Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

*** LINKOPTIMIZER/GROMOZON --- PREVENZIONE E RIMOZIONE ***

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Messaggioda BilloKenobi » mer ott 25, 2006 4:11 am

crazy.cat ha scritto:Adesso c'è anche la variante russa del virus si chiama gromoz.L
quindi attenzione anche sui siti esteri.


me l'aspettavo una mossa del genere... mi chiedevo... perché limitare un malware così complesso ed efficace alla sola italia? e perché combattere tanto con le compagnie antivirus e non?

non è che l'italia è servita come test? a questi livelli, se distribuito in altri paesi il LinkOptimizer può creare molti molti problemi... imho

per me entro un anno in europa saranno dolori
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda aris73 » mer ott 25, 2006 4:21 am

come mi piace quando danno queste belle notizie.. [boxed]
http://a98124.wix.com/aris-kyoshi

Aris Muscolino
Avatar utente
aris73
Aficionado
Aficionado
 
Messaggi: 110
Iscritto il: gio set 14, 2006 6:44 pm

Messaggioda Amantide » mer ott 25, 2006 5:03 am

E' proprio la variante di LO in quale mi sono imbattuta oggi io (in questo caso "chi non cerca trova").
Questa volta il file infetto ha preso il nome del famosissimo film animato, ed ora al posto di www .google .com abbiamo www .cars .com
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Messaggioda BilloKenobi » mer ott 25, 2006 6:00 am

oramai i nomi e i server sono troppo vari....

non se ne tiene più il conto... e ora il file iniziale 8quello che era www. google.com ora è riconosciuto da pochi antivirus, incluso almeno il NOD32, come Win32:Trojan.Gromoz.L
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda Anathema » mer ott 25, 2006 1:10 pm

BilloKenobi ha scritto:@ Anathema

fixa con hijackthis

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\cisconetwork.exe",
R3 - Default URLSearchHook is missing

e cancella la cartella LinkOptimizer nel regedit
Fatto! Finito tutto? Se sì, grazie mille [cuore] [afro] [applauso]
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda Anathema » mer ott 25, 2006 1:12 pm

aris73 ha scritto:Anathema
Lancia Hijackthis clic su "oper the misc tools section clic su"delete file on reboot e immetti:
c:\windows\cisconetwork.exe

fixa

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\cisconetwork.exe",

e riavvia
Non sono riuscita a trovare cisconetwork.exe, non so se perché dopo aver spedito quei posts ho messo su per l'ennesima volta Avast che finalmente è riuscito ad eliminare un file infetto da Win32:RKDice dopo un mese che lo trovava ma non riusciva ad eliminarlo.... [sbigot]
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda aris73 » mer ott 25, 2006 3:36 pm

Anathema ha scritto:
aris73 ha scritto:Anathema
Lancia Hijackthis clic su "oper the misc tools section clic su"delete file on reboot e immetti:
c:\windows\cisconetwork.exe

fixa

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\cisconetwork.exe",

e riavvia
Non sono riuscita a trovare cisconetwork.exe, non so se perché dopo aver spedito quei posts ho messo su per l'ennesima volta Avast che finalmente è riuscito ad eliminare un file infetto da Win32:RKDice dopo un mese che lo trovava ma non riusciva ad eliminarlo.... [sbigot]


riposta un log di hijack e vediamo se é rimasto qualcosa..
http://a98124.wix.com/aris-kyoshi

Aris Muscolino
Avatar utente
aris73
Aficionado
Aficionado
 
Messaggi: 110
Iscritto il: gio set 14, 2006 6:44 pm

anch'io linkoptimizer

Messaggioda gnufolo » mer ott 25, 2006 5:06 pm

Ciao a tutti, sono nuovo del forum, ma ho letto tutti gli interventi a proposito del linkoptimizer, dato che sono due giorni che provo a rimuoverlo con i suggerimenti del forum ma non sono riuscito.. i tool automatici non mi partono, neanche gmer e altri programmi che avete nominato sul forum. Sono a terra...

Posto il log di hijack.. qualcuno mi aiuta???
grazie

Logfile of HijackThis v1.99.1
Scan saved at 17.58.31, on 25/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\RegSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Symantec Client Security\Symantec Client Firewall\SymSPort.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Program Files\Symantec Client Security\Symantec Client Firewall\CfgWzSvc.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\PROGRA~1\Nokia\NOKIAP~2\LAUNCH~1.EXE
C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
C:\PROGRA~1\SYMANT~1\SYMANT~2\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\Documents and Settings\sbarbieri\Desktop\tools\_a_i_g_i_a_c_k_t_h_i_s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/TTP/Indice.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\TTP\Indice.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [StorageGuard] "c:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QCTRAY] C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~2\\vptray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\TTP\Indice.htm
O16 - DPF: {00000010-9593-4264-8B29-930B3E4EDCCD} (HPVirtualRooms10 Class) - https://www.rooms.hp.com/vRoom_Cab/WebHPVCInstall10.cab
O16 - DPF: {4CC35DAD-40EA-4640-ACC2-A1A3B6FB3E06} (NeoterisSetup Control) - https://emea.webaccess.hp.com/dana-cach ... sSetup.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x ... DASAct.cab
O16 - DPF: {82EDCE41-48A9-41F8-8E4E-808067A32F60} - http://uv97vqm3.com/d278172f/50310/1/xp/BestMoney.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F0B2494-3D55-40A3-83A0-50F756B0DAD8}: NameServer = 213.234.128.211 213.234.132.130
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: qvp - {4BA78E3D-CA25-4BFF-B8F0-8A3359E4B520} - C:\Program Files\QlikView\QvProtocol\qvp.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Client Firewall Configuration (CfgWzSvc) - Symantec Corporation - C:\Program Files\Symantec Client Security\Symantec Client Firewall\CfgWzSvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec Client Security\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Symantec SecurePort (SymSecurePort) - Symantec Corporation - C:\Program Files\Symantec Client Security\Symantec Client Firewall\SymSPort.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
Avatar utente
gnufolo
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: mer ott 25, 2006 5:01 pm

Re: anch'io linkoptimizer

Messaggioda crazy.cat » mer ott 25, 2006 5:20 pm

gnufolo ha scritto:Ciao a tutti, sono nuovo del forum, ma ho letto tutti gli interventi a proposito del linkoptimizer, dato che sono due giorni che provo a rimuoverlo con i suggerimenti del forum ma non sono riuscito.. i tool automatici non mi partono, neanche gmer e altri programmi che avete nominato sul forum. Sono a terra...

Potresti riprovare con i file rinominati che trovi allegati a questa discussione.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda gnufolo » mer ott 25, 2006 6:09 pm

Ho provato.... ma i programmi non partono, il messaggio di errore è questo: 'A device attached to the system is not functioning'
Help................
Avatar utente
gnufolo
Neo Iscritto
Neo Iscritto
 
Messaggi: 2
Iscritto il: mer ott 25, 2006 5:01 pm

Messaggioda The King of GnG » mer ott 25, 2006 7:31 pm

gnufolo ha scritto:Ho provato.... ma i programmi non partono, il messaggio di errore è questo: 'A device attached to the system is not functioning'
Help................


Prova a rinominarli, dopo aver spuntato l'opzione di visulizzare le estensioni dei file note, da ".com" a ".exe".

O prova a scaricare l'archivio allegato all'articolo su Gromozon/LinkOptimizer presente in homepage.
People should just buy a cd and rip it. You are legal then" - William Henry Gates III (detto "Bill")
Avatar utente
The King of GnG
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 11144
Iscritto il: mer mar 02, 2005 8:24 pm
Località: La Biblioteca di Babele

Messaggioda crazy.cat » gio ott 26, 2006 7:24 am

The King of GnG ha scritto:Prova a rinominarli, dopo aver spuntato l'opzione di visulizzare le estensioni dei file note, da ".com" a ".exe".
O prova a scaricare l'archivio allegato all'articolo su Gromozon/LinkOptimizer presente in homepage.


Il problema è che li ha provati tutti e due.
Prima ha preso quelli dell'articolo e poi ho pensato anche al problema dell'exe e dei com gli ho detto di usare quelli che avevi allegato tu.
E nessuno dei due funziona.

X gnufolo
Riesci a fare uno scan online sul sito www.kaspersky.com ?

Prova a vedere nella cartella windows\system32 se riesci ad individuare un file .dll con data molto recente, del giorno dell'infezione.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Anathema » gio ott 26, 2006 2:19 pm

aris73 ha scritto:
Anathema ha scritto:
aris73 ha scritto:Anathema
Lancia Hijackthis clic su "oper the misc tools section clic su"delete file on reboot e immetti:
c:\windows\cisconetwork.exe

fixa

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\cisconetwork.exe",

e riavvia
Non sono riuscita a trovare cisconetwork.exe, non so se perché dopo aver spedito quei posts ho messo su per l'ennesima volta Avast che finalmente è riuscito ad eliminare un file infetto da Win32:RKDice dopo un mese che lo trovava ma non riusciva ad eliminarlo.... [sbigot]


riposta un log di hijack e vediamo se é rimasto qualcosa..
Logfile of HijackThis v1.99.1
Scan saved at 15.19.22, on 26/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\Firewall\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\Winamp\winamp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Utente\Desktop\Silvia\Gromozon\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\Firewall\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Documents and Settings\Utente\Desktop\Silvia\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 0414326937
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FF41485-F190-440E-B60B-5A4C11F186B1}: NameServer = 85.37.17.6 85.38.28.89
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF41485-F190-440E-B60B-5A4C11F186B1}: NameServer = 85.37.17.6 85.38.28.89
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda aris73 » gio ott 26, 2006 6:03 pm

Anathema
il log é pulito, adesso scarica CCleaner http://www.majorgeeks.com/download4191.html lo installi e lo apri, vai su Opzioni -> avanzate, e togli la spunta a "Cancella files in windows temp solo se più vecchi di 48 ore"
e rimuovi tutti i file temporanei e le chiavi di registro
http://a98124.wix.com/aris-kyoshi

Aris Muscolino
Avatar utente
aris73
Aficionado
Aficionado
 
Messaggi: 110
Iscritto il: gio set 14, 2006 6:44 pm

Messaggioda aris73 » gio ott 26, 2006 6:12 pm

gnufolo ha scritto:Ho provato.... ma i programmi non partono, il messaggio di errore è questo: 'A device attached to the system is not functioning'
Help................


a me dal log non sembra che tu abbia più il link optimizer...tranne che non si "mostri" con altri sintomi che non conosco, ti direi di fixare

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/TTP/Indice.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\TTP\Indice.htm
O14 - IERESET.INF: START_PAGE_URL=file://C:\TTP\Indice.htm
O16 - DPF: {00000010-9593-4264-8B29-930B3E4EDCCD} (HPVirtualRooms10 Class) - https://www.rooms.hp.com/vRoom_Cab/WebHPVCInstall10.cab
O16 - DPF: {4CC35DAD-40EA-4640-ACC2-A1A3B6FB3E06} (NeoterisSetup Control) - https://emea.webaccess.hp.com/dana-cach ... sSetup.cab
O16 - DPF: {82EDCE41-48A9-41F8-8E4E-808067A32F60} - http://uv97vqm3.com/d278172f/50310/1/xp/BestMoney.cab

fai una bella scansione col tuo AV da provvisoria e aggiornato

dopodiché effettui la stessa procedura che ho detto a Anathema con CCleaner
http://a98124.wix.com/aris-kyoshi

Aris Muscolino
Avatar utente
aris73
Aficionado
Aficionado
 
Messaggi: 110
Iscritto il: gio set 14, 2006 6:44 pm

Messaggioda Anathema » gio ott 26, 2006 8:43 pm

aris73 ha scritto:Anathema
il log é pulito, adesso scarica CCleaner http://www.majorgeeks.com/download4191.html lo installi e lo apri, vai su Opzioni -> avanzate, e togli la spunta a "Cancella files in windows temp solo se più vecchi di 48 ore"
e rimuovi tutti i file temporanei e le chiavi di registro
Fatto!

Grazie mille della pazienza [std]
Avatar utente
Anathema
Aficionado
Aficionado
 
Messaggi: 95
Iscritto il: mar ott 24, 2006 1:05 am

Messaggioda aris73 » ven ott 27, 2006 10:33 am

Anathema ha scritto:
aris73 ha scritto:Anathema
il log é pulito, adesso scarica CCleaner http://www.majorgeeks.com/download4191.html lo installi e lo apri, vai su Opzioni -> avanzate, e togli la spunta a "Cancella files in windows temp solo se più vecchi di 48 ore"
e rimuovi tutti i file temporanei e le chiavi di registro
Fatto!

Grazie mille della pazienza [std]


[applauso] l'importante é che hai risolto
http://a98124.wix.com/aris-kyoshi

Aris Muscolino
Avatar utente
aris73
Aficionado
Aficionado
 
Messaggi: 110
Iscritto il: gio set 14, 2006 6:44 pm

Messaggioda Amantide » ven ott 27, 2006 10:49 pm

Tatata-tam... per la gioia di Gromozon -infetti eccomi qui... modestamente, ihihi...

Dopo una giornata dedita alle ricerche ed una serata dedita alla rimozione di 2 tipi diversi di questo trojan... ho scoperto un po' di cosine nuove.

Arrivo al dunque: nella mia ignoranza ho scoperto che in 2 minuti si può accedere al sitema con un account SYSTEM,che ha il livello addirittura superiore all' account Administrator (quello accessibile dalla modalità provvisoria per intenderci). Equivale all'utente root nel sistemi operativi linux e ci da i privilegi completi sul sistema. Munitevi di Unlocker ed iniziamo.

Prima di tutto apriamo il cmd.exe ( Start--> Esegui--> cmd) e digitiamo questo comando

at 23:12 /interactive "cmd"

dove l'ora (nel mio caso le 23:12) deve corrispondere al orario attuale nel vostro computer + 1 minuto (es. 23:11 + 1 minuto = 23:12).
Diamo invio.
Al passare di un minuto vi appare una finestra nuova, che vuol dire che siamo (quasi) entrati nel account SYSTEM. Dico quasi, perché ci manca un ultimo passaggio.
Apriamo il Task Manager (Ctrl+Alt+Canc) e terminiamo tutti i processi explorer.exe
A questo punto spariscono tutte le icone e la barra di applicazioni.
Adesso ritorniamo alla finestra di prima e dalla riga di comando digitiamo explorer.exe e diamo Invio.
Aspettate un attimo il caricamento degli impostazioni e potete iniziare ad usare i tool che prima non funzionavano, compreso Unlocker. Infatti, la maggioranza dei file in questa modalità si eliminano con il semplice Elimina e in alcuni casi basterà Unlocker (anche se prima aveva i privilegi mancanti, ora vedrete che funzionerà a meraviglia).

Ora vado a nanna...

P.S. Ah, dimenticavo... il trucchetto funziona solo se viene eseguito da un account con i privileggi di amministratore.

P.S2. nel caso questo metodo non dovesse funzionare, assicuratevi di aver scaricati ed installati tutti gli aggiornamenti per XP di Windows Update, altrimenti provate a risolvere cosi:
Andate su Start--> Esegui e digitate services.msc. Cliccate con il tasto destro sul servizio Utilità di pianificazione ed andate su Proprietà--> Connessione. Spuntate
Connessione:
Account di sistema locale e Consenti al servizio di interagire col desktop e salvate.
Assicuratevi anche che i servizi Utilità di pianificazione e RPC (Remote Procedure Call) siano impostati su Stato - Avviato e su Tipo di avvio - Automatico.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda walli » sab ott 28, 2006 10:58 am

Salve sono nuovo e mi serve il vostro aiuto.

Sono (quasi) sicuro di averle provate tutte, ma i tool a me non funzionano e il virus é quello ne sono certo.
Avatar utente
walli
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: sab ott 28, 2006 10:49 am

Messaggioda Amantide » sab ott 28, 2006 11:01 am

walli ha scritto:Salve sono nuovo e mi serve il vostro aiuto.

Sono (quasi) sicuro di averle provate tutte, ma i tool a me non funzionano e il virus é quello ne sono certo.

Benvenuto [8D]
Prova ad entrare con account System, come ho descritto poco sopra. Se ci riesci allora potrai provare con i tool che ora non vanno.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

PrecedenteProssimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising