www.MegaLab.it

da **The King of GnG** » dom gen 21, 2007 7:31 pm

Ma che.....bah, nessun servizio nascosto che si ripresenta all'avvio (è stato sufficiente cancellarli senza Avenger per farli sparire)......oltre alla schifezza già cancellata con Hijackthis, e ad un certo winsys.exe beccato e cancellato dalla memoria con Gmer, e poi a mano nella directory di Windows.

E' poi bastato cancellare, sempre a mano, la voce nel registro che puntava al suddetto e il PC è ritornato alla piena operatività.....Nessuna traccia ulteriore di chiavi sospette nel registro.

Mah, a parte che mi aspettavo di dover faticare di più (diciamo che lo speravo, per vedere a che razza di livello era capace di intrufolarsi la "bestia" sul PC), non si saprà mai cosa è successo, quando il padre del mio amico ha usato il PC+IE (il 7, il 7eeeee! poi dice che è più sicuro, col caspio che lo è [:-D]

) e ha fatto entrare il malware.....

La mia tesi è che SpywareTerminator+AVS+ZoneAlarm abbiano fatto contrasto efficacemente, impedendo la piena presa di possesso del sistema da parte di Gromozon.....e pensare che il mio amico ha deciso di disinstallare SpywareTerminator perché secondo lui era il motivo che rendeva instabile il sistema. E poi li aiuto pure, stì imbecilli [:-D]

da **BilloKenobi** » dom gen 21, 2007 11:16 pm

se hai beccato winsys, che è una variante del dial call, forse puoi avere anche il rustock. ma credo che tanto ci hai già pensato, dato che ci hai scritto sopra la news [;)]

tra i programmi che hai elencato, per prevenire l'infezione probabilmente il migliore è spyware terminator, dato che argina le modifiche al registro essendo anche un hips

riguardo poi queste avventatezze commesse dalla maggior parte degli utenti, questa non mi pare la peggio... ne ho sentite di più grosse [cry+]

proprio ieri fra poco facevo a botte per convincere il padre di un mio amico a darmi la possibilità di ripulirgli il pc dal gromozon... era convinto che fosse tutto a posto... alla fine è stata la prima volta che ho rimosso il virus di persona, e non via forum... [acc2]

dà molta più soddisfazione

da **Bubba** » lun mar 12, 2007 5:30 pm

Ciao, sono nuovo del forum e sono venuto a conoscenza della presenza del virus nel mio portatile grazie al bug presentato da firefox con lo shockwave plugin.
Ho eseguito parte dei punti della guida (scansione prevx, ccleaner, symantec tool, scansione con virit in modalità normale e provvisoria) e fino a qui parte del virus è stato tolto. Non riuscivo però ad eseguire GMER e HIJACKTHIS per mandarvi i log. In nessuna maniera riuscivo ad eseguire i programmi sia rinominandoli che in modalità provvisoria [rotolo]

.

Poi, dopo diversi tentativi e grazie al forum, sono stato folgorato da un'idea [8D]

. Vi speigo: da un po' di tempo notavo la presenza di un processo attivo sul mio pc (Toshiba-tool.exe), il quale è tuttora locato nella cartella system32. Ma non sono mai riuscito ad eliminarlo fino a quando.....ecco qui la folograzione.........in modalità provvisoria con il task manager mi è venuto in mente di disattivare questo processo e provare a lanciare i programmi [applauso+]

Bene.......ecco i primi risultati:

FixLinkopt.log
Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group
service: WebPsg (logon as: .\RwGTVnxqOXlfK, passed filters)
service: WebPsg (file path: C:\Programmi\File comuni\Services\fDi.exe - infected)
file: C:\Programmi\File comuni\Services\fDi.exe (deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\WebPsg\Security (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\WebPsg\Enum (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\WebPsg (key deleted)
reg: ...\SpecialAccounts\UserList\RwGTVnxqOXlfK (value deleted)
folder: \\?\C:\Documents and Settings\RwGTVnxqOXlfK (delete error 2)
user: RwGTVnxqOXlfK (deleted)

quello in rosso era l'account utente che si era creato

Logfile of HijackThis v1.99.1
Scan saved at 15.36.03, on 12/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\explorer.exe
C:\VEXPLITE\viritexp.exe
C:\Documents and Settings\Administrator\Desktop\_a_i_g_i_a_c_k_t_h_i_s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\toshiba-tool.exe",
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programmi\ASUS\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [HPWH myPrintMileage Agent] C:\Programmi\Hewlett-Packard\hp business inkjet 1100 series\Toolbox\mpm.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe
O4 - Startup: CamTrack.lnk = C:\Programmi\DigitalPeers\CamTrack\camtrack.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {18226BF8-DC0B-4D81-80E9-A41AE37BB73A} - http://nettv.sxtvs.com/soft/webinstall.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8007741171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3106286171
O16 - DPF: {7AB8B2D9-6AC8-4DFC-9AAE-10DAFD34A3EE} - http://rrsmcoooz.com/79495c59/50310/1/xp/FinePorn.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6053F41D-3198-4A98-8472-CF84612128AA}: NameServer = 192.168.0.1,151.99.125.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: IntelWireless - C:\Programmi\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ArcGIS License Manager - Unknown owner - C:\Programmi\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: WebPsg - Unknown owner - C:\Programmi\File comuni\Services\fDi.exe (file missing)

Ora mi affido nelle vostre ottime mani
Grazie per l'aiuto

PS: Ho un problemino con GMER, il programma funziona ma non riesco a fare il log file, sapete aiutarmi? Appena in possesso vi posto pure quello.
Grazie in anticipo

da **Amantide** » lun mar 12, 2007 5:37 pm

Praticamente hai già fatto tutto da solo [:)]

Ora rifai la scansione con Hijackthis e fixa queste voci:

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\toshiba-tool.exe",
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O16 - DPF: {7AB8B2D9-6AC8-4DFC-9AAE-10DAFD34A3EE} - http://rrsmcoooz.com/79495c59/50310/1/xp/FinePorn.cab
O23 - Service: WebPsg - Unknown owner - C:\Programmi\File comuni\Services\fDi.exe (file missing)

Se ancora non l'hai fatto provvedi ad eliminare questo file
c:\windows\system32\toshiba-tool.exe
puoi usare Unlocker o KillBox per farlo.

P.S. Per avere il log di Gmer devi semplicemente cliccare sul tasto Copy al termine della scansione ed incollare il risultato sul blocco note o direttamente in forum.

da **Bubba** » lun mar 12, 2007 5:45 pm

Grazie Amantide,
appena ho il log file di gmer lo posto. Si devo togliere ancora toshiba-tool.exe.
Ma questo file mi aveva tratto in inganno perché utilizzava il nome della famosa marca.....brutti strxxxx!!!

da **Bubba** » lun mar 12, 2007 6:13 pm

Scusa amantide, ma di che cosa devo fare la scansione con gmer?

da **Bubba** » lun mar 12, 2007 6:41 pm

Questo è il log file di HIJACKTHIS dopo la pulizia consigliatami da Amantide.
Ora oltre la scansione con GERM devo fare qualche altra cosa?

Logfile of HijackThis v1.99.1
Scan saved at 17.19.30, on 12/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrator\Desktop\_a_i_g_i_a_c_k_t_h_i_s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programmi\ASUS\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [HPWH myPrintMileage Agent] C:\Programmi\Hewlett-Packard\hp business inkjet 1100 series\Toolbox\mpm.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe
O4 - Startup: CamTrack.lnk = C:\Programmi\DigitalPeers\CamTrack\camtrack.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {18226BF8-DC0B-4D81-80E9-A41AE37BB73A} - http://nettv.sxtvs.com/soft/webinstall.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8007741171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3106286171
O17 - HKLM\System\CCS\Services\Tcpip\..\{6053F41D-3198-4A98-8472-CF84612128AA}: NameServer = 192.168.0.1,151.99.125.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: IntelWireless - C:\Programmi\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ArcGIS License Manager - Unknown owner - C:\Programmi\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: WebPsg - Unknown owner - C:\Programmi\File comuni\Services\fDi.exe (file missing)

da **Amantide** » lun mar 12, 2007 7:10 pm

Volendo ci puoi postare il log di Autostart fatto con Gmer, spuntando la voce Show all, ma credo che il pc è oramai pulito.

Fai quest'altima cosa, vai su Start--> Esegui--> digita CMD e premi Ok
Nel prompt dei comandi scrivi questo comando e premi Invio:
sc stop WebPsg
Dopo scrivi questo e premi altra volta Invio:
sc delete WebPsg

da **Bubba** » lun mar 12, 2007 9:36 pm

niente non riesco a postare il log file di gmer.......mi dice debug mode

da **Amantide** » mar mar 13, 2007 11:22 am

Bubba ha scritto:niente non riesco a postare il log file di gmer.......mi dice debug mode

Non riesci a fare il log di Gmer oppure non riesci a postarlo qui sul forum?
Nel secondo caso prova ad allegare il log come il file di testo.

da **Bubba** » mar mar 13, 2007 1:06 pm

Nel prompt dei comandi scrivi questo comando e premi Invio:
sc stop WebPsg

per questo comando mi da un errore

Dopo scrivi questo e premi altra volta Invio:
sc delete WebPsg

questo comando me lo ha fatto eseguire

da **Amantide** » mar mar 13, 2007 2:05 pm

Bubba ha scritto:
Dopo scrivi questo e premi altra volta Invio:
sc delete WebPsg

questo comando me lo ha fatto eseguire

Importante è che stato eseguito questo [;)]

da **Bubba** » mar mar 13, 2007 2:13 pm

Ho caricato il file gmer.txt nel messaggio precedente...... almeno credo di averlo fatto!!!

da **Amantide** » mar mar 13, 2007 2:18 pm

Bubba ha scritto:Ho caricato il file gmer.txt nel messaggio precedente...... almeno credo di averlo fatto!!!

Non lo vedo [boh]

***edit***

Codice: Seleziona tutto: Estensioni e dimensioni consentite Archives -> Dimensione Massima: 2 MB ace gtar gz rar tar zip Images -> Dimensione Massima: 2 MB gif jpeg jpg png tga tif

Quindi dovresti metere il file txt all'interno di un archivio.

da **Bubba** » mar mar 13, 2007 2:38 pm

Non ho capito bene....... [uhm]

Devo trasformare il file .txt in un archivio .rar e caricarlo nel messaggio?

da **Bubba** » mar mar 13, 2007 2:49 pm

Detto fatto...... spero che adesso si veda

da **Amantide** » mar mar 13, 2007 3:47 pm

Il log è pulito.

da **Bubba** » mar mar 13, 2007 5:23 pm

Qunidi posso considerare il mio portatile senza virus......grazie del tuo prezioso aiuto [applauso+]

PS: tutto sommato non è stato molto difficile ripulirlo grazie al forum!

da **Amantide** » mar mar 13, 2007 5:27 pm

Bubba ha scritto:PS: tutto sommato non è stato molto difficile ripulirlo grazie al forum!

Importante è credere nelle proprie capacità [;)]

Continua cosi! [^]

da **daniele472** » mer mar 24, 2010 5:34 pm

Ciao Ragazzi qualcuno mi può aiutare, post il log:

Ho provato già con il tool della symantec ma niente da fare.
Thx

www.MegaLab.it

* LINKOPTIMIZER/GROMOZON --- PREVENZIONE E RIMOZIONE *

Re: *** LINKOPTIMIZER/GROMOZON --- PREVENZIONE E RIMOZIONE *

Chi c’è in linea

www.MegaLab.it

*** LINKOPTIMIZER/GROMOZON --- PREVENZIONE E RIMOZIONE ***

Re: *** LINKOPTIMIZER/GROMOZON --- PREVENZIONE E RIMOZIONE *

Chi c’è in linea

* LINKOPTIMIZER/GROMOZON --- PREVENZIONE E RIMOZIONE *