www.MegaLab.it

[masello2]

carssimi, il grosso del problema è che il nostro pc ha un funzionamento che non ho letto da altre parti, ovvero appena tento di entrare in una cartella sensibile (es. sistem32) mi fa una bella schermata azzurra di blocco XP e sono costretto a resettare. avenger poi non parte neppure e non riesco a scaricare VirIt. ho provato rinominare avengere eballe varie, nada de nada. ora provo se riesco con le vostre cure, comquenue. danke.

[masello2]

Amantide, BilloKenobi, aiuto.
dopo aver usato avenger (non so come ma mi è partito) ho segutio passo passo il resto del menù di MegaLab e ho resettato. risultato? che appena clicchi culla cartella windows\sistem32, schermata azzurra, blocco di XP e conseguente riavvio obbligatorio. ho scaricato da altro pc VirIt, fatto girare, ma appena va a controllare quella cartella (o forse altre) stessa cosa e siamo daccapo. mi sa che devo ricominciare, ma non so da dove.

[BilloKenobi]

non vorrei fare il pessimista, ma finchè sei in grado di usare il pc, fai un backup dei dati importanti, e poi formattone...

[SoldatoBiancaneve]

ma la schermata azzurra a che errore fa riferimanto ??
è molto strano ....
ma hai provato ad entrarci da modalità provvisoria ???

[Mahogany]

Lo script da inserire è quello in grassetto (inserisco anche i file apparentemente già eliminati, sai, non si sa mai...).

Registry values to replace with dummy:
HKLMSoftware\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\ciaa.dll
C:\WINDOWS\Temp\mkpf1.exe
C:\WINDOWS\uwvwc1.dll


Poi, dalla modalità provvisoria trova ed elimina questa chiave di registro. (Start/Esegui/regedit/Modifica/Trova.)
{D5AF7A9F-E053-BE03-3BFB-A3969C09E596}

Hai già guardato se nella cartelle System, Services, Microsoft Shared in C:\Programmi\File comuni\ ci sono i file in verde?

Scarica CCleaner, vai su Opzioni/Avanzate e deseleziona Cancella files in Windows Temp solo se più vecchi di 48 ore. Dopodicè pulisci tutti i file temporanei.

Dopo aver eseguito Avenger, dai un altra ripassatina dalla modalità provvisoria con VirIt, ed i tools della Prevx e della Symantec.

Alla fine posta il log di Avenger, che trovi in C:\avenger.txt

Ciao mia eroina!!!
Non sono sparita, soltanto molto indaffarata con il lavoro e la vita in generale.
Allora... avevo eseguito i compiti come da te consigliato, di seguito posterò il log dell'Avenger.

Di fatto, sto tenendo sotto controllo il pc, non ho formattato appositamente anche se lo farò di sicuro per avere conferme ad alcuni sospetti maturati dopo l'infezione.
Non sono masochista, solo molto incuriosita da questo trojan.
Nel frattempo, leggo dai vostri post che ... la storia continua.

Bon, bando alle ciance.
Ecco il log dell'Avenger eseguito la notte del 4 novembre:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vmitvdfc

*******************

Script file located at: \??\C:\Documents and Settings\inthrhga.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\ciaa.dll not found!
Deletion of file C:\WINDOWS\system32\ciaa.dll failed!

Could not process line:
C:\WINDOWS\system32\ciaa.dll
Status: 0xc0000034



File C:\WINDOWS\Temp\mkpf1.exe not found!
Deletion of file C:\WINDOWS\Temp\mkpf1.exe failed!

Could not process line:
C:\WINDOWS\Temp\mkpf1.exe
Status: 0xc0000034



File C:\WINDOWS\uwvwc1.dll not found!
Deletion of file C:\WINDOWS\uwvwc1.dll failed!

Could not process line:
C:\WINDOWS\uwvwc1.dll
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Da quel giorno ad oggi e penso fino alla fine del mese, stresserò il pc fino all'inverosimile.
Voglio vedere cosa accadrà.
Intanto potete dare un'occhiata al log?
Grazie a tutti/tutte!!!

[masello2]

Signori buongiorno. la notte porta consiglio e il consiglio di avviare in modalità provvisoria è stato ben accettato dal pc. non si inchioda con l'errore di protezione di xp, ora, quando provo a leggere la cartella windows\system32.
Ho notato (nella medesima cartella) la presenza del file lzx32.sys che è sicuramente una radice del virus. che faccio? provo a eliminarlo?
Vi metto, cari dottori (senza di voi come si potrebbe fare?) il log di Hijackthis fatto ora da mod.provvisoria. Ci sono vocia ncora strane, voi ne fixereste altre? tipo la 02, oppure alcune delle 09? insomma intendo quelle con i numeri random tra parentesi graffe.
Cosa mi dite?





Logfile of HijackThis v1.99.1
Scan saved at 7.51.10, on 29/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\paolo\Documenti\tools_antivirus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1ACF135-34AA-451C-9835-C8A7F10901E1}: NameServer = 151.99.125.2,151.99.125.3
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

[Amantide]

@ masello2

Il log è pulito, volendo puoi solo fixare queste voci inutili:
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

Hai ancora i problemi? Ci sei riuscito ad eseguire lo script con Avenger od avevi fatto solo la scansione con ViIT? Riesci ad aprire ora la cartella system32?

[Amantide]

@ Mahogany

Ora come va con il pc? Puoi postare il nuovo log di Hijackthis?

[masello2]

miss amantide..cosa posso dire..se non GRAZIE!! se passi da bologna sarai mia ospite.
Dunque. con il suggerimento anche di sold.bncneve (perdonami la contrattura sul nick) ho riavviato in m.provv. questa mattina e sono risucito a "vedere" system32. Lì ho trovato subito quel lzx32.sys che ho eliminato con agvpfix (di paolo monti, credo). riavviato VirIt mi ha visto un paio di volte (dopo riavvio) ancora dei virus trojan uno in c: e uno in windows.
allora ho capito che forse dovevo cancellare le chiavi nel regsitro di lzx32. fatto. fatto un paio di riavvi, tre scansionate con virit e due con nod32 e ora direi che siamo a posto. ho sparato via tutto con ccleaner e ora, inshallah, spero nelle prossime ore di non avere più problemi.
so che sono stato molto ibnutitivo e poco professionale, ma per un non informatico come me e grazie al vs aiuto, direi che può bastare.Ora come mi consigli Amantide, fixo anche quei paramentri, così eliminiamo roba inutile. se lo accettate, vi mando un abbraccio. thanks.

[Amantide]

Ma certo che lo accettiamo

Per il futuro: le scansioni con gli antivirus o antispyware è sembre preferibile fare dalla modalità provvisoria. In questo modo non solo puoi loggarti come Administrator e di conseguenza avere il più pieno controllo di sistema; si possono anche evitare gli inconvenienti del genere che hai avuto tu, perche in modalità provvisoria molti file e servizi non vengono caricati (di qui anche quelli dei vari virus) e di conseguenza sono anche più facili da eliminare.

[SoldatoBiancaneve]

ma siamo sicuri che si trattava del linkoptimizer ????

io nn avevo problemi con system32 .... oppure sto trojan è davvero polimorfico....
in avvio normale quindi tutto a posto ???

[Amantide]

Trojan Clicker (system32.exe) e Gromozon spesso si installano contemporaneamente. Quindi in questo caso si trattava di 2 malware e non solo di LinkOptimizer.

Edit: Anzi, di 3... c'era anche lzx32.sys, che fa parte di Backdoor.Rustock.B.

[Mahogany]

@ Mahogany

Ora come va con il pc? Puoi postare il nuovo log di Hijackthis?

Certo Amantide, ho appena lanciato di nuovo HiJack per postarlo.

Logfile of HijackThis v1.99.1
Scan saved at 2.11.01, on 30/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\VEXPLITE\VIRITEXP.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mio_account\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programmi\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: (no name) - {D5AF7A9F-E053-BE03-3BFB-A3969C09E596} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [mkpf1.exe] C:\WINDOWS\Temp\mkpf1.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programmi\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Programmi\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus ... nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 1419472828
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6529BAD-25F1-4EC3-994C-C5557A729EAC}: NameServer = 212.216.112.112 212.216.172.62
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe


Aspetto tuo parere sul log di Avenger e su questo di Hijack.
Tieni presente che, come già detto, nel frattempo ho cercato di ricostruire un ambiente "favorevole" al Gromozon, pur prendendo le opportune precauzioni.
Sono (quasi) certa di avere qualche "ospite", e voglio formattare per verificare se mi infetterò di nuovo, come è accaduto in precedenza.
Ho una personalissima teoria sulle modalità di infezione che hanno riguardato il mio pc, avendo altresì letto con attenzione i vostri post, mi sto avvicinando ad una conclusione condivisibile o meno, ma aspetto il momento fatidico del format per poterla confermare o smentire.
Se poi vi interesserà, sarò ben felice di esporla.
Ti ringrazio infinitamente Amantide, sei davvero in gamba.

[crazy.cat]

Qualcosa di strano che gira c'è ancora.
O4 - HKLM\..\Run: [mkpf1.exe] C:\WINDOWS\Temp\mkpf1.exe

Qualsiasi cosa che scopri su questo virus ci interessa moltissimo.

[masello2]

il masello è tornato.
Volevo confermare quanto detto ieri da Amantide. Con tutta sicurezza l'infezione del mio amico era plurima.Ora funziona correttamente. Spero non ci siano code spiacevoli. Grazie a tutti, in particolare ad Amantide che sei stata così precisa, tecnica e affidabile.

[Amantide]

@ Mahogany

Prova ad eseguire anche questo script con Avenger, il file mkpf1.exe non credo che ci sia ancora, secondo me di Gromozon sono rimasti solo 2 valori innocui nel registro.

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\Temp\mkpf1.exe

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5AF7A9F-E053-BE03-3BFB-A3969C09E596}

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | mkpf1.exe

[The King of GnG]

Piacerone, come direbbe qualcuno di mia conoscenza.....un mio amico s'è beccato il Gromozon.....i sintomi sono quelli, servizi rootkit e nuovi utenti garbage......

Stranamente, i due servizi casuali ho visto che non si sono avviati, e un po' di trojan+dialer li ho cancellati con hijackthis.....

Sembra sia un caso di infezione attivatasi a metà: il mio amico dice che c'era il padre al pc e, quando lo han riacceso, andava in blocco explorer.....

Vedremo in questi giorni come ripulire il "macchinario", appena si può....

Mi piacerebbe tanto poter copiare quei file dei servizi, per avere una copia dell'infezione da conservare. I file spostati in C:\Avenger possono essere copiati tra le unità usando la sintassi speciale per la loro cancellazione?

[BilloKenobi]

ciao alfredo.. allora, dipende dall'infezione.. in alcune varianti non serve nemmeno, dato che il nome del file cui si riferisce il servizio è casuale, tipo Hga.exe, e non per forza prn, aux, ltp, com o altri, che sono riservati e difficili da gestire..

comunque ora i comandi per il prompt non li so... cioè, non mi pare sia possibile anticipando il classico \.\\, quello funziona solo per crearli e cancellarli... oppure sono io che sbaglio sintassi

EDIT puoi anche usare avenger per muovere i file... tu essendo il responsabile news dovresti poter accedere al mio articolo in uscita sull'uso di avenger... comunque rimarrebbero difficili da gestire

[The King of GnG]

Alfredo chi.....

[BilloKenobi]

alfonso