Rimozione Trojan.Vundo.H - Si apre automaticamente finestra verso ip 82.98.235.111 Stampa
Scritto da Spy   

Mi sono imbattuto recentemente in un notebook che presentava questo problema.
All'avvio si aprivano, dopo pochi secondi, delle finestre in automatico del browser che puntavano a questo indirizzo:
http://82.98.235.111/go/?cmp=vm_mg_juan&...

E presentavano una pagina facsimile di google con la dicitura: "Spiacenti! Questo link non sembra essere funzionante"
Ovviamente, anche se fatta bene, la pagina non centra nulla con Google o con un possibile errore derivante da un problema di rete.

La causa di tutto questo, vi dico fin d'ora è il Trojan.Vundo.H
I classici software antivirus e antispyware non hanno trovato nulla di strano... Vi propongo quindi la mia risoluzione al problema.

1 - Scaricatevi questo software: Malwarebytes' Anti-Malware
2 - Installatelo sulla macchina incriminata... Ci metterà un bel po' a scansionare il tutto...
3 - Cancellate qualsiasi cosa vi proponga di eliminare...
4 - Riavviate la macchina; il trojan dovrebbe essere eliminato.

Posto qui sotto i nomi e le posizioni dei file per una rimozione "manuale" anche se penso siano diversi da caso a caso.

Moduli della memoria infetti:
C:\WINDOWS\system32\pmnoLcAT.dll
C:\WINDOWS\system32\wubkfm.dll
C:\WINDOWS\system32\qoMdDwWo.dll

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{58aebea3-893b-418a-b513-2e21b931af6b}
HKEY_CLASSES_ROOT\CLSID\{58aebea3-893b-418a-b513-2e21b931af6b}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a5424758-662d-4f85-a3a5-33f081af045b}
HKEY_CLASSES_ROOT\CLSID\{a5424758-662d-4f85-a3a5-33f081af045b}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a5424758-662d-4f85-a3a5-33f081af045b}
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomddwwo
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{58aebea3-893b-418a-b513-2e21b931af6b}.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages ---->Data: c:\windows\system32\pmnolcat
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages ----> Data: c:\windows\system32\pmnolcat
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper ----> impostare la chiave da 1 a 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop ----> impostare la chiave da 1 a 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges ----> impostare la chiave da 1 a 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop ----> impostare la chiave da 1 a 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges ----> impostare la chiave da 1 a 0

Cartelle infette:
C:\Documents and Settings\%nome_profilo_utente%\Dati applicazioni\gadcom

File infetti:
C:\WINDOWS\system32\pmnoLcAT.dll
C:\WINDOWS\system32\TAcLonmp.ini
C:\WINDOWS\system32\TAcLonmp.ini2
C:\WINDOWS\system32\wubkfm.dll
C:\WINDOWS\system32\acpbwwiq.dll
C:\WINDOWS\system32\qiwwbpca.ini
C:\WINDOWS\system32\qoMdDwWo.dll
C:\WINDOWS\system32\jrdkpopk.dll

Cancellare TUTTE le cartelle:
C:\Documents and Settings\%nome_profilo_utente%\Impostazioni locali\Temporary Internet Files
C:\Documents and Settings\%nome_profilo_utente%\Impostazioni locali\Temp

da www.m-link.it