Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

*** LINKOPTIMIZER/GROMOZON --- PREVENZIONE E RIMOZIONE ***

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

*** LINKOPTIMIZER/GROMOZON --- PREVENZIONE E RIMOZIONE ***

Messaggioda BilloKenobi » lun set 11, 2006 10:48 pm

In questa breve (tutto sommato) guida, cercherò di stilare un tutorial sintetico e di facile comprensione per la rimozione (e
magari anche la prevenzione) del LinkOptimizer.

INTRODUZIONE

Per fare una breve introduzione, il LinkOptimizer è divenuto in questi mesi una piaga che si è diffusa a macchia d'olio.

Mentre durante Giugno e Luglio si contavano sui forum già un discreto numero di utenti infetti (e imploranti di attenzione), oramai una grandissima fetta di coloro che chiedono aiuto sui forum è stata colpita da questo malware.

La caratteristica che più ha ostacolato gli utenti è la difficoltà che si incontra quando si tenta di eliminare il virus, che è formato da più componenti che lavorano in sinergia fra loro...

COMPORTAMENTO E PREVENZIONE

Il LinkOptimizer si contrae visitando particolari siti (che esistono al solo fine di contagiare più pc possibili). Molti di questi sono oggigiorno contrassegnati da uno sfondo tricolore.
Non appena aperta la pagina, il sito tramite un bug del browser carica il file infetto sul pc. Questo a sua volta scaricherà gli altri componenti dal server d'origine. Questi files vengono oggi scaricati da td8eau9td.com, ma in un passato prossimo venivano scaricati da gromozon.com e da mioctad.com.
Senza spiegare dettagliatamente ogni parte del malware e la sua funzione, mi limiterò a dire che i file vengono celati attraverso una tecnica particolare, definita rootkit. Infatti è questa caratteristica che rende particolarmente difficile la rimozione.
Se agli inizi era necessario collegarsi quasi esclusivamente a un sito a luci rosse (di marca italiana) per contrarre il malware, oggi il raggio di azione si è notevolmente allargatta. Sono stati creati anche siti infetti che trattano di elettrodomestici (per dirne una).

Una semplice soluzione per evitare il malware è navigare usando i cosidetti browser alternativi (Firefox od Opera) che avvisano che il sito sta tentando di scaricare un file.

Immagine

Tale file si chiama www.google.com, al fine di indurre l'utente a pensare che sia un file legittimo della google, inc. L'estensione .com però indica un file eseguibile, come .exe o .bat.
Un antivirus che riconosce il malware è il Nod32, che può aiutare a prevenirne l'infezione

SINTOMATOLOGIA

I sintomi facilmente riscontrabili consistono in un evidente rallentamento del pc (insieme a un uso smodato della cpu) e alla comparsa di numerosi popup nel web e durante la ricerca con Google. Con quest'ultima, il malware fa comparire un popup del genere: premettendo che io stia cercando su Google "Calcio", il popup riporterà diversi link a siti a pagamento, e in grande la scritta "Are you lokking for *Calcio*?

Utilizzando invece un programma di diagnostica come hijackthis, potremmo notare voci del tutto simili a queste. Alcune delle voci potrebbero essere presenti o no. Ciò dipenderà anche dalla versione che avete del malware, tra le quali una delle più recenti non permette la visualizzazione di nessuna fra queste

* R3 - Default URLSearchHook is missing
* O2 - BHO: Class - {CLSID casuale} - C:/WINDOWS/[random 5 lettere]1.dll (file missing)
* O2 - BHO: Class - {CLSID casuale} - C:/WINDOWS/[random 2 lettere]aa.dll (file missing)
* O4 - HKLM\..\Run: [[random 4 lettere]1.exe] C:\WINDOWS\Temp\[random 4 lettere]1.exe
* O4 - Startup: w32.exe
* O16 - DPF: {CLSID casuale} - http:/td8eau9td.com/a33ed837/50310/1/xp/FreeAccess.ocx
* O23 - Service: [Random] - Unknown owner - \\?\C:\Programmi\File comuni\System\[random].exe (file missing)

Inoltre il malware genera un utente dal nome casuale (ad ex. FdgHEhhjEa). Per verificarne la presenza è sufficiente abilitare la visualizzazione dei files invisibil e andare in C:\Documents and Settings\
Si potrà riscontrare anche la presenza della voce LinkOptimizer (o anche ConnectionServices) nel pannello Installazione Applicazioni.

NOTA BENE: non si deve assolutamente disinstallare da lì il malware... non avrebbe alcun effetto e si aprirebbero diverse pagine web, con l'effetto di poter peggiorare la situazione, a causa dell'installazione di un trojan aggiuntivo... nel caso non ne abbiate abbastanza [boxed]

RIMOZIONE

Ultimamente, alcune compagnie antivirus (fra le quali la Symantec, incredibile) hanno aggiornato le definizioni dei propri antivirus, ma il worm è comunque di difficile rimozione per la sua complessità strutturale e le numerose varianti in cui si propone.

Recentemente, la Prevx, della quale si è fatta un po' voce pubblica Marco Giuliani, al lavoro come mod (nick: eraser) nel forum della Hardware Upgrade, ha rilasciato un ottimo tool per la completa rimozione del malware... Purtroppo però il tool spesso non rimuove del tutto il malware, e quindi l'utente meno smaliziato e meno avvezzo all'uso del pc dovrà fare richiesta di aiuto nei forum. Nonostante un tool che spesso non funziona prefettamente possa sembrare inutile o quasi, nel caso del LinkOptimizer è un grandissimo passo avanti, dato che semplifica e di molto il processo di rimozione.

Link al tool

La rimozione manuale invece è consigliabile solo per chi se ne intende, o sotto la guida di un esperto (magari in un forum)

Nel caso si voglia (o si debba) procedere a una rimozione manuale, si dovranno scaricare questi programmi

Ccleaner --- http://download.ccleaner.com/ccsetup132.exe
The Avenger --- http://swandog46.geekstogo.com/avenger.zip
Myuninstaller --- http://www.puntocr.it/index/downloads_r ... d/214.html
GMER --- http://www.gmer.net/files.php
HijackThis --- http://www.merijn.org/files/hijackthis.zip

Qui di seguito le fasi per la rimozione manuale

Prima di tutto è necessario disabilitare il rirpristino configurazione di sistema (da riabilitare alla fine)

0) Eseguire una scansione utilizzando il [url="http://www.prevx.com/gromozon.asp"]tool della Prevx[/url] e poi installare [url="http://www.tgsoft.it/italy/index_ita.html"]Virit[/url] ed eseguire una scansione completa del vostro computer.
Già queste due operazioni dovrebbero garantirvi un buon grado di pulizia del vostro computer e risolvere molti problemi.

1) Estrarre Myuninstaller. Si tratta di un programma (che non necessita installazione) simile a "installazione applicazioni" ma molto più efficace in questo caso. Cerca la voce LinkOptimizer (o ConnectionServices), cliccarci col destro e cliccarre Delete selected entry

2) Andare su Start> esegui> e digitare le scritte in corsivo

control userpasswords2

e dare l'invio.
Nella finestra Account utente, si dovrebbe avere un'utenza sospetta con nome casuale (oltre le consuete), tipo XYZFG. Segnarsi il nome dell'utenza ed eliminarla (click con il destro e scegliere elimina)

3) Rendere visibili file e cartelle nascosti:

da gestione del computer> strumenti> Opzioni Cartella
Selezionare Visualizza
Spuntare "mostra file e cartelle nascoste"
Togliere la spunta da "nascondi file protetti di sistema.
cliccare OK

Andare in C:\Documents and Settings, si dovrebbe trovare una cartella con lo stesso nome dell'utenza, eliminare anch'essa

4) Questa fase necessita l'uso di Avenger e l'inserimento di uno script che varia da infezione a infezione (ci si ricordi che quasi tutti i componenti hanno nomi casuali). Quindi è consigliabile chiedere per questa fase assistenza nei forum.

In tal caso è neccesario postare anche dei log dell'applicazione Gmer. Per farlo, aprire il programma Gmer, fare uno scan delle schede "Autostart" e "Rootkit", cliccare su Copia, incollare i log sul block notes e incollarli poi sul forum.
Un utente esperto potrà indicarvi dunque il corretto script da inserire

5) Controllare se in C:\Programmi o C:\Programmi\file comuni o C:\programmi\file comuni\System o in C:\programmi\file

comuni\microsoft shared , sono presenti file con estensione .exe di colore verde. Se sì, utilizzare un tool elaborato da Paolo Monti (al lavoro per l'agenzia che distribuisce il NOD32) per eliminare ogni file a mano, passo passo

Link al tool

6) Installare Ccleaner, aprirlo, e cliccare su "Avvia Cleaner" in basso a destra. sarebbe consigliabile spuntare l'opzione ""Cancella file in Windows Temp solo se più vecchi di 48 ore"
Questo pulirà i file "Temp"

7) Aprire HijackThis e cliccare su "Do a system scan only", per poi eliminare le voci segnalate in precedenza o sul forum

8) Eliminate la cartella C:\Programmi\LinkOptimizer (ove C:\ indica la partizione del disco rigido infetta)

9) Per finire di pulire il registro, cercate nel regedit.exe tutte le voci riferite ai nomi random, alle clsid random e a LinkOptimizer o ConnectionServices

A questo punto il LinkOptimizer è finalmente eliminato

FONTI

Ecco due fra le fonti più accurate e dettagliate riguardo il LinkOptimizer. Anche se è ovvio che l'esperienza si fa combattendo direttamente il worm.

http://www.pcalsicuro.com/gromozon.pdf (in Inglese, a cura di Marco Giuliani)
http://www.suspectfile.com/forum/viewtopic.php?t=156 (in Italiano, a cura della Suspectfile.com)

CONCLUSIONE

Il vero problema del LinkOptimizer, a mio parere, è la totale disinformazione che circola nel web. Linkate al massimo, per favore, questa guida e le due fonti da me indicate, al fine di "sensibilizzare" un poco, se si può dire così, l'utenza del web e magari (che utopia!!!) ridurre un poco il numero, in continua crescita, di infezioni.

AGGIORNAMENTO 25/09/06

Questo aggiornamento è dovuto alla nuova "release" del LinkOptimizer. Il malware non sembra discostarsi dal comune comportamento virale (almeno per ora).
In compenso è stato rilevato un cambiamento nel nome e nel server del file che viene scaricato dai siti infetti

I nomi possibili (per ora riscontrati) sono:
www.nrydi.com --- www.free.com --- www.weather.com --- www.pictures.com --- www.super.com

e un nuovo server dal quale viene scaricato il malware è mufxggi.com

Immagine

Inoltre sono stati riscontrati ulteriori nuovi checksum nei confronti dei tool di rimozione sopracitati.
I tool GMER, The Avenger, il tool automatico della Prevx sono stati bloccati, assieme a dei siti web, quello della suspectfile.com (che prima fra i primi si è mossa per arginare l'epidemia) e quello della Prevx stessa, l'unica in grado di fornire un efficiente tool di rimozione.

Secondo la stessa Suspectfile è possibile aggirare il blocco ai siti web con un piccolo trucco.

SUSPECTFILE.COM ha scritto:Diversi utenti hanno lamentato questo spiacevole inconveniente. Per quanto riguarda il nostro sito crediamo venga modificato dal trojan il file HOSTS e che il problema possa essere risolto sostituendo lo stesso con il file HOSTS messo a disposizione da mvps.org

Per procedere alla sovrascrizione del file HOSTS basta scaricare la release della mvps.org presente a questo link facendo riferimento al proprio sistema operativo

Windows XP = C:\\WINDOWS\\SYSTEM32\\DRIVERS\\ETC
Windows 2K = C:\\WINNT\\SYSTEM32\\DRIVERS\\ETC
Win 98/ME = C:\\WINDOWS


Contemporaneamente però è uscito un nuovo tool di rimozione del malware, edito questa volta dalla Symantec

Link

Per concludere la parentesi di aggiornamento, la Prevx ha dichiarato di stare lavorando per aggirare il nuovo checksum nei confronti del suo tool e ripararne qualche bug.

Per ulteriori dettagli potete consultare l'articolo sul Link Optimizer

AGGIORNAMENTO 2/11/2006

Come avevo sospettato già 1 mese e mezzo fa, il problema dei mancati privilegi di debug nel usare Unlocker, era dovuto proprio all'attività del Gromozon/LinkOptimizer. Inoltre oggi, leggendo il sito di Marco Giuliani, ho scoperto (ma lo ipotizzavo già), che l'impossibilità di usare alcuni programmi antirootkit, tipo F-secure BlackLight, è dovuto allo stesso problema, cambia solo leggermente il messaggio d'errore.
Se nel usare qualche programma per la rimozione di Gromozon/LinkOptimizer, incontrate uno di seguenti errori:
Impossibile acquisire i privilegi necessari (SeDebugPrivilege)
Could not acquire necessary privilegges (SeDebugPrivilege)
Non si dispone dei privilegi di debug
...seguite la guida di questo articolo per ripristinare tali privilegi.
Come aggiungere i privilegi di debug.
(by Amantide)

Aggiornamento 11/11/2006
Le ultime varianti di questo virus riescono a bloccare i tools anche quando vengono rinominati.
Ho fatto un ulteriore modifica a tutti i tools, vi invito a provarli e farci sapere se funzionano.
Dato che non ho avuto modo di provarli sulle varianti più difficili ho utilizzato altri spazi web per il download dei file.
Selezionate la versione Free e inserite il codice alfa numerico, quando richiesto, poi aspettate il trascorrere dei secondi per avere il link del download.
Rapidshare
Megaupload
Depositfiles

SAREI OVVIAMENTE GRATO A TUTTI COLORO CHE POSSANO ALLUNGARE E MIGLIORARE QUESTA GUIDA (grazie Amantide e Crazy.Cat[^])

BilloKenobi
Ultima modifica di BilloKenobi il mar ott 17, 2006 3:29 am, modificato 3 volte in totale.
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda Mr.TFM » lun set 11, 2006 10:55 pm

Se ritieni funzionante la guida, e ritieni che sia un buon articolo, perché non la pubblichi sul portale????????? [fischio] Mettiti in contatto con vince o zane...
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda BilloKenobi » lun set 11, 2006 11:02 pm

guarda, la guida me l'ha chiesta crazy.cat, dato che non aveva tempo... chiederò a lui. comunque di guide ce ne sono più dettagliate (vedi quella di marco giuliani), però questa è abbastanza completa e spero di facile comprensione, il che penso sia importante.
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am


Messaggioda thomas » lun set 11, 2006 11:16 pm

[applauso]
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda crazy.cat » mar set 12, 2006 7:13 am

BilloKenobi ha scritto:guarda, la guida me l'ha chiesta crazy.cat, dato che non aveva tempo... chiederò a lui. comunque di guide ce ne sono più dettagliate (vedi quella di marco giuliani)

Intanto grazie a BilloKenobi, lo so che ci sono altre guide in giro, ma intanto noi teniamo come riferimento questa.
Con qualche foto potremmo tirarne fuori un articolo, se trovassi un ora di tempo infetto il mio portatile e poi inseriamo le foto.
Ne ho trovato una intanto.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Zane » mar set 12, 2006 9:40 am

Molto interessante! Esorto a pubblicare però le guide sul sito e non sul forum!
Avatar utente
Zane
MLI Hero
MLI Hero
 
Messaggi: 7935
Iscritto il: lun ago 05, 2002 9:36 am
Località: Ferrara

Messaggioda crazy.cat » mar set 12, 2006 10:15 am

Zane ha scritto:Molto interessante! Esorto a pubblicare però le guide sul sito e non sul forum!

Sono stato io a chiedergli questa cosa per il momento.
Se trovo il tempo per impestare il mio pc portatile, la prendiamo come base e l'allarghiamo con le foto necessarie.
Devo però vedere e capire come si comporta il virus.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda BilloKenobi » mar set 12, 2006 1:54 pm

Felice di essere stato d'aiuto, anche se solo con una pseudo guida
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Ci ho provato ma...

Messaggioda solarlord » mar set 12, 2006 6:08 pm

Ragazzi perdonate questa "intrusione".

Ho provato a seguire la guida passo per passo ( mi riferisco alla rimozione manuale ) : il punto 4 l'ho dovuto saltare ( dato che né l'Avenger né il GMER accennano ad aprirsi ) mentre per quanto riguarda le voci da spuntare con HijackThis non solo sono diverse ( cosa comprensibile, come già si è detto ) ma alla fine non si riescono a cancellare ! Come prova di ciò vi allego il log file :

Logfile of HijackThis v1.99.1
Scan saved at 18.48.48, on 12/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Nokia\Tools\NclTray.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Telecom Italia Media\Fast 800-840 Tin.it\dslmon.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Nokia\PC Suite for N-Gage QD\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for N-Gage QD\ectaskscheduler.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\Programmi\HP\Digital Imaging\bin\hpqgalry.exe
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documenti\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {A5679719-B425-30AC-4EB7-9A27091C8633} - C:\WINDOWS\aernu1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Programmi\Telecom Italia Media\Fast 800-840 Tin.it\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PCSuiteperNokiaN-Gage QD Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokiaN-Gage QD TS.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D60EE2E-6E0A-4C03-8D9F-A4F8C469DE99}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Data la vostra esperienza non è che mi potreste dare una mano ? E' ormai quasi una settimana che questo maledetto virus imperversa sul mio computer rendendomi praticamente inutilizzabile l'eMule e subito dopo l'ADSL !

Forse questo messaggio non l'avrei dovuto postare qui : di questo mi scuso ma non sò più cosa fare : mi rimetto alla vostra pazienza !
Avatar utente
solarlord
Aficionado
Aficionado
 
Messaggi: 136
Iscritto il: mar set 12, 2006 11:59 am
Località: Berlino

Re: Ci ho provato ma...

Messaggioda crazy.cat » mar set 12, 2006 6:15 pm

solarlord ha scritto:Ragazzi perdonate questa "intrusione".

Sei perdonato.... [:-D]

Hai provato il tools segnalato al punto 5?
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda solarlord » mar set 12, 2006 6:43 pm

Sì, e sembrerebbe aver fatto piazza pulita... ( anche se ho notato che con un file non è riuscito a rimuovere un "rouge account" ) ho persino messo sù il prevx removal tool... eppure... osserva questo log :

Logfile of HijackThis v1.99.1
Scan saved at 19.23.58, on 12/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Nokia\Tools\NclTray.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Telecom Italia Media\Fast 800-840 Tin.it\dslmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\Programmi\Nokia\PC Suite for N-Gage QD\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for N-Gage QD\ectaskscheduler.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programmi\HP\Digital Imaging\bin\hpqgalry.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documenti\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {A5679719-B425-30AC-4EB7-9A27091C8633} - C:\WINDOWS\aernu1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Programmi\Telecom Italia Media\Fast 800-840 Tin.it\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PCSuiteperNokiaN-Gage QD Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokiaN-Gage QD TS.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D60EE2E-6E0A-4C03-8D9F-A4F8C469DE99}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Sembra essere rimasto tutto come prima... devo però precisare una cosa : in uno dei miei maldestri tentativi di cancellare l'orej1.exe ( si chiama così la mia infezione... ) ho usato il KillBox ( con l'opzione Delete on Reboot ) : al riavvio di Windows mi sono trovato una cartella nel disco locale C denominata per l'appunto KillBox con all'interno l'orej1.exe più un log... c'entra qualcosa ?

Un'ultima cosa riguardo gli utenti "fittizi" : ne ho beccati ben due... quelli autorizzati devono essere rispettivamente l'Administrator e il sottoscritto giusto ?
Avatar utente
solarlord
Aficionado
Aficionado
 
Messaggi: 136
Iscritto il: mar set 12, 2006 11:59 am
Località: Berlino

Messaggioda crazy.cat » mar set 12, 2006 6:48 pm

solarlord ha scritto:Un'ultima cosa riguardo gli utenti "fittizi" : ne ho beccati ben due... quelli autorizzati devono essere rispettivamente l'Administrator e il sottoscritto giusto ?

Tutto quello che non riconosci come tuo eliminalo.

In quanto a killbox non ho mai provato ad usarlo quindi non so che dirti.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda BilloKenobi » mar set 12, 2006 6:54 pm

ti sei beccato una versione del LO che non fa aprire gmer e avenger.

per aprire almeno gmer vai in C:\Windows e cerca gmer.exe (il file si autocopia lì) e copialo dove vuoi e cambiagli nome (tipo pippo.exe)

quella versione (non mi chiedere perché) funzionerà

scusa, ma non ho capito se hai usato o no il tool di rimozione completa

http://www.prevx.com/gromozon.asp
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda solarlord » mar set 12, 2006 6:59 pm

Sì, l'ho usato subito dopo aver ( maldestramente ) provato a rimuovere il tutto manualmente...
Avatar utente
solarlord
Aficionado
Aficionado
 
Messaggi: 136
Iscritto il: mar set 12, 2006 11:59 am
Località: Berlino

Messaggioda solarlord » mar set 12, 2006 7:04 pm

Scusa... che tu ci creda o no il file GMER in Windows non c'è e anche impostando la ricerca trova solo quello che ho scaricato e scompattato nei Documenti...
Avatar utente
solarlord
Aficionado
Aficionado
 
Messaggi: 136
Iscritto il: mar set 12, 2006 11:59 am
Località: Berlino

Messaggioda solarlord » mer set 13, 2006 12:23 am

Allora ragazzi... alla fine ce l'ho fatta a far partire il GMER !

Vi allego pertanto i log rispettivamente dell'Autostart e del Rootkit ( scan eseguiti entrambi con l'ADSL disconessa e tutte le applicazioni chiuse ) nella speranza di arrivare a capo di questa quantomai tormentata vicenda !

GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-09-13 00:54:07
Windows 5.1.2600 Service Pack 1


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = userinit.exe

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
btwdins /*Bluetooth Service*/@ = C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
ccEvtMgr /*Symantec Event Manager*/@ = "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
ccProxy /*Symantec Network Proxy*/@ = "C:\Programmi\File comuni\Symantec Shared\ccProxy.exe"
ccSetMgr /*Symantec Settings Manager*/@ = "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
ewido anti-spyware 4.0 guard /*ewido anti-spyware 4.0 guard*/@ = C:\Programmi\ewido anti-spyware 4.0\guard.exe
ISSVC /*ISSvc*/@ = C:\Programmi\Norton Internet Security\ISSVC.exe
navapsvc /*Servizio Auto-Protect di Norton AntiVirus*/@ = "C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe"
SBService /*ScriptBlocking Service*/@ = C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
SNDSrvc /*Symantec Network Drivers Service*/@ = C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
SPBBCSvc /*Symantec SPBBCSvc*/@ = C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
Symantec Core LC /*Symantec Core LC*/@ = C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
SymWSC /*SymWMI Service*/@ = C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\System32\wdfmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@iTunesHelperC:\Programmi\iTunes\iTunesHelper.exe = C:\Programmi\iTunes\iTunesHelper.exe
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@CloneCDTray"C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s = "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
@DAEMON Tools-1033"C:\Programmi\D-Tools\daemon.exe" -lang 1033 = "C:\Programmi\D-Tools\daemon.exe" -lang 1033
@SSC_UserPromptC:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe = C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
@REGSHAVEC:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN = C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
@HP Software Update"C:\Programmi\HP\HP Software Update\HPWuSchd2.exe" = "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
@WinampAgentC:\Programmi\Winamp\winampa.exe = C:\Programmi\Winamp\winampa.exe
@ccApp"C:\Programmi\File comuni\Symantec Shared\ccApp.exe" = "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
@Symantec NetDriver MonitorC:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer = C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
@Nokia Tray ApplicationC:\Programmi\File comuni\Nokia\Tools\NclTray.exe = C:\Programmi\File comuni\Nokia\Tools\NclTray.exe
@DataLayerC:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe = C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
@TkBellExe"C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot = "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
@SunJavaUpdateSched"C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe" = "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
@SpywareTerminator"C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe" = "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\System32\ctfmon.exe = C:\WINDOWS\System32\ctfmon.exe
@MSMSGS"C:\Programmi\Messenger\msmsgs.exe" /background = "C:\Programmi\Messenger\msmsgs.exe" /background

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad@SystemCheck2 =

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{57B86673-276A-48B2-BAE7-C6DBB3020EB8} = C:\Programmi\ewido anti-spyware 4.0\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{5F327514-6C5E-4d60-8F16-D07FA08A78ED} /*Estensione finestra proprietà di aggiornamento automatico*/C:\WINDOWS\System32\wuaueng.dll = C:\WINDOWS\System32\wuaueng.dll
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79307-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{8FF88D21-7BD0-11D1-BFB7-00AA00262A11} /*WinAce Archiver 2.5 Context Menu Shell Extension*/C:\Programmi\WinAce\arcext.dll = C:\Programmi\WinAce\arcext.dll
@{8FF88D25-7BD0-11D1-BFB7-00AA00262A11} /*WinAce Archiver 2.5 DragDrop Shell Extension*/C:\Programmi\WinAce\arcext.dll = C:\Programmi\WinAce\arcext.dll
@{8FF88D27-7BD0-11D1-BFB7-00AA00262A11} /*WinAce Archiver 2.5 Context Menu Shell Extension*/C:\Programmi\WinAce\arcext.dll = C:\Programmi\WinAce\arcext.dll
@{8FF88D23-7BD0-11D1-BFB7-00AA00262A11} /*WinAce Archiver 2.5 Property Sheet Shell Extension*/C:\Programmi\WinAce\arcext.dll = C:\Programmi\WinAce\arcext.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} /*Shell Extensions for RealOne Player*/C:\Programmi\Real\RealPlayer\rpshell.dll = C:\Programmi\Real\RealPlayer\rpshell.dll
@{516EC4D3-4AD9-11D5-AA6A-00E0189008B3} /*The Core Media Player Shell Extension*/C:\PROGRA~1\CORECO~1\THECOR~1\System\CORESH~1.CLL = C:\PROGRA~1\CORECO~1\THECOR~1\System\CORESH~1.CLL
@{32020A01-506E-484D-A2A8-BE3CF17601C3} /*AlcoholShellEx*/C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll = C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll
@{0561EC90-CE54-4f0c-9C55-E226110A740C} /*Haali Column Provider*/C:\Programmi\Haali\MatroskaSplitter\mmfinfo.dll = C:\Programmi\Haali\MatroskaSplitter\mmfinfo.dll
@(null) =
@{6af09ec9-b429-11d4-a1fb-0090960218cb} /*My Bluetooth Places*/C:\WINDOWS\System32\btneighborhood.dll = C:\WINDOWS\System32\btneighborhood.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved@{BDEADF00-C265-11d0-BCED-00A0C90AB50F} /*Cartelle Web*/ = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
ZFAdd@{8FF88D27-7BD0-11D1-BFB7-00AA00262A11} = C:\Programmi\WinAce\arcext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
CoreShellAgent@{516EC4D3-4AD9-11D5-AA6A-00E0189008B3} = C:\PROGRA~1\CORECO~1\THECOR~1\System\CORESH~1.CLL
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
ZFAdd@{8FF88D27-7BD0-11D1-BFB7-00AA00262A11} = C:\Programmi\WinAce\arcext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx = C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
@{A5679719-B425-30AC-4EB7-9A27091C8633}C:\WINDOWS\aernu1.dll /*file not found*/ = C:\WINDOWS\aernu1.dll /*file not found*/
@{BDF3E430-B101-42AD-A544-FADC6B084872}C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll = C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\System32\ss3dfo.scr

HKLM\Software\Microsoft\Internet Explorer\Plugins\Extension\.spop@Location = C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\WINDOWS\System32\blank.htm = C:\WINDOWS\System32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\System32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
tv@CLSID = C:\WINDOWS\System32\msvidctl.dll
vnd.ms.radio@CLSID = C:\WINDOWS\System32\msdxm.ocx
wia@CLSID = C:\WINDOWS\System32\wiascr.dll

HKLM\Software\Classes\PROTOCOLS\Handler\widimg@CLSID = C:\WINDOWS\System32\btxppanel.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Avvio rapido di HP Image Zone.lnk = Avvio rapido di HP Image Zone.lnk
BTTray.lnk = BTTray.lnk
DSLMON.lnk = DSLMON.lnk
HP Digital Imaging Monitor.lnk = HP Digital Imaging Monitor.lnk
Microsoft Office.lnk = Microsoft Office.lnk
PCSuiteperNokiaN-Gage QD Detect.lnk = PCSuiteperNokiaN-Gage QD Detect.lnk
PCSuiteperNokiaN-Gage QD TS.lnk = PCSuiteperNokiaN-Gage QD TS.lnk
WinZip Quick Pick.lnk = WinZip Quick Pick.lnk

---- EOF - GMER 1.0.10 ----



GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-13 01:06:28
Windows 5.1.2600 Service Pack 1


---- System - GMER 1.0.10 ----

SSDT \??\C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator\sp_rsdrv2.sys ZwClose
SSDT 8207DE18 ZwConnectPort
SSDT \??\C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator\sp_rsdrv2.sys ZwCreateFile
SSDT \??\C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator\sp_rsdrv2.sys ZwCreateKey
SSDT a347bus.sys ZwCreatePagingFile
SSDT \??\C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator\sp_rsdrv2.sys ZwCreateSection
SSDT \??\C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator\sp_rsdrv2.sys ZwDeleteKey
SSDT \??\C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator\sp_rsdrv2.sys ZwDeleteValueKey
SSDT a347bus.sys ZwEnumerateKey
SSDT a347bus.sys ZwEnumerateValueKey
SSDT \??\C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator\sp_rsdrv2.sys ZwLoadDriver
SSDT \??\C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator\sp_rsdrv2.sys ZwOpenFile
SSDT a347bus.sys ZwOpenKey
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwOpenProcess
SSDT a347bus.sys ZwQueryKey
SSDT a347bus.sys ZwQueryValueKey
SSDT a347bus.sys ZwSetSystemPowerState
SSDT \??\C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator\sp_rsdrv2.sys ZwSetValueKey
SSDT \??\C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator\sp_rsdrv2.sys ZwTerminateProcess
SSDT \??\C:\Documents and Settings\All Users\Dati applicazioni\Spyware Terminator\sp_rsdrv2.sys ZwWriteFile

---- Devices - GMER 1.0.10 ----

Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE_NAMED_PIPE 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLOSEIRP_MJ_READ 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_WRITE 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_EA 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_EA 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FLUSH_BUFFERS 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_VOLUME_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_VOLUME_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DIRECTORY_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FILE_SYSTEM_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_INTERNAL_DEVICE_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SHUTDOWN 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_LOCK_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLEANUP 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE_MAILSLOT 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_SECURITY 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_SECURITY 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_POWER 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SYSTEM_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CHANGE 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_QUOTA 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_QUOTA 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP 821CD508
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP_POWER 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE_NAMED_PIPE 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLOSEIRP_MJ_READ 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_WRITE 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_EA 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_EA 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FLUSH_BUFFERS 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_VOLUME_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_VOLUME_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DIRECTORY_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FILE_SYSTEM_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_INTERNAL_DEVICE_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SHUTDOWN 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_LOCK_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLEANUP 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE_MAILSLOT 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_SECURITY 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_SECURITY 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_POWER 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SYSTEM_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CHANGE 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_QUOTA 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_QUOTA 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_PNP 821CD508
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_PNP_POWER 821CD508
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE_NAMED_PIPE 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLOSEIRP_MJ_READ 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_WRITE 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_EA 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_EA 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_FLUSH_BUFFERS 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_VOLUME_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_VOLUME_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DIRECTORY_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_FILE_SYSTEM_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SHUTDOWN 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_LOCK_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLEANUP 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE_MAILSLOT 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_SECURITY 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_SECURITY 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_POWER 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SYSTEM_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CHANGE 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_QUOTA 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_QUOTA 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_PNP 821C8008
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_PNP_POWER 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE_NAMED_PIPE 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLOSEIRP_MJ_READ 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_WRITE 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_EA 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_EA 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_FLUSH_BUFFERS 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_VOLUME_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_VOLUME_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DIRECTORY_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_FILE_SYSTEM_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SHUTDOWN 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_LOCK_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLEANUP 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE_MAILSLOT 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_SECURITY 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_SECURITY 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_POWER 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SYSTEM_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CHANGE 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_QUOTA 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_QUOTA 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_PNP 821C8008
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_PNP_POWER 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_CREATE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_CREATE_NAMED_PIPE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_CLOSEIRP_MJ_READ 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_WRITE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_QUERY_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_SET_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_QUERY_EA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_SET_EA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_FLUSH_BUFFERS 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_QUERY_VOLUME_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_SET_VOLUME_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_DIRECTORY_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_FILE_SYSTEM_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_DEVICE_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_INTERNAL_DEVICE_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_SHUTDOWN 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_LOCK_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_CLEANUP 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_CREATE_MAILSLOT 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_QUERY_SECURITY 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_SET_SECURITY 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_POWER 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_SYSTEM_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_DEVICE_CHANGE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_QUERY_QUOTA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_SET_QUOTA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_PNP 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 IRP_MJ_PNP_POWER 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_CREATE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_CREATE_NAMED_PIPE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_CLOSEIRP_MJ_READ 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_WRITE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_QUERY_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_SET_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_QUERY_EA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_SET_EA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_FLUSH_BUFFERS 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_QUERY_VOLUME_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_SET_VOLUME_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_DIRECTORY_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_FILE_SYSTEM_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_DEVICE_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_INTERNAL_DEVICE_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_SHUTDOWN 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_LOCK_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_CLEANUP 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_CREATE_MAILSLOT 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_QUERY_SECURITY 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_SET_SECURITY 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_POWER 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_SYSTEM_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_DEVICE_CHANGE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_QUERY_QUOTA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_SET_QUOTA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_PNP 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c IRP_MJ_PNP_POWER 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_CREATE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_CREATE_NAMED_PIPE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_CLOSEIRP_MJ_READ 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_WRITE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_QUERY_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_SET_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_QUERY_EA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_SET_EA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_FLUSH_BUFFERS 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_QUERY_VOLUME_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_SET_VOLUME_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_DIRECTORY_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_FILE_SYSTEM_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_DEVICE_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_INTERNAL_DEVICE_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_SHUTDOWN 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_LOCK_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_CLEANUP 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_CREATE_MAILSLOT 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_QUERY_SECURITY 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_SET_SECURITY 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_POWER 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_SYSTEM_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_DEVICE_CHANGE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_QUERY_QUOTA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_SET_QUOTA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_PNP 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-18 IRP_MJ_PNP_POWER 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_CREATE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_CREATE_NAMED_PIPE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_CLOSEIRP_MJ_READ 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_WRITE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_QUERY_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_SET_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_QUERY_EA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_SET_EA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_FLUSH_BUFFERS 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_QUERY_VOLUME_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_SET_VOLUME_INFORMATION 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_DIRECTORY_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_FILE_SYSTEM_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_DEVICE_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_INTERNAL_DEVICE_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_SHUTDOWN 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_LOCK_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_CLEANUP 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_CREATE_MAILSLOT 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_QUERY_SECURITY 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_SET_SECURITY 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_POWER 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_SYSTEM_CONTROL 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_DEVICE_CHANGE 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_QUERY_QUOTA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_SET_QUOTA 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_PNP 821C8008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-20 IRP_MJ_PNP_POWER 821C8008
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CREATE 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CREATE_NAMED_PIPE 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CLOSEIRP_MJ_READ 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_WRITE 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_EA 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_EA 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_FLUSH_BUFFERS 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_VOLUME_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_VOLUME_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_DIRECTORY_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_FILE_SYSTEM_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_DEVICE_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_INTERNAL_DEVICE_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SHUTDOWN 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_LOCK_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CLEANUP 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CREATE_MAILSLOT 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_SECURITY 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_SECURITY 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_POWER 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SYSTEM_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_DEVICE_CHANGE 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_QUOTA 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_QUOTA 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_PNP 821CD508
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_PNP_POWER 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_CREATE 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_CREATE_NAMED_PIPE 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_CLOSEIRP_MJ_READ 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_WRITE 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_QUERY_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_SET_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_QUERY_EA 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_SET_EA 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_FLUSH_BUFFERS 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_QUERY_VOLUME_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_SET_VOLUME_INFORMATION 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_DIRECTORY_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_FILE_SYSTEM_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_DEVICE_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_INTERNAL_DEVICE_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_SHUTDOWN 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_LOCK_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_CLEANUP 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_CREATE_MAILSLOT 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_QUERY_SECURITY 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_SET_SECURITY 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_POWER 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_SYSTEM_CONTROL 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_DEVICE_CHANGE 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_QUERY_QUOTA 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_SET_QUOTA 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_PNP 821CD508
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_PNP_POWER 821CD508
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_CREATE 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_CREATE_NAMED_PIPE 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_CLOSEIRP_MJ_READ 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_WRITE 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_QUERY_INFORMATION 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_SET_INFORMATION 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_QUERY_EA 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_SET_EA 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_FLUSH_BUFFERS 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_QUERY_VOLUME_INFORMATION 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_SET_VOLUME_INFORMATION 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_DIRECTORY_CONTROL 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_FILE_SYSTEM_CONTROL 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_DEVICE_CONTROL 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_SHUTDOWN 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_LOCK_CONTROL 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_CLEANUP 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_CREATE_MAILSLOT 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_QUERY_SECURITY 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_SET_SECURITY 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_POWER 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_SYSTEM_CONTROL 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_DEVICE_CHANGE 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_QUERY_QUOTA 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_SET_QUOTA 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_PNP 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1Port4Path0Target0Lun0 IRP_MJ_PNP_POWER 82141BD0
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CREATE 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CREATE_NAMED_PIPE 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CLOSEIRP_MJ_READ 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_WRITE 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_INFORMATION 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_INFORMATION 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_EA 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_EA 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_FLUSH_BUFFERS 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_VOLUME_INFORMATION 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_VOLUME_INFORMATION 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_DIRECTORY_CONTROL 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_FILE_SYSTEM_CONTROL 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_DEVICE_CONTROL 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_INTERNAL_DEVICE_CONTROL 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SHUTDOWN 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_LOCK_CONTROL 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CLEANUP 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CREATE_MAILSLOT 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_SECURITY 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_SECURITY 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_POWER 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SYSTEM_CONTROL 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_DEVICE_CHANGE 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_QUOTA 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_QUOTA 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_PNP 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_PNP_POWER 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_CREATE 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_CREATE_NAMED_PIPE 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_CLOSEIRP_MJ_READ 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_WRITE 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_QUERY_INFORMATION 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SET_INFORMATION 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_QUERY_EA 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SET_EA 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_FLUSH_BUFFERS 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_QUERY_VOLUME_INFORMATION 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SET_VOLUME_INFORMATION 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_DIRECTORY_CONTROL 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_FILE_SYSTEM_CONTROL 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_DEVICE_CONTROL 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SHUTDOWN 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_LOCK_CONTROL 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_CLEANUP 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_CREATE_MAILSLOT 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_QUERY_SECURITY 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SET_SECURITY 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_POWER 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SYSTEM_CONTROL 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_DEVICE_CHANGE 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_QUERY_QUOTA 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SET_QUOTA 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_PNP 8204B200
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_PNP_POWER 8204B200
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CREATE 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CREATE_NAMED_PIPE 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CLOSEIRP_MJ_READ 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_WRITE 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_INFORMATION 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_INFORMATION 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_EA 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_EA 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_FLUSH_BUFFERS 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_VOLUME_INFORMATION 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_VOLUME_INFORMATION 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_DIRECTORY_CONTROL 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_FILE_SYSTEM_CONTROL 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_DEVICE_CONTROL 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_INTERNAL_DEVICE_CONTROL 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SHUTDOWN 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_LOCK_CONTROL 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CLEANUP 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CREATE_MAILSLOT 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_SECURITY 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_SECURITY 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_POWER 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SYSTEM_CONTROL 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_DEVICE_CHANGE 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_QUOTA 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_QUOTA 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_PNP 82141BD0
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_PNP_POWER 82141BD0

---- Modules - GMER 1.0.10 ----

Module _________ F841A000

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----

Vi ringrazio ancora per la pazienza ( e il tempo ) concessomi !
Avatar utente
solarlord
Aficionado
Aficionado
 
Messaggi: 136
Iscritto il: mar set 12, 2006 11:59 am
Località: Berlino

Messaggioda solarlord » mer set 13, 2006 12:44 am

Non sò se vi può servire ma già che ci sono vi allego anche il log del Gromozon...

Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\System32\lpt1.vot
\\?\C:\WINDOWS\System32\lpt1.vot
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
C:\_cleaned.tmp
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\aernu1.dll
Removed!
Scanning: C:\Programmi\File comuni


Trojan.Gromozon Removed!
Avatar utente
solarlord
Aficionado
Aficionado
 
Messaggi: 136
Iscritto il: mar set 12, 2006 11:59 am
Località: Berlino

Messaggioda Amantide » mer set 13, 2006 8:04 am

Non guardo nemmeno il log di GMER perche secondo me si vede bene tutto anche nel log di Hijackthis.
Per eliminare il file aernu1.dll, fai cosi:
Vai su Start--> Esegui e digita questo comando
Codice: Seleziona tutto
del \\.\C:\WINDOWS\aernu1.dll

Per eliminare i residui di LO apri il regedit (Start--> Esegui--> regedit) e tramite Modifica-->Trova cerca ed elimina tutti i riferimenti a linkoptimizer, aernu1.dll, lpt1.vot.

@BilloKenobi
Complimetti per un ottima guida, ci voleva proprio [applauso] . Poi, tramite PM ti mando qualche suggerimento da aggiungere alla guida.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda crazy.cat » mer set 13, 2006 9:20 am

Amantide ha scritto:@BilloKenobi
Complimetti per un ottima guida, ci voleva proprio [applauso] . Poi, tramite PM ti mando qualche suggerimento da aggiungere alla guida.

Volendo potresti modificare direttamente tu il post, perché i post per gli utenti normali dopo un certo periodo di tempo non sono più modificabili.

Comunque aggiornate pure la guida, perché la prossima settimana dovrei essere in ferie (non me le ricordavo neanche....) e quindi ho deciso per l'infezione del mio portatile e lo studio di questo virus.

Dopo si passa all'articolo vero e proprio in collaborazione.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda solarlord » mer set 13, 2006 11:48 am

Miss Amantide purtroppo sembra che questo aernu1.dll sia più tenace del solito : se eseguo il comando sopraindicato mi dà errore ( impossibile trovare il file "del" verificare che il percorso e il nome del file siano corretti etc,etc. ). Riguardo il residui di LO : nelle ricerca di ConnectionServices ( altro nome con il quale è conosciuto ), aernu1.dll e lpt1.vot mi imbatto in una stringa che non riesco a cancellare : è sempre quella dell'aernu1.dll ! Tutto il resto però l'ho cancellato...

Lei sarebbe così gentile da indicarmi un'altra via ?
Avatar utente
solarlord
Aficionado
Aficionado
 
Messaggi: 136
Iscritto il: mar set 12, 2006 11:59 am
Località: Berlino

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 19 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising