti! Questo link non sembra essere funzionante"
Ovviamente, anche se fatta bene, la pagina non centra nulla con Google o con un possibile errore derivante da un problema di rete.

La causa di tutto questo, vi dico fin d'ora è il Trojan.Vundo.H
I classici software antivirus e antispyware non hanno trovato nulla di strano... Vi propongo quindi la mia risoluzione al problema.

1 - Scaricatevi questo software: Malwarebytes' Anti-Malware
2 - Installatelo sulla macchina incriminata... Ci metterà un bel po' a scansionare il tutto...
3 - Cancellate qualsiasi cosa vi proponga di eliminare...
4 - Riavviate la macchina; il trojan dovrebbe essere eliminato.

Posto qui sotto i nomi e le posizioni dei file per una rimozione "manuale" anche se penso siano diversi da caso a caso.

Moduli della memoria infetti:
C:\WINDOWS\system32\pmnoLcAT.dll
C:\WINDOWS\system32\wubkfm.dll
C:\WINDOWS\system32\qoMdDwWo.dll

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{58aebea3-893b-418a-b513-2e21b931af6b}
HKEY_CLASSES_ROOT\CLSID\{58aebea3-893b-418a-b513-2e21b931af6b}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a5424758-662d-4f85-a3a5-33f081af045b}
HKEY_CLASSES_ROOT\CLSID\{a5424758-662d-4f85-a3a5-33f081af045b}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a5424758-662d-4f85-a3a5-33f081af045b}
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomddwwo
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{58aebea3-893b-418a-b513-2e21b931af6b}.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages ---->Data: c:\windows\system32\pmnolcat
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages ----> Data: c:\windows\system32\pmnolcat
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper ----> impostare la chiave da 1 a 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop ----> impostare la chiave da 1 a 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges ----> impostare la chiave da 1 a 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop ----> impostare la chiave da 1 a 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges ----> impostare la chiave da 1 a 0

Cartelle infette:
C:\Documents and Settings\%nome_profilo_utente%\Dati applicazioni\gadcom

File infetti:
C:\WINDOWS\system32\pmnoLcAT.dll
C:\WINDOWS\system32\TAcLonmp.ini
C:\WINDOWS\system32\TAcLonmp.ini2
C:\WINDOWS\system32\wubkfm.dll
C:\WINDOWS\system32\acpbwwiq.dll
C:\WINDOWS\system32\qiwwbpca.ini
C:\WINDOWS\system32\qoMdDwWo.dll
C:\WINDOWS\system32\jrdkpopk.dll

Cancellare TUTTE le cartelle:
C:\Documents and Settings\%nome_profilo_utente%\Impostazioni locali\Temporary Internet Files
C:\Documents and Settings\%nome_profilo_utente%\Impostazioni locali\Temp

Buona rimozione!!


« Torna alla lista delle News

roberto - ha scritto il 19/02/2009 alle 18.19
grazie mille....hai risolto tutti i miei problemi..
Paolo Beretti - ha scritto il 08/03/2009 alle 20.26
la simpatica frase...
"Spiacenti! Questo link non sembra essere funzionante"
mi compare da qualche settimana ogni volta che mi indirizzo a siti microsoft e a diversi siti di antivirus; alcuni antivirus che ho installato, invece, non si aggiornano e windows defender manco si apre!!!
Tutto il pc si rallenta ogni tanti e spesso, in vari programmi, cliccando col tasto sinsitro si apre la maschera del tasto destro.......
Gli elementi che hai indicato non risultano nel mio sistema (nè nelle directory, nè nel registro).
Ho disinfettato alcuni virus con Ad-aware, Malwarebytes... ma non cambia nulla... e Highjackthis non mi pare segnali niente di particolare.........
Infine...come mai non trovo segnalazioni del genere in rete????
Thanks!
laura - ha scritto il 14/04/2009 alle 19.57
Grazie mille!!! Stavo andando al manicomio con questo virus.. sei un grande!
Apocalypse - ha scritto il 20/04/2009 alle 16.53
succede anche a me, spesso compare la scritta ( Spiacenti! Questo link non sembra essere funzionante ), se attendo un attimo, intendo una frazione di secondo e riclicco il link funziona perfettamente, e quindi non compare nulla. Ho scansionato + volte con malwarebytes, e non mi risulta ci sia nessun virus o trojan ecc., Ti assicuro che non si tratta di virus, forse molto probabilmente è un aggiornamento della Microzozz. Se vi può aiutare, a me e successo da quando ho disinstallato Windows Desktop search, forse non centra nulla, forse un caso, boh!
Ciao a tutti