www.MegaLab.it

[crazy.cat]

Due nomi strani su google non danno praticamenti risultati buoni.
C:\WINDOWS\d5w.exe : KAVICHS (36 bytes)
C:\WINDOWS\drap5100.dat : KAVICHS (100 bytes)

[Tetsuya1977]

Niente,non hanno niente di sospetto uno è legato a una libreria VST di Cubase

[Amantide]

Per eliminare definitivamente il servizio fasullo, fai cosi:
Vai su Start--> Esegui dove devi digitare ed eseguire uno alla volta questi comandi in grassetto:
sc stop UOzME
sc delete UOzME

[Tetsuya1977]

Siamo alla frutta

Controllo quasi totale su ogni sito che parla dell'argomento con conseguente inacessibilà (questo sito regge)

Preclusa la possibilità di scaricare ogni nuova/vecchia release dei tool

Nell'eventualità in cui si riuscisse a scaricare in ambito P2P OGNI installazione viene compromesa/bloccata


Agent Vp clenaer funziona ma non riesce ad eliminare alcune voci,o meglio le elimina ma si ripresentano al riavvio

Cazzuto

[Tetsuya1977]

Per eliminare definitivamente il servizio fasullo, fai cosi:
Vai su Start--> Esegui dove devi digitare ed eseguire uno alla volta questi comandi in grassetto:
sc stop UOzME
sc delete UOzME

Ti ringrazio

Eseguito:servizio scomparso

Apparentemente non cambia nulla,aihmè

[Tetsuya1977]

Questo al riavvio del sistema,nessuna applicazione da me aperta

[Amantide]

Proviamo cosi. Scarica questo programma BHOList , aggiornalo e fai la scansione di BHO attivi, sperando di rintracciare il BHO infetto di LO. Per fare la scansione vai su List--> Show ony installed BHO's and toolbars.
Fammi vedere dopo il log della scansione.

[Tetsuya1977]

Il link che mi hai gentilmente fornito è bloccato dal maledetto

Cerco sul mulo ma dubito si installi

[Tetsuya1977]

CLSID: ? TB
Status: {2318C2B1-4965-11d4-9B18-009027A5CD4F}
Filename(s):
Object name:
Description:
Link:
Online info:

CLSID: ? BHO
Status: {DA39029C-D291-A968-3FF4-D0990D5CB5FC}
Filename(s):
Object name:
Description:
Link:
Online info:

CLSID: ? BHO
Status: {B56A7D7D-6927-48C8-A975-17DF180C71AC}
Filename(s):
Object name:
Description:
Link:
Online info:

CLSID: ? BHO
Status: {9030D464-4C02-4ABF-8ECC-5164760863C6}
Filename(s):
Object name:
Description:
Link:
Online info:

CLSID: ? BHO
Status: {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}
Filename(s):
Object name:
Description:
Link:
Online info:

CLSID: ? BHO
Status: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Filename(s):
Object name:
Description:
Link:
Online info:

[Amantide]

CLSID: ? BHO
Status: {DA39029C-D291-A968-3FF4-D0990D5CB5FC}
Filename(s):
Object name:
Description:
Link:
Online info:

Eccolo qui, trovato http://www.castlecops.com/tk30158-LinkO ... r_dll.html

Ora avvia il computer in modalita provvisoria e trova nel registro questa chiave {DA39029C-D291-A968-3FF4-D0990D5CB5FC}
Prima di eliminarla, esporta il registro (File--> Esporta, è la prima cosa da fare, prima di modificare il registro) e controlla tutte le sottochiavi di questa chiave alla ricerca del file al quale fa il riferimento. Annota il percorso di questo file , elimina la chiave.
Dopo averla eliminato, fai la ricerca del file al quale fa il riferimento, e se lo trovi - eliminalo.

P.S. Fai anche la ricerca fra i file e nel registro della parola linkoptimizer, chissa se trovi qualcosa.

[Amantide]

Hai provato a sovrascrivere il file HOSTS, per aggirare il blocco dei siti e dei downloads, come è suggerito verso la fine della guida?

[The King of GnG]

Ma che carino....mai visto un malware così ostinato. Più che criminali sono imbecilli incalliti, oppure la casa produttrice dell'ad-aware li paga un fracco di soldi per continuare con questa farsa ridicola e beffarda.....

Qualcuno è in grado di riportare fonti e link su eventuali indagini a livello nazionale e internazionale sulla rete di criminali responsabili della creazione di Gromozon?

[Tetsuya1977]

Hai provato a sovrascrivere il file HOSTS, per aggirare il blocco dei siti e dei downloads, come è suggerito verso la fine della guida?

Non riesco a leggere la guida

Non mi è consentito l'accesso al file

Potresti molto gentilmente elencarmi la prassi da seguire per visitare siti come Hwupgrade e simili che sono stati massacrati da queste bestie?

In secondo luogo,ho tolto la chiave che mi hai segnalato ma non vi era alcun collegamento diretto ad alcun file

Cosa diavolo devo fare?

Tenetemi informato su questa gente,perché ad un eventuale processo mi tiro dentro fino al collo visto che sto perdendo un sacco di lavoro

E visto che i soldi non fanno comunque la felicità,due belle legnate in bocca a sta gente gliele tiro

[The King of GnG]

L'idea suona ridicola persino a me, ma insomma.....

Prova ad eseguire il file eseguibile che trovi nell'archivio che ho postato: è l'ultima versione del tool, semplicemente rinominata.

Sicuramente il malware utilizzerà delle tecniche avanzate di routine checking per individuare l'esecuzione in memoria del tool di Prevx, e quindi il tentativo andrà male. Ma insomma, visto che ci siamo, proviamo tutto, anche le stupidaggini.....

Ho provato a compattare l'eseguibile con l'ultima versione di upx per vedere come si comportava in questo caso il malware, ma la compressione ha dato esito negativo (il programma poi non parte più).

[presley]

Un saluto a tutti

Niente da fare,è più bas***do di quanto pensavo ci sto perdendo le notti

Non posso assolutamente formattare allo stato attuale delle cose,ho dei lavori da finire e sto maledetto mi consente di finirli almeno

Impossibilità di:

installare Prevx,anche se scaricato da Torrent,anche se nella sua ultima release

eseguire Gmer e l'utility della Symantec

Ho eliminato l'account generato dal virus e due file di estensione .exe maligni con Agent VP Trojan Cleaner di Monti...

Ho disabilitato il servizio creato dall'account indesiderato

IL NULLA

Navigazione quasi inesistente,rallentamenti e chi più ne ha più ne metta

Aiuto perché questa è dura

Salve ragazzi, sono nuovo sul forum e vi saluto calorosamente ma come TetSuya anche io sono nelle sue condizioni.Non posso formattare il pc e questo stramaledetto virus mi sta dannando.

Alcuni siti nn mi si aprono. programmi e nn mi fa installare nemmeno il JAVA.

Poi aprendo il taskmgr.exe mi esce sempre errore e mi si chiude. Non so cosa fare.
Qualcuno potrebbe aiutarmi gentilmente?

Ho installato VirIt ma nn me lo fa aprire.

Vi posto il mio primo Log di HijackThis e quello ultimo,fatemi sapere e aiutatemi grazie :(.

Primo LOG:
Logfile of HijackThis v1.99.1
Scan saved at 17.16.17, on 21/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {F40B0054-9E54-D620-2175-2385F2C07520} - C:\WINDOWS\dmhip1.dll (file missing)
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [rjjs1.exe] C:\WINDOWS\TEMP\rjjs1.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\Windows\Vista Dock\Vista Dock.exe"
O4 - HKCU\..\Run: [Avast] C:\Programmi\Alwil Software\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Java] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [QuickTime] C:\Programmi\QuickTime\qttask.exe
O4 - Startup: Eurobarre.lnk = C:\Programmi\eurobarre\eb.exe
O4 - Global Startup: ewido.lnk = C:\Programmi\ewido anti-malware\ewido anti-spyware 4.0\ewido.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.apple.com.edgesuite.net ... taller.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{580FDC02-35C3-4563-BE28-A726DB0E6D3C}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

ULTIMO LOG:

Logfile of HijackThis v1.99.1
Scan saved at 1.30.44, on 23/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\Windows\Vista Dock\Vista Dock.exe"
O4 - Startup: Eurobarre.lnk = C:\Programmi\eurobarre\eb.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{580FDC02-35C3-4563-BE28-A726DB0E6D3C}: NameServer = 192.168.0.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe



Scusatemi se ho scritto cosi' tanto, ma spero che qualcuno mi aiuti e mi dia una mano. Grazie anticipatamente.

[presley]

Ragazzi son riuscito a far partire GMER eccovi i LOG:

GMER 1.0.11.11390 - http://www.gmer.net
Autostart 2006-10-23 02:09:14
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
aswUpdSv /*avast! iAVS4 Control Service*/@ = "C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe"
avast! Antivirus /*avast! Antivirus*/@ = "C:\Programmi\Alwil Software\Avast4\ashServ.exe"
SentinelProtectionServer /*Sentinel Protection Server*/@ = "C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe"
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UpdZaq /*UpdZaq*/@ = "C:\Programmi\Windows NT\DbKI.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run@QuickTime Task = "C:\Programmi\QuickTime\qttask.exe" -atboottime

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WINDOWS\service32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@RocketDock"C:\WINDOWS\Windows\Vista Dock\Vista Dock.exe" = "C:\WINDOWS\Windows\Vista Dock\Vista Dock.exe"
@Free Download ManagerC:\Programmi\Free Download Manager\fdm.exe -autorun /*file not found*/ = C:\Programmi\Free Download Manager\fdm.exe -autorun /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad@0aMCPClient =

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/ /*file not found*/ = /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Alwil Software\Avast4\ashShell.dll = C:\Programmi\Alwil Software\Avast4\ashShell.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{792F0537-F929-4eb7-AC1D-FB6334C71550} /*LG Phone*/ /*file not found*/ = /*file not found*/
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
EncodeDivXExt@{E9F5B111-CACC-4FD4-81FD-4EB4FD6765A3} = C:\Programmi\DivX\Dr.DivX\EncodeDivXExt.dll
VIDEOTRANS@{C8CA0A66-AF32-4D5E-879E-F0809ACEDC55} = C:\Programmi\MP3 Player Utilities 3.5.02\AMVTools\AmvTransform.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{02478D38-C3F9-4EFB-9B51-7695ECA05670}C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll = C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
@{CC59E0F9-7E43-44FA-9FAA-8377850BF205}C:\Programmi\Free Download Manager\iefdmcks.dll = C:\Programmi\Free Download Manager\iefdmcks.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.virgilio.it/ = http://www.virgilio.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\Presley\Menu Avvio\Programmi\Esecuzione automatica = Eurobarre.lnk

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
hp psc 1000 series.lnk = hp psc 1000 series.lnk
hpoddt01.exe.lnk = hpoddt01.exe.lnk

---- EOF - GMER 1.0.11 ----


______________________________________

GMER 1.0.11.11390 - http://www.gmer.net
Rootkit 2006-10-23 02:11:27
Windows 5.1.2600 Service Pack 2


---- Processes - GMER 1.0.11 ----

Process C:\WINDOWS\service32.exe (*** hidden *** ) 1360

---- Registry - GMER 1.0.11 ----

Reg \Registry\MACHINE\SOFTWARE\9P78Q3B10L
Reg \Registry\MACHINE\SOFTWARE\9P78Q3B10L@9P78Q3B10L 0x01 0x00 0x00 0x90 ...
Reg \Registry\MACHINE\SOFTWARE\9P78Q3B10L@9P78Q3B10L 0x01 0x00 0x00 0x90 ...
Reg \Registry\USER\S-1-5-21-1409082233-1606980848-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C90564C9-28EE-B36F-79B2-E469F33AC96C}@kadomfmbibmejbpadoidbh 0x62 0x61 0x6A 0x70 ...
Reg \Registry\USER\S-1-5-21-1409082233-1606980848-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F28A22E7-CB69-4E7C-F4A4-50B66252A041}@kanienohdfhhkejiifampc 0x62 0x61 0x70 0x62 ...

---- Files - GMER 1.0.11 ----

ADS C:\Documents and Settings\All Users\Dati applicazioni\TEMP:2A81F9CE
ADS ...

---- EOF - GMER 1.0.11 ----


Che devo eliminare e cosa devo fare ?

Grazie anticipatamente.

[Tetsuya1977]

Prova ad eseguire il file eseguibile che trovi nell'archivio che ho postato: è l'ultima versione del tool, semplicemente rinominata.

Sicuramente il malware utilizzerà delle tecniche avanzate di routine checking per individuare l'esecuzione in memoria del tool di Prevx, e quindi il tentativo andrà male. Ma insomma, visto che ci siamo, proviamo tutto, anche le stupidaggini.....

Ho sistemato tutto col tuo metodo,ti/vi sono debitore

Il fatto che uno stratagemma così semplice (e il più delle volte neanche preso in considerazione) funzioni lascia presumere che 'sta cacca di gente non è nessuno

Rimane solo da reinstallare Prevx
Non me lo installa dicendomi che è già installato (non c'è invece)

In questo forum avete le nocciole

Saluti

[crazy.cat]

Che devo eliminare e cosa devo fare ?

Hai provato ad usare il file della prevx rinominato anche tu?
Dal primo al secondo log di hijackthis sono sparite molte cose

Utilizzando il tools della Nod, cancella questo file e anche il servizio come ha spiegato Amantide in precedenza.
UpdZaq /*UpdZaq*/@ = "C:\Programmi\Windows NT\DbKI.exe"

Controlla la presenza di questo file service32.exe nel tuo pc.
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WINDOWS\service32.exe

[The King of GnG]

Ho sistemato tutto col tuo metodo

Dunque nessun controllo delle routine dei tool che vanno in esecuzione ma un semplice database interno di "nomi proibiti" a cui impedire l'esecuzione: mediocre, in questo, stò Gromozon. Ogni malware ha il suo punto debole: immagino divenga troppo complesso per il "buon funzionamento" del tutto implementare una funzionalità di checking avanzato (o semplicemente i tool sono furbi e fanno di tutto per non farsi sgamare appena partiti).

Well, visto che ci sono......

Il nuovo archivo contiene:

Dirk the daring.com <<-->> avenger.exe
Nabuccodonosor.com <<-->> gmer.exe
Oricalcum.com <<-->> HijackThis.exe

La rinominazione non pare influire sul buon funzionamento dei tool. Se i file funzionano anche in presenza delle varianti più rognose di Gromozon ce lo siamo fatto a colazione, e per di più con relativa nonchalance .

Per Ccleanere e MyUninstall non credo ci siano particolari problemi, visto che sono giusto utili a completare il lavoro di pulizia e non rappresentano una minaccia diretta per il malware.

[crazy.cat]

La rinominazione non pare influire sul buon funzionamento dei tool. Se i file funzionano anche in presenza delle varianti più rognose di Gromozon ce lo siamo fatto a colazione, e per di più con relativa nonchalance

Se danno conferma che il sistema di rinominare i file funziona, lo inseriamo nell'articolo con i file rinominati allegati.