*** Removal Tool LinkOptimizer / Gromozon ***

[zenaromannaro]

vorrei chiedere aiuto qui,visto ke nn riesco a dargliene fuori...
vi posto il mio tread se qlc potesse darmi na mano anke solo per eliminare i file...
http://www.hwupgrade.it/forum/showthread.php?t=1505065
vi ringrazio anticipatamente....

[Osc71]

Salve pochi giorni fa' ho elimato una variante di gromozon che non mi faceva accedere al forum e faceva un altro scherzo mi ha fatto sparire da risorse il lettore dvd e masterizzatore che tuttora non vedo qualcuno di voi é a conoscenza di questo sintomo, si puo' risolvere e come?? Grazie

[Charliecance]

Ciao, anche io sono stato infettato, dato che sovrappensiero ho cliccato sul pulsante "chiudi" di una finestra java invece di usare il task manager. Con i vostri consigli ho debellato quel monster fastidioso, ma mi ha lasciato straschici che vorrei cercare di eliminare definitivamente. Il gromozon l'ho preso con il file unzanf.bat che all'avvio, mi si è connesso al solito FTP e mi ha infettato col suo simpatico codice. L'ho debellato, ma, mi sono rimasti nei registri e MI SI RICREANO SEMPRE, delle voci riferite a jvaa.dll (la dll del gromy...) e unzanf.bat (voce del bat che mi ha infettato) e sebbene le cancelli si ricreano SEMPRE e facenti riferimento alla voce HLM\SYSTEM\ControlSet002\Services\voce servizio\jvaa.dll per la dll e HLM\SYSTEM\ControlSet002\Services\voce servizio\unzanf per il file unzanf.(bat) e quindi ho dedotto che mi dovrebbe aver infettato il file "services".
chi mi sa dare una mano? G R A Z I E.

[tinos]

ciao,
volevo portare la mia esperienza e visto che non si possono scrivere parolacce sul forum, rivolgendomi a chi ha creato questo rootkit, gli posso dire però che possono tranquillamente immagginare le peggiori per loro e visto che siamo sotto natale e mi sento buono, che babbo natale li possa investire con tutta la slitta carica di regali sono sicuro che leggono quì.

Comunque nel 2006 riusci a toglielo con grazie all'aiuto del forum tramite i progammi avenger, rootkitrevealer, gmer.

a metà 2007 sostituisco il pc con uno nuovo un'assemblato da me e fino a 2 mesi fà andava tutto bene a parte un problema di posta elettronica:
dispongo di 6 indirizzi e-mail, non riuscivo a spedire neppure tramite internet explorer, normalmente uso opera, oppure quando spedivo un' e-mail arrivava dopo un'ora , due ore, ma quello che mi preoccupava di più è che quando non arrivava non mi restituiva il solito messaggio di errore.
alla luce di tutto ciò decido di installare un' Antitrojan, faccio una scansione e mi trova una stringa numerica simile a quella incriminata ( S-1-5-21 ecc.) sospetta sul file di registro, gli do l'ok per la cancellazione e al primo ed al secondo riavvio del pc andava tutto bene ma al Terzo ... non sono riuscito più ad avviare neppure in MODALITA Provvisoria, appena caricava la prima schermata di Win si riavviava in continuazione !!!

non ho potuto fare nient'altro che reinstallare Win sopra il precedente s.o per recuperare alcuni dati e per capire cosa era andato storto.
beh qualcosa sono riuscito a recuperare dalla cartella documenti e i preferiti di opera, almeno quelli...
le e-mail continuano a non funzionare ma vabbè tanto sapevo che ero in fase di test, quindi non mi importava più di tanto.
dopo una decina di giorni di prove ho potuto verificare che si trattava nuovamente del rootkit in quanto aveva creato un nuovo utente e mi ritrovavo le solite stringhe ( S-1-5-21ecc..) dapertutto però questa volta erano cartelle create a caso un po ovunque.



appurato tutto ciò decido di formattare e di creare un 'account utente protetto da password, di installare il famoso firewall Comodo sul quale mi ero precedentemente letto la guida sempre su questo forum, di installare l' antivirus Avast e il tutto Scollegato dalla rete!
ho installato anche AVG anti spyware, Prevx CSI, windows Defender, ho fatto tutti gli aggiornamenti di win xp, ogni tanto facevo una scansione anche con Gmer, sto usando firefox alternativamente ad opera.
insomma ho intallato solo programmi di controllo, nessun game.
sembrava andare tutto ok, a parte il solito problema con le e-mail.
l'altro ieri vado a dare un' occhiata ai servizi dal pannello di controllo ( è un controllo che faccio spesso, almeno ogni 3 giorni) e cosa ti vedo ??? il solito servizio con nome a random !
il servizio sono riuscito a bloccarlo e poi con Gmer lo ho cancellato.
facendo altre scansioni con Gmer vedo scorrere molto velocemente le solite stinghe S-1-5-21 ecc.. però non trova nulla.
ho anche scaricato Fixlinkopt della symantec lo ho eseguito ma niente.
ho passato anche il tool di rimozione della prevx, ma niente.
ho installato prevx2 fatto la scansione ma niente.

l'unico che mi ha trovato qualcosa è il firewall Comodo, sono tutta una serie di file che ho messo in quarantena il primo si trova su C:\RECYCLER\S-1-5-21...
tutti gli altri su D:\ come si può vedere dall'immagine:


ho anche un log autostart di Gmer non so se è quello giusto:

Codice:

GMER 1.0.12.12027 - http://www.gmer.net
Autostart scan 2007-12-19 16:01:57
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\ >>>
Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,
Windows@AppInit_DLLs =   C:\WINDOWS\system32\guard32.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
aswUpdSv /*avast! iAVS4 Control Service*/@ = "C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe"
avast! Antivirus /*avast! Antivirus*/@ = "C:\Programmi\Alwil Software\Avast4\ashServ.exe"
AVG Anti-Spyware Guard /*AVG Anti-Spyware Guard*/@ = C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
cmdAgent /*COMODO Firewall Pro Helper Service*/@ = "C:\Programmi\COMODO\Firewall\cmdagent.exe"
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe"
Nero BackItUp Scheduler 3 /*Nero BackItUp Scheduler 3*/@ = C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
NVSvc /*NVIDIA Display Driver Service*/@ = %SystemRoot%\system32\nvsvc32.exe
PREVXAgent /*PREVXAgent*/@ = C:\Programmi\Prevx2\PXAgent.exe -f
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
WinDefend /*Windows Defender*/@ = "C:\Programmi\Windows Defender\MsMpEng.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@JMB36X IDE SetupC:\WINDOWS\JM\JMInsIDE.exe = C:\WINDOWS\JM\JMInsIDE.exe
@36X Raid ConfigurerC:\WINDOWS\system32\JMRaidSetup.exe boot = C:\WINDOWS\system32\JMRaidSetup.exe boot
@RTHDCPLRTHDCPL.EXE = RTHDCPL.EXE
@SkyTelSkyTel.EXE = SkyTel.EXE
@AlcmtrALCMTR.EXE = ALCMTR.EXE
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
@nwiznwiz.exe /install = nwiz.exe /install
@NvMediaCenterRunDLL32.exe NvMCTray.dll,NvTaskbarInit = RunDLL32.exe NvMCTray.dll,NvTaskbarInit
@CTHelperCTHELPER.EXE = CTHELPER.EXE
@CTxfiHlpCTXFIHLP.EXE = CTXFIHLP.EXE
@avast!C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
@BrMfcWndC:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN = C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
@SetDefPrtC:\Programmi\Brother\Brmfl06b\BrStDvPt.exe = C:\Programmi\Brother\Brmfl06b\BrStDvPt.exe
@ControlCenter3C:\Programmi\Brother\ControlCenter3\brctrcen.exe /autorun = C:\Programmi\Brother\ControlCenter3\brctrcen.exe /autorun
@SSBkgdUpdate"C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot = "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
@PaperPort PTDC:\Programmi\ScanSoft\PaperPort\pptd40nt.exe = C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
@IndexSearchC:\Programmi\ScanSoft\PaperPort\IndexSearch.exe = C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
@itype"C:\Programmi\Microsoft IntelliType Pro\itype.exe" = "C:\Programmi\Microsoft IntelliType Pro\itype.exe"
@IntelliPoint"C:\Programmi\Microsoft IntelliPoint\ipoint.exe" = "C:\Programmi\Microsoft IntelliPoint\ipoint.exe"
@Logitech Hardware Abstraction Layer"C:\Programmi\File comuni\Logitech\khalshared\KHALMNPR.EXE" = "C:\Programmi\File comuni\Logitech\khalshared\KHALMNPR.EXE"
@Kernel and Hardware Abstraction LayerKHALMNPR.EXE = KHALMNPR.EXE
@!AVG Anti-Spyware"C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized = "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
@Windows Defender"C:\Programmi\Windows Defender\MSASCui.exe" -hide = "C:\Programmi\Windows Defender\MSASCui.exe" -hide
@NeroFilterCheckC:\Programmi\File comuni\Nero\Lib\NeroCheck.exe = C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
@NBKeyScan"C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" = "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
@COMODO Firewall Pro"C:\Programmi\COMODO\Firewall\cfp.exe" -s = "C:\Programmi\COMODO\Firewall\cfp.exe" -s
@SunJavaUpdateSched"C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe" = "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
@PrevxOne"C:\Programmi\Prevx2\PXConsole.exe" = "C:\Programmi\Prevx2\PXConsole.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@RMClock"D:\programmi installati\Overclock\INTEL\RM clock cpu\rmclock_22_bin\RMClock.exe" = "D:\programmi installati\Overclock\INTEL\RM clock cpu\rmclock_22_bin\RMClock.exe"
@ctfmon.exeC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@ABIT uGuruIIIC:\Programmi\ABIT\uGuru\uGuru.exe = C:\Programmi\ABIT\uGuru\uGuru.exe
@BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe" = "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad@WPDShServiceObj = C:\WINDOWS\system32\WPDShServiceObj.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks >>>
@{57B86673-276A-48B2-BAE7-C6DBB3020EB8}C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll = C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll
@{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}C:\PROGRA~1\WIFD1F~1\MpShHook.dll = C:\PROGRA~1\WIFD1F~1\MpShHook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{30D02401-6A81-11d0-8274-00C04FD5AE38} /*IE Search Band*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{E7E4BC40-E76A-11CE-A9BB-00AA004AE837} /*Shell DocObject Viewer*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{FBF23B40-E3F0-101B-8488-00AA003E56F8} /*InternetShortcut*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{3C374A40-BAE4-11CF-BF7D-00AA006946EE} /*Microsoft Url History Service*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{FF393560-C2A7-11CF-BFF4-444553540000} /*History*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{7BD29E00-76C1-11CF-9DD0-00A0C9034933} /*Temporary Internet Files*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{7BD29E01-76C1-11CF-9DD0-00A0C9034933} /*Temporary Internet Files*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{CFBFAE00-17A6-11D0-99CB-00C04FD64497} /*Microsoft Url Search Hook*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{3DC7A020-0ACD-11CF-A9BB-00AA004AE837} /*The Internet*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{871C5380-42A0-1069-A2EA-08002B30309D} /*Internet Name Space*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) = 
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/C:\WINDOWS\system32\extmgr.dll = C:\WINDOWS\system32\extmgr.dll
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Alwil Software\Avast4\ashShell.dll = C:\Programmi\Alwil Software\Avast4\ashShell.dll
@{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} /*Adobe.Acrobat.ContextMenu*/C:\Programmi\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll = C:\Programmi\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{1825D0FA-5B0C-4e20-A929-3EFD15B6DF71} /*IntelliType Pro Touchpad Control Property Page*/"C:\Programmi\Microsoft IntelliType Pro\itcpltp.dll" = "C:\Programmi\Microsoft IntelliType Pro\itcpltp.dll"
@(null) = 
@{A2569D1F-4E06-43EC-9825-0088B471BE47} /*IntelliType Pro Wireless Control Panel Property Page*/"C:\Programmi\Microsoft IntelliType Pro\itcplwir.dll" = "C:\Programmi\Microsoft IntelliType Pro\itcplwir.dll"
@{97FA8AA2-EE77-4FF2-9449-424D8924EF21} /*IntelliType Pro Zooming Control Panel Property Page*/"C:\Programmi\Microsoft IntelliType Pro\itcplzm.dll" = "C:\Programmi\Microsoft IntelliType Pro\itcplzm.dll"
@{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB} /*IntelliType Pro Scrolling Control Panel Property Page*/"C:\Programmi\Microsoft IntelliType Pro\itcplwhl.dll" = "C:\Programmi\Microsoft IntelliType Pro\itcplwhl.dll"
@{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2} /*IntelliType Pro Key Settings Control Panel Property Page*/"C:\Programmi\Microsoft IntelliType Pro\itcplkey.dll" = "C:\Programmi\Microsoft IntelliType Pro\itcplkey.dll"
@{20082881-FC36-4E47-9A7A-644C95FF749F} /*IntelliPoint Wireless Control Panel Property Page*/"C:\Programmi\Microsoft IntelliPoint\ipcplwir.dll" = "C:\Programmi\Microsoft IntelliPoint\ipcplwir.dll"
@{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE} /*IntelliPoint Wheel Control Panel Property Page*/"C:\Programmi\Microsoft IntelliPoint\ipcplwhl.dll" = "C:\Programmi\Microsoft IntelliPoint\ipcplwhl.dll"
@{653DCCC2-13DB-45B2-A389-427885776CFE} /*IntelliPoint Activities Control Panel Property Page*/"C:\Programmi\Microsoft IntelliPoint\ipcplact.dll" = "C:\Programmi\Microsoft IntelliPoint\ipcplact.dll"
@{124597D8-850A-41AE-849C-017A4FA99CA2} /*IntelliPoint Buttons Control Panel Property Page*/"C:\Programmi\Microsoft IntelliPoint\ipcplbtn.dll" = "C:\Programmi\Microsoft IntelliPoint\ipcplbtn.dll"
@{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C} /*Logitech Setpoint Extension*/C:\Programmi\Logitech\SetPoint\kbcplext.dll = C:\Programmi\Logitech\SetPoint\kbcplext.dll
@{B9B9F083-2B04-452A-8691-83694AC1037B} /*Logitech Setpoint Extension*/C:\Programmi\Logitech\SetPoint\mcplext.dll = C:\Programmi\Logitech\SetPoint\mcplext.dll
@{07C45BB1-4A8C-4642-A1F5-237E7215FF66} /*IE Microsoft BrowserBand*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{1C1EDB47-CE22-4bbb-B608-77B48F83C823} /*IE Fade Task*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{205D7A97-F16D-4691-86EF-F3075DCCA57D} /*IE Menu Desk Bar*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{3028902F-6374-48b2-8DC6-9725E775B926} /*IE AutoComplete*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{43886CD5-6529-41c4-A707-7B3C92C05E68} /*IE Navigation Bar*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{44C76ECD-F7FA-411c-9929-1B77BA77F524} /*IE Menu Site*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{4B78D326-D922-44f9-AF2A-07805C2A3560} /*IE Menu Band*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{6038EF75-ABFC-4e59-AB6F-12D397F6568D} /*IE Microsoft History AutoComplete List*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{6B4ECC4F-16D1-4474-94AB-5A763F2A54AE} /*IE Tracking Shell Menu*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{6CF48EF8-44CD-45d2-8832-A16EA016311B} /*IE IShellFolderBand*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{73CFD649-CD48-4fd8-A272-2070EA56526B} /*IE BandProxy*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{98FF6D4B-6387-4b0a-8FBD-C5C4BB17B4F8} /*IE MRU AutoComplete List*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{9A096BB5-9DC3-4D1C-8526-C3CBF991EA4E} /*IE RSS Feeder Folder*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{9D958C62-3954-4b44-8FAB-C4670C1DB4C2} /*IE Microsoft Shell Folder AutoComplete List*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{B31C5FAE-961F-415b-BAF0-E697A5178B94} /*IE Microsoft Multiple AutoComplete List Container*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{BC476F4C-D9D7-4100-8D4E-E043F6DEC409} /*Microsoft Browser Architecture*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{BFAD62EE-9D54-4b2a-BF3B-76F90697BD2A} /*IE Shell Rebar BandSite*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{E6EE9AAC-F76B-4947-8260-A9F136138E11} /*IE Shell Band Site Menu*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{F2CF5485-4E02-4f68-819C-B92DE9277049} /*&Links*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{F83DAC1C-9BB9-4f2b-B619-09819DA81B0E} /*IE Registry Tree Options Utility*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} /*IE User Assist*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{FDE7673D-2E19-4145-8376-BBD58C4BC7BA} /*IE Custom MRU AutoCompleted List*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{35786D3C-B075-49b9-88DD-029876E11C01} /*Portable Devices*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} /*Portable Devices Menu*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} /*NeroCoverEd Live Icons*/C:\Programmi\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll = C:\Programmi\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\Office10\msohev.dll = C:\Programmi\Microsoft Office\Office10\msohev.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll = C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
Adobe.Acrobat.ContextMenu@{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} = C:\Programmi\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
AVG Anti-Spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\context.dll
Cover Designer@{73FCA462-9BD5-4065-A73F-A8E5F6904EF7} = C:\Programmi\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers@{100BD527-7304-4b7f-BEE2-26D97B04EBA4} = C:\Programmi\Nero\Nero8\Nero BackItUp\NBShell.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
AVG Anti-Spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers@{100BD527-7304-4b7f-BEE2-26D97B04EBA4} = C:\Programmi\Nero\Nero8\Nero BackItUp\NBShell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{55EA1964-F5E4-4D6A-B9B2-125B37655FCB}C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll = C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll = C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
@{9030D464-4C02-4ABF-8ECC-5164760863C6}C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll = C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
@{AE7CD045-E861-484f-8273-0445EE161910}C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll = C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\system32\ssstars.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://go.microsoft.com/fwlink/?LinkId=69157 = http://go.microsoft.com/fwlink/?LinkId=69157
@Start Pagehttp://go.microsoft.com/fwlink/?LinkId=69157 = http://go.microsoft.com/fwlink/?LinkId=69157
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
cdo@CLSID = C:\Programmi\File comuni\Microsoft Shared\Web Folders\PKMCDO.DLL
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\msitss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = Logitech SetPoint.lnk

---- EOF - GMER 1.0.12 ----

se qualcuno mi potesse dare un mano sopratutto per risolvere il problema delle
mail....

grazie

ciao

[Nuz]

Da quello che vedo io l'infezione è nel cestino. Svuotalo.
Gmer ti da delle righe rosse?
Inizia intanto a fare le scansioni proposte nella guida per infetti e poi allega i log.

[tinos]

Quote:

Originariamente inviato da Nuz

Da quello che vedo io l'infezione è nel cestino. Svuotalo.
Gmer ti da delle righe rosse?
Inizia intanto a fare le scansioni proposte nella guida per infetti e poi allega i log.

magari fosse così semplice, ho l'abitudine di svuotare il cestino ogni volta che cancello qualcosa e al momento del mio post nel cestino non c'era nulla , poi ogni due o tre ore passo ccleaner.

adesso invece non posso svuotare più il cestino!
oggi pomeriggio ho scaricato la nuova versione di spybotsd151 che non avevo ancora installato e così ho cancellato la vecchia ( spybotsd14 ) adesso si trova nel cestino e non c'è verso di muoverla da li, win mi da il seguente errore:

impossibile eliminare Dd10: accesso negato
controllare che il disco non sia pieno o protetto da scrittura
e che il file non sia attualmente in uso.

ho fatto anche una scansione con ADS revealer e una con Gmer allego i rispettivi log zippati perchè al momento non si riesce a uploadare sul sito "mytempdir".

nessuna riga rossa ne prima ne adesso.

ad una prima occhiata pare che sia infettato fino all'osso ho il timore di dover formattare tutti e tre gli HD c,d,e. spero si possa recuperare qualcosa.

ciao.

[RaggamaN]

ciao ragazi ho un problemino

http://www.hwupgrade.it/forum/showthread.php?t=1677865

qui ho aperto il thread del mio inconveniente, ora scarico il file al primo post solo che lo faccio partire, mi dice che deve riavviare, riavvia e all'avvio di win part e il programmino e mi da un errore:
access violation at 0x00404600 (tried to read from 0x00000400), program terminated

quindi nisba si chiude
pikkè??

era l'antivirus che partiva in avvio....

[centrin]

mi sono collegato a questo sito dove si ofre la possibilità di rimuovere gromozon ma nonostanyte arrivi alla pagina dove si può scaricare, quando clicco sul dowload il PC mi ritorn allla pagina precedente ! e ora che fo ?

http://www.anarchia.com/dettagli-gra...ione-2987.html
Saluti,
centrin

[Chill-Out]

Quote:

Originariamente inviato da centrin

mi sono collegato a questo sito dove si ofre la possibilità di rimuovere gromozon ma nonostanyte arrivi alla pagina dove si può scaricare, quando clicco sul dowload il PC mi ritorn allla pagina precedente ! e ora che fo ?

http://www.anarchia.com/dettagli-gra...ione-2987.html
Saluti,
centrin

Innazitutto imposta i DNS di http://www.opendns.com/ dopodichè
fai girare la trial di Prevx

Poi fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

*** REGOLE di SEZIONE - obbligatoria la lettura!! ***

[centrin]

Quote:

Originariamente inviato da eraser

Finalmente, dopo giorni di duro lavoro, l'abbiamo finito

TOOL RIMOZIONE ROOTKIT LINKOPTIMIZER/GROMOZON
PRESS RELEASE

Comunicate qui eventuali problemi o se tutto è andato alla perfezione

Ho scaricato l'ammazza GROMOSON ma mi si dice che prima di usarlo devo disattivare l' antivirus e non so come fare !

Sul PC di antivirus ce ne sono due: Il Viriusfighter e il nod32

Viriusfighter non riesco nemmeno a disinstallarlo perchè dal pannello di controllo clicco su "disinstalla" ma il bottone "OK" è disattivato.

In basso a destra ci sono le piccole icone relative ma cliccandoci sopra compaiono i menu relativi ma nulla per poter disattivare l' antivirus.

Sul pannello di controllo vedo che l' antivirus e OK ma non c'è nulla che mi consenta di disattivarlo.

Sono incavolato nero, ma serve a poco !

Come faccio per disattivare provvisoriamente l' antivirus ?
Non sono un esperto, mi arrangio, ma fino ad un certo punto. :-(
Vi ringrazio molto,
Centrin

[xcdegasp]

uno dei due disinstallalo perchèaltrimenti si pestano i piedi ed è come nonavere nessun antivirus.
quindi tieni nod32 se possiedi regolare licenzaltriemnti passa ad avira antivir classic che è free e di granlunga superiore ad entrambi


per nod32 basta che premi il tasto destro sulla sua icona verde affianco all'orologio e sciegli "chiudi e esci" in questo modo è stoppato

[centrin]

Quote:

Originariamente inviato da xcdegasp

uno dei due disinstallalo perchèaltrimenti si pestano i piedi ed è come nonavere nessun antivirus.
quindi tieni nod32 se possiedi regolare licenzaltriemnti passa ad avira antivir classic che è free e di granlunga superiore ad entrambi


per nod32 basta che premi il tasto destro sulla sua icona verde affianco all'orologio e sciegli "chiudi e esci" in questo modo è stoppato

Grazie mille, IL NOD32 è regolarmente acquostato ma il VIRUSfigther lo avevo scaricato da Internet e l' avevo installato senza sapere che i due andavano in conflitto ! . Se cerco di disinstallarlo dal pannello di controllo apparino due bottoni di comando Uno "Annulla" e l' atro "Accetta" o "Prosegui" ( non ricordo bene ) ma quel bottone è DISATTIVATO e non posso disinstallarlo ! Nemmeno dal menù di VIRUSfigther c'è la possibilità di disinstallarlo !

E ora che fo ?

Grazie, :-)))
centrin ( sempre più incavolato ) :-(((

[Chill-Out]

Quote:

Originariamente inviato da centrin

Grazie mille, IL NOD32 è regolarmente acquostato ma il VIRUSfigther lo avevo scaricato da Internet e l' avevo installato senza sapere che i due andavano in conflitto ! . Se cerco di disinstallarlo dal pannello di controllo apparino due bottoni di comando Uno "Annulla" e l' atro "Accetta" o "Prosegui" ( non ricordo bene ) ma quel bottone è DISATTIVATO e non posso disinstallarlo ! Nemmeno dal menù di VIRUSfigther c'è la possibilità di disinstallarlo !

E ora che fo ?

Grazie, :-)))
centrin ( sempre più incavolato ) :-(((

Ti avevo risposto qui http://www.hwupgrade.it/forum/showpo...&postcount=469 , vedi tu?

[centrin]

Quote:

Originariamente inviato da xcdegasp

uno dei due disinstallalo perchèaltrimenti si pestano i piedi ed è come nonavere nessun antivirus.
quindi tieni nod32 se possiedi regolare licenzaltriemnti passa ad avira antivir classic che è free e di granlunga superiore ad entrambi


per nod32 basta che premi il tasto destro sulla sua icona verde affianco all'orologio e sciegli "chiudi e esci" in questo modo è stoppato

Grazie mille ! Ho disinstallato il VIRUS fighter. Ho disattivato il NOD32. Ho mandato in secuzione in tool per la rimozione di gromozon, ma mi si dice che sul PC non ci sono troianhorse, comunque il tool ha proseguito il suo lavoro fino in fondo e non ha trovato il gromozon, Che sia una variante ?

I "sintomi"del PC sono questi:

Non mi fa usare CCLEANER
Non mi fa collegare con VOI !!!!! ( sto scrivendo da un altro PC) e con qualche altro sito.
Ogni tre o quattro giorni lo schermo diventa bluastro e il PC si blocca. Devo staccare la batteria e riaccenderlo.

Grazie tremila e anche di più !

P.S.

Sapete come disattivare il sensore del mouse sul portatile e i relativi pulsanti ( centrino ) Io uso il mouse tradizionale.

[wjmat]

Quote:

Originariamente inviato da centrin

Grazie mille ! Ho disinstallato il VIRUS fighter. Ho disattivato il NOD32. Ho mandato in secuzione in tool per la rimozione di gromozon, ma mi si dice che sul PC non ci sono troianhorse, comunque il tool ha proseguito il suo lavoro fino in fondo e non ha trovato il gromozon, Che sia una variante ?

I "sintomi"del PC sono questi:

Non mi fa usare CCLEANER
Non mi fa collegare con VOI !!!!! ( sto scrivendo da un altro PC) e con qualche altro sito.
Ogni tre o quattro giorni lo schermo diventa bluastro e il PC si blocca. Devo staccare la batteria e riaccenderlo.

Grazie tremila e anche di più !

P.S.

Sapete come disattivare il sensore del mouse sul portatile e i relativi pulsanti ( centrino ) Io uso il mouse tradizionale.

segui tutto quello che ti è stato detto qui
http://www.hwupgrade.it/forum/showpo...&postcount=469

[centrin]

Quote:

Originariamente inviato da Chill-Out

Innazitutto imposta i DNS di http://www.opendns.com/ dopodichè
fai girare la trial di Prevx

Poi fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

*** REGOLE di SEZIONE - obbligatoria la lettura!! ***

Scrivi : [quote=Chill-Out;23769778]Innazitutto imposta i DNS di [url]


Mi potresti dare qualche sèpiegazione di come fare. IL DNS non so cosa sia !
Grazie
Centrin

[wjmat]

[quote=centrin;23833246]Scrivi :

Quote:

Originariamente inviato da Chill-Out

Innazitutto imposta i DNS di [url]

Quote:

Originariamente inviato da Chill-Out

Mi potresti dare qualche sèpiegazione di come fare. IL DNS non so cosa sia !
Grazie
Centrin

Start → Pannello di Controllo → Rete e connessioni internet → Doppio click Connessione di rete → Doppio click su Protocollo Internet TCP/IP → Metti la spunta su Utilizza i Seguenti DNS → Inserisci
208.67.222.222
208.67.220.220

[Baboo85]

Iscritto. Forse servira' per il pc di una mia amica, quando lo usero' vi faro' sapere se ci sono problemi

[Atarax]

Quote:

Originariamente inviato da centrin

Ho scaricato l'ammazza GROMOSON ma mi si dice che prima di usarlo devo disattivare l' antivirus e non so come fare !
[...]
Vi ringrazio molto,
Centrin

Ho lo stesso problema, con la differenza che non ho nessun software antivirus installato, c'era il kaspersky ma lho rimosso e sono sicuro non vi sia nient'altro.. Qualche idea?

[wjmat]

Quote:

Originariamente inviato da Atarax

Ho lo stesso problema, con la differenza che non ho nessun software antivirus installato, c'era il kaspersky ma lho rimosso e sono sicuro non vi sia nient'altro.. Qualche idea?

ciao

hai riscontrato gromozom?
leggi qui per la rimozione manuale di antivirus dopo problemi con la disinstallazione classica
http://www.hwupgrade.it/forum/showpo...&postcount=175