Antivir rileva il file google.com news.com etc. con vari nomi
TR.Agent.VP
TR.Agent.aju
TR.Agent.ajv
TR.Agent.ajw
TR.Click.Small.MF
TR.Gload
TR.Gromp
TR.Gromoz
TR.LinkOptimizer
TR.Obfuscated
TR.Packes
TR.PSW.Agent.IK
TR.SPY.Agent.VP
TR.Drop.Age.10877 (versione odierna del virus)

Antivir rileva il file google.com news.com etc. con vari nomi
TR.Agent.VP
TR.Agent.aju
TR.Agent.ajv
TR.Agent.ajw
TR.Click.Small.MF
TR.Gload
TR.Gromp
TR.Gromoz
TR.LinkOptimizer
TR.Obfuscated
TR.Packes
TR.PSW.Agent.IK
TR.SPY.Agent.VP
TR.Drop.Age.10877 (versione odierna del virus)


Forse mi è sfuggito ma qualcuno ha già specificato come avviene l'infezione?

Ragazzi, siamo salvi :O
Vi scrivo da un pc che fino a 2 minuti fà era infetto!!!

Grazie ad una versione beta del tool, che ha funzionato perfettamente, sono finalmente libero :D

Un sentitissimo grazie agli sviluppatori, in particolar modo ad Eraser che mi ha sopportato in questi giorni :D

Grazie mille ragazzi...

Ragazzi, siamo salvi :O
Vi scrivo da un pc che fino a 2 minuti fà era infetto!!!

Grazie ad una versione beta del tool, che ha funzionato perfettamente, sono finalmente libero :D

Un sentitissimo grazie agli sviluppatori, in particolar modo ad Eraser che mi ha sopportato in questi giorni :D

Grazie mille ragazzi...


e questa beta e' disponibile anche per il pubblico??

mad_hhatter

Ragazzi, siamo salvi :O
Vi scrivo da un pc che fino a 2 minuti fà era infetto!!!

Grazie ad una versione beta del tool, che ha funzionato perfettamente, sono finalmente libero :D

Un sentitissimo grazie agli sviluppatori, in particolar modo ad Eraser che mi ha sopportato in questi giorni :D

Grazie mille ragazzi...

i link?

Entro qualche ora sarà online ;)

:ciapet:



Non sono autorizzato :O

Salve ho un problema con 1 virus e non so se puo essere questo gomozon, nel pc dove lavoro io si e' insinuato un virus,nella cartella C:\Programmi\File comuni\Services e tutte le volte che spengo e riavvio il PC crea nuovi esegutivi.Sebbene il Kaspersky 5 lo rileva non riesce a far niente,Io ho provato sia il DrWeb CureIT che il remove x il gomozon(non me lo fa' partire)che AD-Aware ed altre cose,pure in modalita' provvisoria,ma non sono servite.I file si nell'immagine che vi posto sono 2 ma se avvio il PC ne crea altri 2 ad ogni riavvio,quelli li riesco a togliere ma c'e ne' 1 che non me lo fa' levare,suppongo sia quello che mi fa' sta storia,e cmq anche quello cambia nome ad ogni riavvio.


http://img204.imageshack.us/img204/339/virusbc0.th.jpg (http://img204.imageshack.us/my.php?image=virusbc0.jpg)
Se sapete come aiutarmi ve ne sarei grato,oppure mi tocca fare il formattone? :muro: :cry:

Salve ho un problema con 1 virus e non so se puo essere questo gomozon, nel pc dove lavoro io si e' insinuato un virus,nella cartella C:\Programmi\File comuni\Services e tutte le volte che spengo e riavvio il PC crea nuovi esegutivi.Sebbene il Kaspersky 5 lo rileva non riesce a far niente,Io ho provato sia il DrWeb CureIT che il remove x il gomozon(non me lo fa' partire)che AD-Aware ed altre cose,pure in modalita' provvisoria,ma non sono servite.I file si nell'immagine che vi posto sono 2 ma se avvio il PC ne crea altri 2 ad ogni riavvio,quelli li riesco a togliere ma c'e ne' 1 che non me lo fa' levare,suppongo sia quello che mi fa' sta storia,e cmq anche quello cambia nome ad ogni riavvio.


http://img204.imageshack.us/img204/339/virusbc0.th.jpg (http://img204.imageshack.us/my.php?image=virusbc0.jpg)
Se sapete come aiutarmi ve ne sarei grato,oppure mi tocca fare il formattone? :muro: :cry:

Con quell'avatar che ti ritrovi non riesco a leggere il messaggio, mi distrae troppo.. non posso aiutarti..






:D :D
Ok, scherzi a parte.. Sì, il virus è quello che di cui si discute in questo thread.. Aspetta che esca il tool di rimozione automatico di cui si parla in questi ulimi post. Con quello dovresti risolvere.
Ciao!

Ciao, problema risolto. Era abilitato il servizio NetBIOS su TCP/IP..
Su un sito ho letto cmq che tenerlo abilitato non e' il massimo della sicurezza, percio' l'ho disabilitato ed ora quegli avvisi "SVCHOST create server listener" ecc.. ecc... (ed il fatto che svchost risultasse in sempre in listening) ora non ci sono piu'...

Se qualcuno pensa di avere il netbios attivo e vuole disabilitarlo tanto x stare + tranquillo, basta andare in Pannello di controllo > Connessioni di rete > right-click sulla connessione usata (in genere c'e' il modem usato) > Proprieta' > Rete > doppio click su PROTOCOLLO INTERNET (TCP/IP) > Avanzate > WINS > Disabilita NetBIOS su TCP/IP > OK

Pero' mi resta un dubbio... Su un PC Win XP home, questo servizio netbios su TCP/IP risulta abilitato, ma SVCHOST non si mette in ascolto su netbios-ssn e gli avvisi di Prevx1 Event (SVCHOST Create server listener - SVCHOST NetBIOS out - ecc...) non ci sono... Come mai ?

Il pc su cui invece SVCHOST si comportava nel modo descritto (prima di disabilitare il netbios su tcp/ip) e' Win XP PRO...

E' dovuto semplicemente al diverso comportamente tra XP PRO e HOME ?
O e' stato un malware ad attivare il netbios ?

Ciao !!

Ecco.. allora la questione è chiarita.. condivisione file e stampanti per reti Microsoft e client per reti microsoft sono disattivate su entrambi i pc? queste opzioni sono nelle proprietà di rete, ci sei passato prima di arrivare a quella che hai modificato.
Cmq stiamo andando offtopic su queso thread.. magari controlla questo e poi se vuoi approfondire potresti postare sul forum sulle reti.

Te lo passo se vuoi :D , ed a pure degli amici (2) molto carini,mi manca le voglia di ridurli x l'avatar,seno' li mettevo a rotazione :ciapet: :sofico:

Entro qualche ora sarà online ;)

proprio adesso che ho deciso di ripristinare l'immagine... :muro:
menomale che ci ho messo 10min. :D:D

cmq grz lo stesso ;)

diciamo che qualche ora si è prolungata a parecchie ore perché stiamo avendo alcune difficoltà tecniche di prevenzione da futuri attacchi e siti web :)

domanda da 1000€....ho un pc infettato da rootkit....ovviamente con virit e qualche operazione a mano viene via senza grandi problemi...però io ho il seguente problema.....qualcuno su questo pc ha installato il mese scorso VIRIT quindi è scaduto....e non rimuove più nulla,fà solo lo scan....come faccio a risolvere senza VIRIT?????

esiste una maniere di pulire bene il registro cosi riesco a riutilizzare VIRIT???

P.S=ho già provato CCLEANER,YOUR UNISTALLER,REGSEEKER...ma nulla...

diciamo che qualche ora si è prolungata a parecchie ore perché stiamo avendo alcune difficoltà tecniche di prevenzione da futuri attacchi e siti web :)
-------------------------------------------------------

In effetti Marco, fra il bloccare gli accessi a Sito Prevx, al tuo sito personale o attacchi personali a te, il team vergognoso che ha ideato-sviluppato-modificato Il Gromozon/ Linkopt. sembra quasi uscito dalla sceneggiatura di un film di fantascenza. A parte tutto buon lavoro davvero, visto che parecchie persone, me compreso anche se grazie a Dio solo in parte, hanno avuto danni non da poco sperando solo temporanei, anche se la Beta del tool di rimozione già testata da un iscritto al forum con successo, mi fa pensare il maniera super -ottimistica.
Many thanks Marco !!!!

Ho inserito alcuni aggiornamenti nel mio sito web.

Volendo potete leggerli lí o, se pensate sia meglio, riportarli anche qua. Ora me ne vo a nanna che ho sonno :D :D

Ho inserito alcuni aggiornamenti nel mio sito web.

Volendo potete leggerli lí o, se pensate sia meglio, riportarli anche qua. Ora me ne vo a nanna che ho sonno :D :D
'ndo vai?!:nonsifa:
postalo pure qua :D

Ho inserito alcuni aggiornamenti nel mio sito web.

Volendo potete leggerli lí o, se pensate sia meglio, riportarli anche qua. Ora me ne vo a nanna che ho sonno :D :D

Una volta si diceva di Norton quando ancora internet non esisteva, e gli aggiornamenti arrivavano per posta su floppy disk.
"Questo Norton fa l'antivirus, e la moglie i virus..."

Eraser, chi ti fa i virus? :O

Rilasciato il tool:

http://www.pcalsicuro.com/main/?p=52

Rilasciato il tool:

http://www.pcalsicuro.com/main/?p=52
rimuove tutte le varianti,dalla più vecchia alla più recente?
ottima l'idea de P2P :D

Rilasciato il tool:

http://www.pcalsicuro.com/main/?p=52

Ti ringrazio anche di qua e approfitto della tua gentilezza per chiederti cosa nel pensi del consiglio della TgSoft di installare QUESTA (http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx) patch, segnalata sul sito della Microsoft (il mio dubbio lo suscita il fatto che l'ultima revisione risale al gennaio 2006).
:ave:

rimuove tutte le varianti,dalla più vecchia alla più recente?


Sì, dovrebbe almeno.

E' anche per questo che ci appoggiamo anche a Prevx1, ci permette di essere sempre aggiornati anche contro le ultime varianti del malware

Ti ringrazio anche di qua e approfitto della tua gentilezza per chiederti cosa nel pensi del consiglio della TgSoft di installare QUESTA (http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx) patch, segnalata sul sito della Microsoft (il mio dubbio lo suscita il fatto che l'ultima revisione risale al gennaio 2006).
:ave:

Se aggiorni costantemente Windows con il Windows Update non hai bisogno di quella patch. Se invece non aggiorni Windows, in tal caso sì, è necessaria perché sistema la falla WMF.

Se aggiorni costantemente Windows con il Windows Update non hai bisogno di quella patch. Se invece non aggiorni Windows, in tal caso sì, è necessaria perché sistema la falla WMF.

Il fatto è che il computer che aveva preso Gromozon era constantemente aggiornato con WindowsUpdate ( :stordita: ): io la installo e finita, male non farà. Grazie ancora.
:ave:

Rilasciato il tool:

http://www.pcalsicuro.com/main/?p=52

-----------------------------------------

Grazie davvero Marco, sei un grande!!!!!

Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon Removed!
era 3 giorni che ronzava e non riuscivo a toglierlo
una sola parola :grande

Complimenti per il vostro lavoro

una sola domanda: può convivere con l'avast?

una sola domanda: può convivere con l'avast?
si,come tutti i tool di rimozione(funziona stand alone,ossia senza bisogno di installazione)

raga io ho un gravissimo problema di questo genere..
allora in questi giorni avevo dei forum di forumfree che nn si aprivano(assieme ad un altro sito dove si scaricano i sottotitoli per alcuni film/telefilm)..mentre a tutti si aprivano!! solo che dopo 1 o 2 ore tutto mi si apriva e tornava alla normalità

oggi non è stato così....dalle 14..fino ad ora...

ho provato la vostra tool...ma nn trova questo trojan..ho provato ad-ware..ma niente...
altro da consigliarmi?

ho postato qui visto che il problema sembra identico a quello di voi!

Ciao, con il tool della PREVX (grazie ancora MArco!!) mi è capitato di disinfestare ancora un altro PC che aveva esattamente i sintomi di GROMOZON che tutti sappiamo e anche in maniera tosta, ma la cosa curiosa è che il removal-tool non me lo segnalava presente il GROMOZON,ma il lanciare poi successivamente il programma PREVX a scansione completa, come consigliato da Marco per ripulire le dll infette rimanenti, mi ha permesso di estirpare il tutto.

Io al lavoro o fatto l'opposto x togliere sto maledetto virus,xche il tool non lo vedeva ,allora ho installato prevx,e mi ha pulito le dll poi ho rilanciato il tool e mi ha trovato il virus,Mha! l'importante e' che lo abbia tolto,grazie a tutti :)

raga io ho un gravissimo problema di questo genere..
allora in questi giorni avevo dei forum di forumfree che nn si aprivano(assieme ad un altro sito dove si scaricano i sottotitoli per alcuni film/telefilm)..mentre a tutti si aprivano!! solo che dopo 1 o 2 ore tutto mi si apriva e tornava alla normalità

oggi non è stato così....dalle 14..fino ad ora...

ho provato la vostra tool...ma nn trova questo trojan..ho provato ad-ware..ma niente...
altro da consigliarmi?

ho postato qui visto che il problema sembra identico a quello di voi!
per me avevano problemi al provider

Ho usato il tool gromozon con questi risultati:

Removal tool loaded into memory
Removing ADS stream: C:\:clicoix.chm:$DATA
Removing ADS stream: C:\WINDOWS\system32:gnaa.dll:$DATA
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon Removed!

Dire quindi che sono a posto :)

per me avevano problemi al provider


ora va tutto..ma altri riuscivano ad entrare nei siti quando a me nn andavano...mah

cmq ho fatto scansioni con prevx1 e con il fix per questo virus..per fortuna nn ho nienteeeeeeee :D :D :D

ora va tutto..ma altri riuscivano ad entrare nei siti quando a me nn andavano...mah
si connettono con lo stesso tuo provider?

Innanzitutto GRAZIE!!!!!!!!!!
Pensavo fosse un problema della mia rete e stavo diventando scemo: era mai possibile che solo questo sito non vedessi?
Un'unica pecca: ora il sito lo carico, però quando lancio il tool mi chiede di riavviare e, al successivo caricamento di xp, il tool mi dice access violation 0x04046 (credo) . A questo punto volevo domandarvi: anche se ora hwupgrade.it lo carico, gromozon è stato rimosso? (visto che il tool non ha portato a termine la scansione) Non è che dovevo eseguirlo in mod provvisoria?

Edit Mi rispondo da solo: non avevo ben rimosso gromozon, ora ho riavviato il tool ed è stato rimosso.

Ciao Eraser,
ho notato che il tool in questione su alcune macchine al riavvio si apre e si chiude in automatico senza fare la scansione, inutile dire che ho provato diverse volte a riaprirlo ed a riavviare senza successo.
Sulla macchina in questione però c'è anche una falla di windows che attacca molto probabilmente spoolsvc (arresto del sistema ta 60 secondi) tipico di sasser/blaster, potrebbe incidere questo buco di windows nel mancato avvio del tool in questione?
Ho provato anche a togliere tutto da msconfig e services ma senza alcun risultato, l'unica che mi rimane è aggiornare windows con l'autopatcher e riprovare il tool...vi farò sapere se risolvo ;)

quasi 10 giorni che stavo diventando matto , non risucivo a collegarmi a questo forum ed ad altri 2 siti , pensavo fosse un problema di dns, ma un'ora fa mentre cercavo su google se altri avevano lo stesso problema ho trovato un post in un altro forum accessibile che mi indicava la soluzione, peccato che il file il virus me lo bloccava, me lo sono fatto scaricare ed inviare via msn da un contatto che era online :)

Ciao a tutti,
anch'io ho ripulito tutto grazie a Prevx1, ma ho notato che in PANNELLO DI CONTROLLO > STRUMENTI DI AMMINISTRAZIONE > SERVIZI, il servizio/account .\dTyMmUJxvj sotto la colonna CONNESSIONE e' ancora visibile.
Sicuramente non da' problemi, e' disabilitato ecc..., ma cmq c'e' un modo x eliminarne completamente la visualizzazione anche dai servizi ? Visto che e' stato rimosso, come mai l'account fittizio e' ancora in questa scheda ?

Ciao e GRAZIE !!

mi comunicano che devi fare:
1)esegui--->cmd
2)sc stop <nomeservizio>
3)sc delete <nomeservizio>

A me da questo errore:
Error while unpacking program, code LP5. Please report to author

:muro:

Mi potreste spiegare i sintomi di questo virus per cortesia? Mi è arrivata la mail di Hardware Upgrade che mi diceva che avevo questa cosa ma nè Outpost nè Nod32 mi hanno detto nulla a riguardo e uso solo Firefox come browser......

Caro utente di Hardware Upgrade,

è da qualche settimana che alcuni utenti ci segnalano problemi di visualizzazione e di accesso ad Hardware Upgrade con errori del tipo 'dominio non trovato' o simili, con tutti i browser.

Questo NON è un problema dei nostri server e non è un problema dal nostro lato tecnico: si tratta invece di un virus rootkit installato sul tuo pc chiamato GROMOZON che blocca l'accesso al nostro sito in quanto abbiamo pubblicato informazioni relative a questo virus.
www.hwupgrade.it non è l'unico dominio bloccato, ci sono molti domini di software house che producono antivirus e di siti che offrono metodi di rimozione di GROMOZON inclusi in questa lista.

Il link sottostante porta all'ultima versione del tool di rimozione sviluppato da PREVX, ovviamente accessibile da un dominio non incluso in questa lista:

http://151.1.244.111/fixgromozon.zip

Il link si riferisce ad un file presente sui nostri server.

Lo staff di Hardware Upgrade

Se posso vorrei fare un commento riguardo alla stessa mail che mi è appena arrivata anche a me e più precisamente sul pezzo dove è scritto "si tratta invece di un virus rootkit installato sul tuo pc" io avrei scritto "si tratta invece di un virus rootkit che potrebbe essere installato sul vostro pc nel caso non riusciste ad entrare nel nostro sito o in altri" visto che come è posta ora fa pure preoccupare, ho scaricato il tool e fatto il test ma io non sono infetto.... chi magari ne capisce poco di certe cose fa pure un colpo con frasi così :ciapet:
Saluti a tutti ;)

chiedete qui (http://www.hwupgrade.it/forum/showthread.php?t=1123932) oppure mandate un pvt a un amministratore

la mail è effettivamente scritta dallo staff,nessun fake

la mail è autentica ;)

Se il removal tool non parte su una macchina infetta dal rootkit LynkOptimizer,
provate a rinominare l'eseguibile e fatelo partire.
Alcuni varianti di LynkOptimizer bloccano l'accesso ai siti di antivirus e inibiscono l'avvio di programmi che lo eliminano ma... questi sono molto stupidi, infatti hanno solo delle liste con i nomi originali dei siti e dei removal tool, quindi cambiandogli il nome tipo: supereliminatore.exe ( per dire :D ), il tool parte ed elimina il fastidioso parassita.

Spero di esser stato utile in qualche modo ;)

ciauzzzzz

P.s. se questo tipo di soluzione fosse già stata postata allora mi scuso per questo doppio post, il fatto è che non tempo di stare a cercare minuziosamente all'interno del forum quindi... bho ciauzz

Volevo ringraziare tutti coloro che hanno partecipato ad inserire informazioni relative a questo maledetto trojan ed in particolare eraser.Ero anche io nella situazione descritta negli ultimi post dove non si riesce a lanciare nessun tool/programma di rimozione.Poi rinominando FixGrom con altro nome ho risolto. Mi è però rimasto in "installazione applicazioni" "connection services". Il resto dei problemi sembra scomparso.C'è un metodo per eliminare quest'ultimo residuo del trojan? Grazie

Volevo ringraziare tutti coloro che hanno partecipato ad inserire informazioni relative a questo maledetto trojan ed in particolare eraser.Ero anche io nella situazione descritta negli ultimi post dove non si riesce a lanciare nessun tool/programma di rimozione.Poi rinominando FixGrom con altro nome ho risolto. Mi è però rimasto in "installazione applicazioni" "connection services". Il resto dei problemi sembra scomparso.C'è un metodo per eliminare quest'ultimo residuo del trojan? Grazie
hai qualche programma di pulizia de registro tipo ccleaner o jvpowertools?

No nessun programma di pulizia del registro. Ci sono diversi tool Acer di gestione varia. Ho notato che se vado su installazione applicazioni e clikko il pulsante "rimuovi" si apre IE e cerca di aprire un sito. Non è un buon segno!!!

No nessun programma di pulizia del registro. Ci sono diversi tool Acer di gestione varia. Ho notato che se vado su installazione applicazioni e clikko il pulsante "rimuovi" si apre IE e cerca di aprire un sito. Non è un buon segno!!!
proprio per nulla...quale variante ti eri beccato?

Ciao a tutti,
anch'io ho ripulito tutto grazie a Prevx1, ma ho notato che in PANNELLO DI CONTROLLO > STRUMENTI DI AMMINISTRAZIONE > SERVIZI, il servizio/account .\dTyMmUJxvj sotto la colonna CONNESSIONE e' ancora visibile.
Sicuramente non da' problemi, e' disabilitato ecc..., ma cmq c'e' un modo x eliminarne completamente la visualizzazione anche dai servizi ? Visto che e' stato rimosso, come mai l'account fittizio e' ancora in questa scheda ?

Ciao e GRAZIE !!

mi comunicano che devi fare:
1)esegui--->cmd
2)sc stop <nomeservizio>
3)sc delete <nomeservizio>

Ciao, grazie infinite. Ho provato... Cmq l'account fittizio si chiama .\dTyMmUJxvj mentre il nome del servizio e' SeqSqd .
Quindi ho digitato in cmd:

sc stop SeqSqd
sc delete SeqSqd

Purtroppo pero' con entrambi i comandi mi da' questo messaggio:

[SC] OpenService FAILED 1060:
Il servizio specificato non esiste come servizio installato.

(...ed il servizio continua a rimanere visualizzato in SERVIZI...)

Spero qualcuno possa indicarmi una soluzione :)
Ciao !!

proprio per nulla...quale variante ti eri beccato?

Non saprei. Il pc aveva gli stessi sintomi descritti negli ultimi post, quindi non riuscivo ad avviare nessun tool (FixGrom Gmer Ice Avenger). Poi seguendo il consiglio ho rinominato FixGrom.exe in rootkit.exe ed ha ripulito il pc. Infatti ora va su tutti i siti prima bloccati e nessuna segnalazione viene comunicata dall'antivirus. Ho controllato nelle varie cartelle dove si annidano files infetti (programmi/file comuni/services etc) ma non c'è nulla di strano. Rimane 'sto maledetto connectionservices in "installazione applicazioni". Boh accetto suggerimenti

Non saprei. Il pc aveva gli stessi sintomi descritti negli ultimi post, quindi non riuscivo ad avviare nessun tool (FixGrom Gmer Ice Avenger). Poi seguendo il consiglio ho rinominato FixGrom.exe in rootkit.exe ed ha ripulito il pc. Infatti ora va su tutti i siti prima bloccati e nessuna segnalazione viene comunicata dall'antivirus. Ho controllato nelle varie cartelle dove si annidano files infetti (programmi/file comuni/services etc) ma non c'è nulla di strano. Rimane 'sto maledetto connectionservices in "installazione applicazioni". Boh accetto suggerimenti
installati regcleaner 4.3 e rimuovi la voce da "programmi installati"

Non ci posso credere. Ho installato Regcleaner ma non lo lancia.Rimane attivo nei processi ma non succede nulla.

Ho risolto con Ccleaner. Ora sembra tutto a posto. Mai fatto tanto c@@o per un virus.

Non ci posso credere. Ho installato Regcleaner ma non lo lancia.Rimane attivo nei processi ma non succede nulla.
hai eseguito il tool di cui al primo post oppure questo (http://www.pcalsicuro.com/main/?p=52)?

Certo. Come dicevo precedentemente l'ho rinominato ed ha eseguito lo scan del pc. Ora credo sia tutto ok :D

Ragazzi ho un problemino... sono ormai un po di giorni che ho eliminato gromozon... con il primo tool che era uscito.
Quando e' uscito il secondo ho fatto fare una scansione anche dal tool aggiornato per sicurezza e non mi ha trovato nulla.

Adesso mi sono accorto che nella cartella Documents&Settings c'e' un altro utente oltre al mio e quello di mia sorella.
Sembra una copia di backup del mio utente.
Qualcuno puo dirmi come eliminarla, se posso eliminarla o se non e' una copia di backup???

Originariamente inviato da schumy2006
Ciao a tutti,
anch'io ho ripulito tutto grazie a Prevx1, ma ho notato che in PANNELLO DI CONTROLLO > STRUMENTI DI AMMINISTRAZIONE > SERVIZI, il servizio/account .\dTyMmUJxvj sotto la colonna CONNESSIONE e' ancora visibile.
Sicuramente non da' problemi, e' disabilitato ecc..., ma cmq c'e' un modo x eliminarne completamente la visualizzazione anche dai servizi ? Visto che e' stato rimosso, come mai l'account fittizio e' ancora in questa scheda ?

Ciao e GRAZIE !!



Originariamente inviato da stesio54
mi comunicano che devi fare:
1)esegui--->cmd
2)sc stop <nomeservizio>
3)sc delete <nomeservizio>



Originariamente inviato da schumy2006
Ciao, grazie infinite stesio54. Ho provato... Cmq l'account fittizio si chiama .\dTyMmUJxvj mentre il nome del servizio e' SeqSqd .
Quindi ho digitato in cmd:

sc stop SeqSqd
sc delete SeqSqd

Purtroppo pero' con entrambi i comandi mi da' questo messaggio:

[SC] OpenService FAILED 1060:
Il servizio specificato non esiste come servizio installato.

(...ed il servizio continua a rimanere visualizzato in SERVIZI...)

Ho provato di tutto, ma la voce in servizi e' ancora presente !
Possibile che non ci sia una soluzione ?? :mc:

Ho provato di tutto, ma la voce in servizi e' ancora presente !
Possibile che non ci sia una soluzione ?? :mc:

Devi usare il Gmer111 che ti eliminera' il servizio in questione o al massimo l'Icesword.


byezzz

Prova ad usare il tool Symantec, dovrebbe togliere il servizio.
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Vi ringrazio tanto !!
Cmq mi arrendo, il servizio non va via... o meglio, e' gia' stato eliminato dal tool Prevx, ma e' rimasta una traccia forse indelebile nella scheda dei servizi...

vabbe', prevx e' ottimo comunque !!

Ciao !! :)

Ragazzi eccomi...è da ieri che ho dovuto combattere con questo maledettissimo trojan...fortunatamente che girando un po' in rete ho trovato un tool aggiornato della prevx che me l'ha tolto...dopo mille scansioni e programmi vari tra cui il vecchio tool che non andava...

Ed anche a me è rimasta traccia del servizio...poco male.
Volevo chiedervi, ma per evitare di riprenderlo in futuro cosa devo fare? Nel forum in cui ho trovato il tool elencavano alcune patch microsoft da applicare, io le avevo quasi tutte tranne una che ho poi installato, secondo voi sto a posto così?

E poi una domanda...questo trojan l'ho preso con la connessione attiva ma non stavo navigando da nessuna parte da un paio di ore...quando mi sono rimesso al pc me lo sono trovato...ma è normale che anche non facendo nulla di nulla si incomba in questi problemi?

1)è un rootki,non un trojan(putroppo):D
2)il tool era linkato pure in questo thread :O
3)se hai installato la patch per i WMF sei apposto
4)normale

Ciao ragazzi, ho pensato bene di scrivere una mini guida sulla rimozione manuale del servizio da usare nel caso in cui i vari tool non vadano:
1) start - esegui - services.msc
2) Ordinare i servizi per tipo di connessione ed individuare il servizio sospetto
3) annotatevi sul blocco note o altro l'utente creato ed il nome del servizio che andremo a togliere manualmente
4) start - esegui - regedit - F3 - selezionate chiavi valori e dati, cercate l'utente e cancellatelo premendo CANC o Modifica\Elimina
5) start - esegui - regedit - F3 - selezionate chiavi valori e dati, cercate il servizio e cancellatelo premendo CANC o Modifica\Elimina

Capita che il servizio o nome utente non lo fà cancellare a causa di autorizzazioni create appositamente dal rootkit, per ovviare al problema:
1) Cliccate con il secondo tasto del mouse sulla chiave di registro incriminata poi su autorizzazioni
2) Cliccate su Administrator e/o sull'utente che utilizzate sempre, e sotto nelle autorizzazioni cliccate su Controllo completo
3) Rimanendo sulla scheda autorizzazioni cliccate su avanzate, nella scheda avanzate selezionate Administrator e/o l'utente che utilizzate sempre e mettete il segno di spunta su "sostituisci proprietario in sottocontenitori ed oggetti"
4) Date applica, ok e cancellate tranquillamente ;)

Il rootkit crea anche delle sottocartelle di registro ad ogni servizio legato, percui dovete seguire questa procedura per accedere ed eliminare le chiavi/cartelle incriminate.

La procedura funziona anche sui file compressi segnati in verde che trovate su file comuni.

Testato su Windows Xp Professional

Mettere in rilievo in prima pagina se possibile, grazie ;)

1)è un rootki,non un trojan(putroppo):D
Eh io non sono ancora informato sui rootkit... :D
2)il tool era linkato pure in questo thread :O

Bella forza...sto rootkit non mi faceva entrare in hwupgrade... :p
3)se hai installato la patch per i WMF sei apposto

Questa ce l'avevo già ma l'ho preso lo stesso...
4)normale

Comunque avevo notato un'altra cosa...prima dell'infezione avevo 10.3 GB liberi sull'HD. Quando ho scoperto l'infezione ne avevo 13 GB...ma questo rootkit cancella pure dei files? Perchè cercando un po' sul pc non ho trovato nulla che sia stato cancellato...eppure lo spazio libero è aumentato...

non non elimina nulla...se installi la patch per i WMF non te lo becchi,c'è poco da discuterci sopra ;):D

mi intrometto nella discussione....
sono 10 giorni che lotto con questa bestiaccia, e finalmente col fixgrom di prevx l'ho fatto fuori...
il problema è che nonostante abbia kav6 aggiornato, me lo sono ribeccato!!! :mad:
l'ho capito subito quando nn mi apriva di nuovo hwupgrade, e anche kav mi ha segnalato tramite difesa proattiva il linkoptimizer, solo che come azioni possibili mi dava solo "ignora", file impossibile da eliminare o qualcosa di simile...
ora ho di nuovo ripulito con fixgrom, ma sono sicuro che me lo riprenderò...
la mia domanda è:
che devo fare per non ribeccare sto fastidioso parassita?
possibile che devo pagare anche il prevx1 per proteggermi a dovere? (non basta kav6..... :mad: )
devo spendere più soldi in abbonamenti per AV e robe simili che per mangare cazzarola...
grazie 1000 a tutti in anticipo

EDIT

cosa importantissima:
è vera la voce che con FIREFOX 2.0 i rischi di incorrere in queste cose sono decisamente minori?

devi installarti la patch per rimediare il bug sui WMF

non non elimina nulla...se installi la patch per i WMF non te lo becchi,c'è poco da discuterci sopra ;):D

Beh allora non mi spiego perchè mi trovo più spazio libero...
Comunque ti assicuro che la patch per i WMF l'avevo già installata prima...sto attento a queste cose, e nonostante questo me lo sono preso lo stesso...

la patch è un aggiornamento ufficiale di win?

di firefox che mi dici?

ciao e grazie

ragazzi anche io mi sono beccato l'ultima variante..... quella che implementa il filtering del web ma con fixgrom della prevx CREDO di averlo almeno arginato, riprova ne è il fatto che ora riesco a collegarmi a hwupgrade.... secondo voi può questo unico tool aver rimosso completamente tutto? (hijackthis non mi rileva niente......)

ragazzi anche io mi sono beccato l'ultima variante..... quella che implementa il filtering del web ma con fixgrom della prevx CREDO di averlo almeno arginato, riprova ne è il fatto che ora riesco a collegarmi a hwupgrade.... secondo voi può questo unico tool aver rimosso completamente tutto? (hijackthis non mi rileva niente......)

fai una scansione completa con l'antivirus e ewido (http://www.ewido.net/en/) per eliminare altre eventuali schifezze...

e poi fai girare questo tool della symantec per la rimozione di gromozon, se è rimasto qualcosa lo trovi :D
-> http://smallbiz.symantec.com/security_response/writeup.jsp?docid=2006-092316-4153-99

fai una scansione completa con l'antivirus e ewido (http://www.ewido.net/en/) per eliminare altre eventuali schifezze...

e poi fai girare questo tool della symantec per la rimozione di gromozon, se è rimasto qualcosa lo trovi :D
-> http://smallbiz.symantec.com/security_response/writeup.jsp?docid=2006-092316-4153-99



in modalità provvisoria vero?! ma ewido no era uno di quelli che NON lo rilevava?!

in modalità provvisoria vero?! ma ewido no era uno di quelli che NON lo rilevava?!
Confermo che Ewido/Avg Antispyware NON lo rilleva (o almeno,con le definizioni di mercoledì scorso non lo rillevava).

devi installarti la patch per rimediare il bug sui WMF
hhahahUAUHAUHAHHAhahahah juninho85! ma che scrivi nel profilo! :rotfl:

"Utente flautolente, tienilo a mente?" ahhahaUHUUHhahhaaahah

:sofico:

P.S.: FLATULENZA (non flautolenza)
"Eccessiva produzione di gas nello stomaco e nell'intestino | Emissione di gas dal retto."

Alla fine sono stato infettato anche io da questo malware....visto che il tool di rimozione non i funzionava (non veniva avviato, io lo aprivo, ma non succedeva niente, il pc non caricava....) ho iniziato a vagare per i meandri del mio pc e cercare possibili soluzioni... dopo aver eliminato manualmente certe cose, visto che non sapevo più che fare mi sono detto: il programma non parte perchè il Sig. Gromozon lo riconosce come dannoso per se stesso, adesso lo rinomino e lo frego. :asd: ha funzionato :asd:

Alla fine sono stato infettato anche io da questo malware....visto che il tool di rimozione non i funzionava (non veniva avviato, io lo aprivo, ma non succedeva niente, il pc non caricava....) ho iniziato a vagare per i meandri del mio pc e cercare possibili soluzioni... dopo aver eliminato manualmente certe cose, visto che non sapevo più che fare mi sono detto: il programma non parte perchè il Sig. Gromozon lo riconosce come dannoso per se stesso, adesso lo rinomino e lo frego. :asd: ha funzionato :asd:
l'avevamo detto noi :O

Eliminato dal registro con virit non prima di aver dato le autorizzazioni alle chiavi incriminate.
I vari hjthis virit ecc non rilevano piu nulla , ma mi rimane sempre un EXE che non cancello ne in mod provv. ne da dos ne con i tool abilitati a farlo(tipo killbox ecc)
Volevo cmq avvisarvi (magari gia lo sapete) che in installazioni applicazioni, quello che prima si chiamava Linkoptimizer, in alcuni casi(nel mio caso ad esempio) si chiama Securityoptimizer e rimanda ad una pagina web. E' chiaro che non bisogna lanciare la disintallazione ma eliminare la riga con tool appositi
.

anche io l'ho eliminato grazie al tool di Eraser, ma l'unica cosa che non riesco a far sparire e' la cartella chiamata "xjfukxkzie" ecc. sotto "documents and settinng", ogni volta che la cancello ritorna all'avvio del PC :eek:
qualcuno ha una soluzione?
ciao

Prova ad andare su start--->esegui--> control userpasswords2

Dovresti vedere che c'è un utente che è stato creato con un nome random, cancellalo. poi vai su documents&settings e cancelli la cartella....

Prova ad andare su start--->esegui--> control userpasswords2

Dovresti vedere che c'è un utente che è stato creato con un nome random, cancellalo. poi vai su documents&settings e cancelli la cartella....

grazie 1000 sei un mito :sofico: ora l'unica cosa rimasta di questo virus e' la visualizzazione in Stumenti d'amministrazione Servizi del processo facente capo ancora a quel fottutissimo nome random...

ora l'unica cosa rimasta di questo virus e' la visualizzazione in Stumenti d'amministrazione Servizi del processo facente capo ancora a quel fottutissimo nome random...


Installa PSERV-2.3 lo lanci, vai sul servizio--- DELETE

ciao ragazzi,
non so se è la sezione giusta ma...
Io uso da parecchio tempo NOD32,con la consapevolezza che gli av non servono quasi a nulla...e infatti puntualmente mi sono preso questo bel gromerdzon...che però da quello che ho capito non è proprio un virus,ma...altro.

Ecco qualcuno gentilmente può dirmi quale progrmma mi serve per difendermi da tutti questi "altri",come MALWARE,TROJAN,SPYWARE.
L'ideale sarebbe avere un prog solo,ma se ciò è impossibile me ne vanno bene anche un paio...basta che riduco drasticamente le percentuali di "infettamento".

p.s. ieri stavo ho installato Ad-aware...e mi sono accorto che avevo nuovamente sto cavolo di virus;non so se è una coincidenza,oppure,dal momento che l'ho preso in rete,era corredato di gromerdzon

grazie! :)

leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1064733) e qui (http://www.hwupgrade.it/forum/showthread.php?t=1009825)

grazie juninho...il problema è che quello è un thread un po' troppo complicato,seppure interessante,per gente come me :/

Aiuto!

Vi spiego la mia situazione:mi sono beccato il gromozon (non riuscivo piu ad accedere a questo sito),alchè ho semplicemente preso il tool per la rimozione e l'ho lanciato.
Risultato...riuscivo nuovamente ad entrare qui.
Dopo un po' mi si è ripresentato il problema,con la variante che non riuscivo piu a lanciare il tool....ho risolto rinominando il tool.

Stamattina altra news:cpu al 100% a causa di services.exe,nuovo account creato in Document & Settings chiamato tNBxZuN e,non so quanto c'entri (non so nemmeno se c'erano gia prima) una marea di .exe + dialer.exe + hypertrm.exe nella cartella C/PROGRAMMI/WINDOS NT.

Aiutatemi non ce la faccio più,che devo fare?

p.s. se la soluzione piu semplice è il format ditemelo subito senza problemi

grazie

Aiuto!

Vi spiego la mia situazione:mi sono beccato il gromozon (non riuscivo piu ad accedere a questo sito),alchè ho semplicemente preso il tool per la rimozione e l'ho lanciato.
Risultato...riuscivo nuovamente ad entrare qui.
Dopo un po' mi si è ripresentato il problema,con la variante che non riuscivo piu a lanciare il tool....ho risolto rinominando il tool.

Stamattina altra news:cpu al 100% a causa di services.exe,nuovo account creato in Document & Settings chiamato tNBxZuN e,non so quanto c'entri (non so nemmeno se c'erano gia prima) una marea di .exe + dialer.exe + hypertrm.exe nella cartella C/PROGRAMMI/WINDOS NT.

Aiutatemi non ce la faccio più,che devo fare?

p.s. se la soluzione piu semplice è il format ditemelo subito senza problemi

grazie


Se segui le guide per l'eliminazione del "Gromozon " passo a passo vedi che riesci senza formattare .
cancella l'account con nome casuale che ti si e' formato
Cancella il servizio associato
Cancella gli eseguibili collegati (es com5.exe) ecc , di solito hanno dei nomi riservati, ma troverai piu spiegazioni se ti rileggi questa discussione .
Vedi se hai una chiave di registro come questa "{DA39029C-D291-A968-3FF4-D0990D5CB5FC}"
e' protetta , quindi devi concedere le autorizzazioni necessarie per poterla eliminare
Non cercare di eliminare da installazione applicazioni la riga Linkoptimizer (nella variante che ho preso io si chiamava securityoptimizer) perche se ci provi, ti apre una pagina web col virus .
Cancella la riga con tool appositi.
scarica gli ultimi agg. di virit , ed i vari tool per togliere il Gromozon .

Segui alla lettere le guide anti gromozon e vedrei che riesci a toglierlo.
Formattare serve a poco, se rivisiti certi siti e sono parecchi) ti reinfetta .

SCARICA FIREFOX , INSTALLALO

Ciao marco,
grazie per avermi risposto innanzitutto..
Dunque la faccenda è un po' strana:tanto per cominciare mi hai parlato di guida,e non sei stato l'unico...ma io nella prima pagina leggo solo questo http://www.prevx.com/gromozon.asp che altro non è che il tool giusto?Credo che non sia quella la guida..

Comunque ho reinstallato prevx1 (al primo "infettamento" lo installai e poi lo tolsi) ed ora non ho più il problema della cpu al 100% per services.exe.
Però?
- Però è rimasta la cartella dell'account (non mi ricordo come si eliminano gli account).

- Il programma mi ha fatto un paio di avvertimenti,e ora nella console ho questa voce: http://img268.imageshack.us/img268/1945/pag1sx3.jpg

- Nella cartella C/PROGRAMMI/WINDOWS NT è rimasta tutta sta roba che non so cosa sia http://img268.imageshack.us/img268/5941/pag2rp7.jpg

Sono veramente abbattuto :(

Tra l'altro
"Cancella il servizio associato
Cancella gli eseguibili collegati (es com5.exe) ecc , di solito hanno dei nomi riservati, ma troverai piu spiegazioni se ti rileggi questa discussione .
Vedi se hai una chiave di registro come questa "{DA39029C-D291-A968-3FF4-D0990D5CB5FC}"
e' protetta , quindi devi concedere le autorizzazioni necessarie per poterla eliminare"

Non è che puoi essere un po piu preciso...ad esempio come faccio a sapere quali sono gli ESEGUIBILI COLLEGATI!?

p.s. Io su INSTALLAZIONE APPLICAZIONI non ho nessuna voce Linkoptimizer

Che macello :(

Grazie

Ma virit te lo trova?
hai messo firefox 2.0?

prova qui (www.viritpro.info/articoli/rootkit_d-e.htm)

Ragazzi volevo domandare una cosa...ma se uno si becca questo rootkit e poi da pannelo di controllo tenta di disinstallarlo (a me era una cosa tipo MetaKnight) si becca un virus semplice o qualcos'altro?
Perchè senza sepere nulla la prima cosa che feci quando mi sono accorto di avere un'infezione andai a fare proprio questo...successivamente una scansione prima con avg antispyware e poi con active scan di Panda mi hanno rilevato un paio di virus che mi hanno poi eliminato...

Ammetto che non ci sto capendo più nulla..

Firefox non capisco che c'entra :confused:
Ma non è un browser?

Comunque ho lanciato in modalità provvisoria il tool della Symantec (FixLinkopt.exe) il quale PARE (sgrat) avermi levato un po' tutta la merda.

Questo è il log:

service: WinPls (logon as: .\tNBxZuN, passed filters)
service: WinPls (file path: C:\Programmi\Windows NT\Jpq.exe - infected)
file: C:\Programmi\Windows NT\Jpq.exe (deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\WinPls\Security (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\WinPls\Enum (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\WinPls (key deleted)
reg: ...\SpecialAccounts\UserList\tNBxZuN (value deleted)
folder: \\?\C:\Documents and Settings\tNBxZuN (deleted)
user: tNBxZuN (deleted)

Ho detto un po' perchè le uniche cose rimaste sono quei maledetti files .exe nella cartella Windows Nt.
Ho provato a cancellarli a mano...due non vogliono proprio crepare.
Come faccio?

Arigrazie :D

Certo Firefox e' un browser
Infatti Gromozon entra proprio da una falla di EXplorer (scarica la patch se non vuoi installare firefox)

Per togliere i files che ci sono , ma non vengono riconosciuti dal sistema , devi fare in questo modo
Vai nel prompt del dos
Ti porti sulla cartella contenete i files incriminati (acc gia qui bisognerebbe conoscere i comandi Cd del dos ) ammettiamo che tu lo sappia fare, devi dare un "del nomefile.exe "
Se non si cancella prova dalla mod provvisoria , sempre dal prompt
Se proprio non va , installa "GMER" e cancella i files con quello

Ti consiglio di rileggere tutta la discussione , questo per non ripetere le cose gia dette piu volte e per non appesantire ulteriormente la discussione

Io devo eliminare file criptati, o per lo meno decriptarli. Il rootkit sono stato IO in persona, non un software.
Ho trasferito 150 Giga dei miei due Hard Disk in quello di un mio amico.
Ora, dopo due mega-formattoni (con modifiche sulle partizioni) sono riuscito a ripristinare tutti i dati tranne quelli di una cartella: poco più di 12 Giga che sono condivisi (file di colore verde). Ho provato a decripatarli, ma il sistema trova una nuova chiave (ho cambiato scheda madre, processore, scheda video, RAM, lèttere delle unità...).
Posso fare qualcosa, o devo ricreare da zero i file?

Grazie mille Marco,
ho risolto con GMER :)

p.s. Ma ora che ho levato tutto e messo tutti gli aggiornamenti della protezione di XP,posso levarlo PREVX1,o senza di quello rischio di riprendermelo?Non lo posso vedè sto programma :(

grazie

Salve ragazzi, sono nuovo da queste parti, anche io sono di quelli che si sono presi gromozon.
E' da un po di giorni che seguo questo forum, e ho cercato di applicare tutti i vostri consigli per rimuoverlo definitivamente(visto che è la seconda volta che mi trovo alle prese con questo malware). :) devo dire che mi siete stati di aiuto.
Solo che mi era rimasto in istallazioni applicazioni due file "connection service" ed un'altro e poi in file comuni un paio di file in verde. Tant'è che ho deciso di formattare (ne aveva bisogno cmq il mio pc). Ora mi trovo in prossimità di istallare un antivirus e un firewall(prima avevo antivir) . Quale mi consigliate per non incappare più in questo malware, che mi ha fatto penare così tanto?? :)
grazie tante
P.S:Già da un po uso FireFox!! :) :)

non c'è firewall che protegga da link optimizer,devi solo assicurarti di avere il sistema operativo aggiornato

confermo,ma mi chiedo: per questi malware,troijan rootkit etcc,basterà sempre avere win aggiornato?

tnx

confermo,ma mi chiedo: per questi malware,troijan rootkit etcc,basterà sempre avere win aggiornato?

tnx

Il sistema aggiornato è fondamentale per tutti quei malware che riescono ad entrare automaticamente, sfruttando vulnerabilità nel sistema operativo, senza alcuna azione da parte dell'utente se non quella di navigare su un sito o di stare connesso a internet. Ovviamente nel periodo intercorrente fra la scoperta di una vulnerabilità e l'uscità della patch non c'è niente da fare, se non sperare nella protezione degli antivirus e/o firewall, a seconda del tipo di vulnerabilità.

Diverso è il caso delle azioni, diciamo rischiose, effettuate inconsapevolmente da un utente, come eseguire allegati infetti di email, o dare il consenso alla installazione di controlli activex da un sito web, eseguire file scaricati infetti, ecc.
La difesa da quest'ultimo tipo di minacce è compito degli antivirus.
E questa più o meno è la teoria.

confermo,ma mi chiedo: per questi malware,troijan rootkit etcc,basterà sempre avere win aggiornato?

tnx
non sempre,però aiuta:D

grazie ragazzi :)

dopo una mattinata infernale sono riuscito a togliere gromozon, è la seconda volta che mi capita di incontrarmi con questo simpaticone ma devo dire che questo ultimo incontro è stato ben peggiore. :muro:
Non so se è già stato detto (ho letto parte dei post ma non tutte le 28 pag) ma ora per eseguire i tool di prevx e symantec o gmer è necessario cambiare il nome al file eseguibile altrimenti non parte!!!

dopo una mattinata infernale sono riuscito a togliere gromozon, è la seconda volta che mi capita di incontrarmi con questo simpaticone ma devo dire che questo ultimo incontro è stato ben peggiore. :muro:
Non so se è già stato detto (ho letto parte dei post ma non tutte le 28 pag) ma ora per eseguire i tool di prevx e symantec o gmer è necessario cambiare il nome al file eseguibile altrimenti non parte!!!
...è l'ultima simpatica variante :D

...è l'ultima simpatica variante :D

ieri ho avuto a che fare con rootkit.p,crea delle dll sul desktop...molti più file protetti in verde...con VIRIT ho risolto tutto....lanciando il bat interno che rinomina l'eseguibile...in questo mese più o meno a 40 pc ho rimosso sto CAZ de virus!!!!è frustante...tutti lo pigliano.... :muro:

rimosso sto CAZ de virus!!!!è frustante...tutti lo pigliano.... :muro:

dove si piglia? o meglio dove si deve navigare per prenderlo?

dove si piglia? o meglio dove si deve navigare per prenderlo?


non dipende dai siti....è un buco.....fare windows update può aiutare....ma con la versione P entra cmq....usare Firefox per sicurezza...

cioè quindi con il sistema aggiornatissimo,c'è il rischio che me lo riprendo???

non dipende dai siti....è un buco.....fare windows update può aiutare....ma con la versione P entra cmq....usare Firefox per sicurezza...

già fatto tutto da tempo ;) e infatti non me lo sono ancora preso :D
cmq pensavo che bastasse navigare in siti sicuri per non prenderlo.........come qualsiasi altro spyware,rootkit,malware,virus.............

cioè quindi con il sistema aggiornatissimo,c'è il rischio che me lo riprendo???
il rischio è molto minore

non dipende dai siti....è un buco.....fare windows update può aiutare....ma con la versione P entra cmq....usare Firefox per sicurezza...

Io da che ho formattato sto utilizzando Opera e devo dire che mi trovo bene, per ora di schifezze non ne sono entrate e lo uso ormai da 2 mesi, vediamo alla lunga cosa succede.

speriamo allora.. grazie juninho

Salve a tutti gente !

Spero mi possiate aiutare... ho provato ad installare autocad 2007, ma mi ha annullato l'installazione dandomi questo errore:

Install Flash Failed Failure is ignored, Result=1
Install AutoCAD 2007 Failed Installation aborted, Result=-1073741819
=== Installation ended ===

ho cercato in rete ed ho visto ke questo errore -1073741819 mi porta al problema di gnomozon...

ho installato prevx e mi dice ke non ha trovato il virus ... per sicurezza ho installato il prevx1 ... ma non si avvia mi dice "The local Prevx service doesn't respond" e si ferma qui... cose devo fare ? sarà il virus?


ho installato windows x64 con nod32 e outpost4.0 e possieso un router....

spero mi possiate aiutare.. è importante il pc mi serve per lavoro :muro:

Vi ringrazio di cuore!

Per MAGGOT

Installa VIRIT ed aggiornalo, fai una scansione e poi rifalla dalla mod provvisoria.
Scarica la patch per rimuovere il Gromozon della Norton .(fallo girare sempre in mod. provv.)
Se non parte rinomina .
Se entri in questo forum con lo stesso pc su cui pensi di avere il Gromozon, beh! probabilmente non ce l'hai.
Se vai indietro di una o due pagine , troverai spiegazioni piu dettagliate per eliminarlo .
nell'eventualita' tu non riesca a scaricare VIRIT perche' il Gromozon non ti fa aprire il sito, scaricalo da una fonte alternativa.

Qualcuno può dirmi per favore COME ci si becca il Gromozon? Vorrei fare un po' di "prevenzione mirata" per qualche utonto... :rolleyes:

Qualcuno può dirmi per favore COME ci si becca il Gromozon? Vorrei fare un po' di "prevenzione mirata" per qualche utonto... :rolleyes:
si becca semplicemente navigando nella rete,in quanto la falla è del sistema operativo,in questo caso IE o firefox se non si ha un sistema operativo aggiornato ti becchi il rootkit anche solo essendo collegato alla rete,qualcosa tipo sasser

si becca semplicemente navigando nella rete,in quanto la falla è del sistema operativo,in questo caso IE o firefox se non si ha un sistema operativo aggiornato ti becchi il rootkit anche solo essendo collegato alla rete,qualcosa tipo sasser


Per caso sapete indicarmi QUALE bollettino Microsoft parla di questo rookit e quale, di conseguenza, l'aggiornamento da fare? Facendo una ricerca all'interno del sito Microsoft non si trova niente ne' "come Gromozon", ne' come "LinkOptimizer" :fagiano:
Grazie! :)

Per caso sapete indicarmi QUALE bollettino Microsoft parla di questo rookit e quale, di conseguenza, l'aggiornamento da fare? Facendo una ricerca all'interno del sito Microsoft non si trova niente ne' "come Gromozon", ne' come "LinkOptimizer" :fagiano:
Grazie! :)

http://www.pcalsicuro.com/gromozon.pdf

preso dalla concorrenza,giusto per aver chiaro cosa sono e come agiscono i rootkit.
Ormai è diventata quasi una moda parlare di rootkit, il tutto nasce da un articolo pubblicato alcuni mesi fa da Mark Russinovich, programmatore di Sysinternals, in cui riportava la notizia che RootkitRevealer avrebbe rilevato la presenza di un rootkit all'interno del software installato da un cd musicale Sony.

Cerchiamo di capire cosa è e come agisce un rootkit

Un rootkit è un programma vero e proprio, in grado di nascondersi e nascondere la propria attività: questo avviene attraverso lo sfruttamento e la falsificazione delle chiamate API, infatti sono queste funzioni che permettono il dialogo fra il sistema operativo ed i programmi in esso installati.
Le funzioni API hanno il compito di far pervenire le informazioni sui dati presenti nell'hard disk alle applicazioni installate, un rootkit è in grado di intercettare queste chiamate, modificare ed occultare la propria presenza agendo su un livello bassissimo del sistema operativo ed eliminando ogni informazione su se stesso dalle API, è in grado di insediarsi molto profondamente nel sistema operativo, tra il livello user ed il livello kernel(il cuore del sistema operativo), in tal modo i comandi dell'utente verranno intercettati dal rootkit prima che questi arrivino al kernel e permettendo allo stesso di falsificare i risultati nascondendo quindi la propria attività e i propri files e cartelle.

Inoltre teniamo presente che un rootkit è anche in grado di modificare il kernel, nascondere processi e cartelle, porte di sistema, chiavi del registro, servizi e perfino profili di utenti. La minaccia più grave che un rootkit può portare alla sicurezza di un sistema è quella causata dai rootkit LKM (Loadable Kernel Module) è un meccanismo comodo e veloce per aggiungere nuove funzionalità al kernel del sistema operativo, i rootkit LKM non rimpiazzano gli eseguibili di sistema, ma ne alterano il funzionamento attraverso il kernel.

In sostanza possiamo affermare che un rootkit è composto da due elementi : il payload, ovvero un evento qualunque in grado di eseguire il codice(che può essere una vulnerabilità di sicurezza del sistema o un allegato di posta elettronica contenente il codice maligno), l'altro elemento è il vero e proprio rootkit, ovvero una routine che si aggancia al kernel oppure un driver in modalità kernel, che tenta di nascondere la propria presenza.

Come possiamo facilmente capire da queste poche righe, esposte anche in maniera molto superficiale, stiamo parlano di qualcosa di estremamente evoluto e sofisticato, che opera ad un livello molto basso nel sistema operativo e difficilmente intercettabile, quello che in passato era prerogativa dei sistemi di difesa, ora è usato anche da applicazioni maligne. Questa evoluzione porta inevitabilmente ad una diffusione esponenziale di malware che difficilmente possiamo rimuovere.

In uno studio presentato dagli esperti di Kaspersky viene analizzato l'andamento e l'evoluzione del fenomeno rootkit nei primi tre mesi del 2006, dal loro rapporto emerge come il fenomeno che più impensierisce gli esperti di sicurezza informatica sia rappresentato dalle nuove forme di rootkit: boot rootkit, bios backdoor e vmware rootkit, e sempre secondo lo studio, nell'ultimo triennio l'uso di rootkit è aumentato più del 600%.

Credo che quanto esposto sia già abbastanza per poter preoccupare chiunque, ma cerchiamo anche di non "demonizzare" il problema, di non farci travolgere dallo stesso e il solo fatto di essere consapevoli che esista è già una grande conquista, ora però sorge spontanea una domanda : che dobbiamo fare?

E' molto semplice, intanto cerchiamo di tenere sempre il nostro sistema operativo aggiornato e patchtato, pertanto si sconsiglia l’utilizzo di software non legale, e dotiamo il nostro sistema di un buon antivirus e un buon firewall, inoltre sono da seguire le basilari regole della corretta navigazione, in tutta la rete troviamo piccole guide e consigli in merito, approffondiremo più avanti questo argomento, intanto possiamo giungere ad una conclusione, forse frettolosa o semplicistica ma che può farci riflettere sull’argomento.

Un rootkit è una minaccia, abbiamo visto un pò sommariamente come agisce, possiamo affermare anche che sfrutta falle nel sistema operativo e la superficialità nell’uso del pc, non me ne vogliano gli utenti poco esperti, ma purtroppo ora è una realtà, l’evoluzione delle applicazioni maligne è stato notevole, mentre quello degli utenti invece è ancora abbastanza basso, le tecniche di difesa sono molte, ma cosa succederebbe se eliminiamo le falle nel sistema ed utilizziamo il pc in maniera più attenta?

Io sono certa che solo con questi piccoli accorgimenti dimezzeremo il pericolo, se poi affianchiamo anche una adeguata configurazione della policy e della trusted area tramite un firewall certamente navigheremo in maniera più sicura e tranquilla

esiste un aggiornamento specifico, per Windows Xp, anti-gromozon?

Quanto hai detto può essere giusto, ma prova un po' a dire a delle persone di medio-bassa cultura informatica che devono configurare le policy e installare un firewall. Il problema è uno solo e te lo dico io, per togliersi dalle scatore tante rotture su virus e trojan basterebbe che chi fornisce il servizio di connessione invece di bloccare Emule mettesse dei filtri adeguati contro il dilagare di queste minacce, non basta solo il windows patchato ne tentomeno un antivirus e un firewall e un antispy. Matematicamente si sarà sempre soggetti a queste minacce punto e basta.

PS: Ecco l'elenco di alcune piccole vulnerabilità

• La vulnerabilità in Microsoft Internet Explorer Modal Dialog Zone (come descritta in Microsoft Security Bulletin MS04-025)
• La vulnerabilità in Microsoft Java Virtual Machine Bytecode Verifier (come descritta inMicrosoft Security Bulletin MS03-011).
• La vulnerabilità Buffer Overflow in Microsoft Windows Media Player Plugin (come descritta in Microsoft Security Bulletin MS06-006).
• Una Remote Code Execution in Microsoft WMF (come descritta in Microsoft Security Bulletin MS06-001).
• Una Remote Code Execution in Microsoft Internet Explorer CreateTextRange (come descritta inMicrosoft Security Bulletin MS06-013).

Ah per chi avesse una qualunque Java Machine installata, la rimuova subito e installi quella più aggiornata, è importantissimo.
Per i sistemi con windows 98 e ME purtroppo non c’è una patch per Explorer ..

ragazzi ma il nostro eraser è andato in TV a parlare di Gromozon,
è appena andato in onda su Neapolis rai3... eri tu eraser?

ragazzi ma il nostro eraser è andato in TV a parlare di Gromozon,
è appena andato in onda su Neapolis rai3... eri tu eraser?
si si era proprio eraser :D

Mi sa di sì.... Bravo Eraser !!! ;)

ragazzi ma il nostro eraser è andato in TV a parlare di Gromozon,
è appena andato in onda su Neapolis rai3... eri tu eraser?
qualcuno ha registrato?:D

Ragazzi ho sto file nella radice di c: _cleaned.tmp che non riesco arimuovere.
Da quello che ho letto dovrbebe esser un pezzo di gromozon..che con il tool sono riuscito a rimuovere. Fra l'altro il tool non mi aveva rimosso ils ervizio che in automatico ad ogni avvio mi creava l'utente farlocco, ho dovuto usare altro software.

qualcuno ha registrato?:D
http://www.hwupgrade.it/forum/showthread.php?t=1338272

http://www.hwupgrade.it/forum/showthread.php?t=1338272
grazie ;)

eraser in TV sul caso GROMOZON:

http://www.pcalsicuro.com/main/2006/11/neapolis-sul-caso-gromozon/ :read:



;)

Ciao ragazzi, ho pensato bene di scrivere una mini guida sulla rimozione manuale del servizio da usare nel caso in cui i vari tool non vadano:
1) start - esegui - services.msc
2) Ordinare i servizi per tipo di connessione ed individuare il servizio sospetto
3) annotatevi sul blocco note o altro l'utente creato ed il nome del servizio che andremo a togliere manualmente
4) start - esegui - regedit - F3 - selezionate chiavi valori e dati, cercate l'utente e cancellatelo premendo CANC o Modifica\Elimina
5) start - esegui - regedit - F3 - selezionate chiavi valori e dati, cercate il servizio e cancellatelo premendo CANC o Modifica\Elimina

Capita che il servizio o nome utente non lo fà cancellare a causa di autorizzazioni create appositamente dal rootkit, per ovviare al problema:
1) Cliccate con il secondo tasto del mouse sulla chiave di registro incriminata poi su autorizzazioni
2) Cliccate su Administrator e/o sull'utente che utilizzate sempre, e sotto nelle autorizzazioni cliccate su Controllo completo
3) Rimanendo sulla scheda autorizzazioni cliccate su avanzate, nella scheda avanzate selezionate Administrator e/o l'utente che utilizzate sempre e mettete il segno di spunta su "sostituisci proprietario in sottocontenitori ed oggetti"
4) Date applica, ok e cancellate tranquillamente ;)

Il rootkit crea anche delle sottocartelle di registro ad ogni servizio legato, percui dovete seguire questa procedura per accedere ed eliminare le chiavi/cartelle incriminate.

La procedura funziona anche sui file compressi segnati in verde che trovate su file comuni.

Testato su Windows Xp Professional

Mettere in rilievo in prima pagina se possibile, grazie ;)

Ma non è servito a nessuno? :confused:

Complimenti a eraser comunque ;)

io invece avevo un problema... il processo service32.exe e un file iexplorre32.dll che avg mi segnava come virus :mbe: ... non sono riuscito a rimuoverlo ne con gmer ( che non ha trovato nulla ) ne con spybot.... allora ho passato il pc con spyware terminator :read: e mi ha riconosciuto il processo service32.exe come sw sconosciuto... io avendo letto il forum ( anzi il MITICO forum :ave: ) l'ho eliminato dalla apposita finestra del programma ( bottone rimuovi software ) e ... bingo!!! :cincin: :hic: pc ok con problemi di connessione e riconoscimento di virus risolti.... che dite.. poteva essere Gromozon??? ps: per sicurezza ho controllato facendio un og con hijiackthis ed è tutto ok...

scusate non so una mazza ....ho letto nella prima pagina che si parla di rootkit di kaspersky ...allora che state facendo? state piallando kaspersky? quali sono gli effetti del kaspersky? e quali sono le versione affette da rootkit?

Salve...ho da poco scoperto che l'errore del plugin flash con Firefox era dovuto a questo simpaticone :muro:

Lo elimino ormai ogni giorno da 1 sett. con Prevx1 ed il tool Symnatec eppure continuo a riprenderlo navigando rigorosamente con Firefox 2.0 su siti che reputo attendibili :rolleyes:

Fortunatamente (o sfortunatamente visto che non me ne ha fatto accorgere prima) sembra una variante soft nel senso che non mi ha mai impedito di visitare nessun sito nè di avviare i tool di rimozione....con una simpatica dll di nome stoqa.dll!!! :eek:
La questione è che sta lì e sembra non esserci verso di farlo sloggiare! :rolleyes:

Ora, posto che probabilmente formatterò perchè non mi fido più dei tool di rimozione (ad es mi si crea a prescindere un account in maniera sistematica, anche cancellandolo dall'altro sistema operativo, ogni volta che avvio il pc), cosa fare per non "impastare" anche il sistema operativo fresco di installazione? Da sottolineare che non amo gli antivirus e credevo di potermi fidare del firewall hardware del router...

Salve...ho da poco scoperto che l'errore del plugin flash con Firefox era dovuto a questo simpaticone :muro:

Lo elimino ormai ogni giorno da 1 sett. con Prevx1 ed il tool Symnatec eppure continuo a riprenderlo navigando rigorosamente con Firefox 2.0 su siti che reputo attendibili :rolleyes:

Fortunatamente (o sfortunatamente visto che non me ne ha fatto accorgere prima) sembra una variante soft nel senso che non mi ha mai impedito di visitare nessun sito nè di avviare i tool di rimozione....con una simpatica dll di nome stoqa.dll!!! :eek:
La questione è che sta lì e sembra non esserci verso di farlo sloggiare! :rolleyes:

Ora, posto che probabilmente formatterò perchè non mi fido più dei tool di rimozione (ad es mi si crea a prescindere un account in maniera sistematica, anche cancellandolo dall'altro sistema operativo, ogni volta che avvio il pc), cosa fare per non "impastare" anche il sistema operativo fresco di installazione? Da sottolineare che non amo gli antivirus e credevo di potermi fidare del firewall hardware del router...

Se vuoi rimuoverlo in maniera manuale posta due log di gmer, magari in un nuovo thread, così vediamo cos'è.. le istruzioni sono queste:

Scaricare gmer (www.gmer.net) e fare due scansioni: rootkit e autostart, copiare i risultati (gmer ha direttamente il pulsante copy) e incollarli in un messaggio qua sul forum. Assicurarsi che in entrambe le scansioni NON sia selezionata l'opzione show all e lasciare tutte le altre opzioni così come sono. Infine, durante la scansione rootkit non utilizzare il pc e chiudere tutte le applicazioni aperte.

...Da sottolineare che non amo gli antivirus e credevo di potermi fidare del firewall hardware del router...

Credo che tu non abbia alternative se non vuoi avere troppi problemi:

devi iniziare non dico ad amare ma ad accettare di avere un buon antivirus+antispyware ed il s.o. aggiornato x non avere troppi problemi.

Il firewall hardware senz'altro aiuta, ma da solo non basta.

ciao

Se vuoi rimuoverlo in maniera manuale posta due log di gmer, magari in un nuovo thread, così vediamo cos'è.. le istruzioni sono queste:

Scaricare gmer (www.gmer.net) e fare due scansioni: rootkit e autostart, copiare i risultati (gmer ha direttamente il pulsante copy) e incollarli in un messaggio qua sul forum. Assicurarsi che in entrambe le scansioni NON sia selezionata l'opzione show all e lasciare tutte le altre opzioni così come sono. Infine, durante la scansione rootkit non utilizzare il pc e chiudere tutte le applicazioni aperte.


Ho preferito aprire un nuovo thred vista la lunghezza dei log...se vuoi dare un occhio ti ringrazio: http://www.hwupgrade.it/forum/showthread.php?p=14908210#post14908210


Credo che tu non abbia alternative se non vuoi avere troppi problemi:

devi iniziare non dico ad amare ma ad accettare di avere un buon antivirus+antispyware ed il s.o. aggiornato x non avere troppi problemi.

Il firewall hardware senz'altro aiuta, ma da solo non basta.

ciao

E' che navigo da 6-7 anni e non ho mai usato antivirus....ho beccato solo Blaster all'epoca e questo rognosetto di LinkOptimizer!

Certo aggiornamenti, firewall prima software e poi hardware, antispyware ma un programmone come un antivirus in esec. automatica no!


Vabbè già so...da domani virus a gogo! :D :ops:

scusate non so una mazza ....ho letto nella prima pagina che si parla di rootkit di kaspersky ...allora che state facendo? state piallando kaspersky? quali sono gli effetti del kaspersky? e quali sono le versione affette da rootkit?


Il rootkit di kaspersky??? Ma che stai a dì? :muro: :muro: :muro:

Senza offesa, ma come sei riuscito a capire sta cosa dalle prima pagina del topic? hai letto 4 parole sparse qua e là, hai visto un "kaspersky", un "rootkit" e hai fatto 2+2? boh... certo che se ognuno facesse così, addio efficienza del forum! sai quanti post stupidi come questo uscirebbero fuori!

Nessuno nasce imparato, per carità, però prima di postare è bene far funzionare il cervello...

Byez!

salve...sono nuovo e avrei bisogno di un pò di aiuto...e spero che qualcuno riesca veramente ad aiutarmi, ho il cpu praticamente bloccato, qualche strano virus mi ha disinstallato la scheda audio, le connessioni di rete LAN, nn moi funziona più la funzione copia e incolla, ho provato una serie di programmi antivirus, spywere ecc, qualcosa è venuto fuori ma nn basta! ma ancora i probòlemi ci sono, sapreste darmi qualche informazione su dove magari andare a cercare il virus?? ho qualche altro programma da usare...spero che qualcuno abbia una soluzione...senza dover formattare il cpu chiaramente!
grazie mille!

Prova a leggere qui
http://www.hwupgrade.it/forum/showthread.php?t=1142673

;)

Ottimo lavoro.
Complimenti.

Salve a tutti, ho un utente MOLTO sospetto di nome in una cartella nascosta:

tunMLUxFrpMTsSnE

però il rootkit remover apposito della PrevX dice che non ho nessun rootkit.

Allora faccio, come suggerito qualche post sopra, qualche scan con Gmer:

Pagina Rootkit:
GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2006-12-11 11:38:17
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwClose
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey
SSDT kl1.sys ZwOpenFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwResumeThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSaveKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetContextThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetSecurityObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSuspendThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwTerminateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwUnloadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwWriteVirtualMemory
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[284]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[285]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[286]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[287]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[288]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[289]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[290]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[291]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[292]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[293]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[294]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[295]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[296]

Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.12 ----

.text ntoskrnl.exe!KiDispatchInterrupt + BA 804DB92E 7 Bytes JMP F6665D70 \??\C:\WINDOWS\system32\drivers\klif.sys
.text ntoskrnl.exe!IoIsOperationSynchronous 804E8752 5 Bytes JMP F6663000 \??\C:\WINDOWS\system32\drivers\klif.sys
.text ntoskrnl.exe!FsRtlCheckLockForReadAccess 804FC0F1 5 Bytes JMP F6662B70 \??\C:\WINDOWS\system32\drivers\klif.sys
.text USBPORT.SYS!DllUnload F7CB97AE 5 Bytes JMP 81E30600

---- Devices - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 8236D1D8
Device \Driver\NetBT \Device\NetBT_Tcpip_{7857558E-057F-4EB2-B78B-89FB54214013} IRP_MJ_CREATE 81E7D990
Device \Driver\NetBT \Device\NetBT_Tcpip_{7857558E-057F-4EB2-B78B-89FB54214013} IRP_MJ_CLOSE 81E7D990
Device \Driver\NetBT \Device\NetBT_Tcpip_{7857558E-057F-4EB2-B78B-89FB54214013} IRP_MJ_DEVICE_CONTROL 81E7D990
Device \Driver\NetBT \Device\NetBT_Tcpip_{7857558E-057F-4EB2-B78B-89FB54214013} IRP_MJ_INTERNAL_DEVICE_CONTROL 81E7D990
Device \Driver\NetBT \Device\NetBT_Tcpip_{7857558E-057F-4EB2-B78B-89FB54214013} IRP_MJ_CLEANUP 81E7D990
Device \Driver\NetBT \Device\NetBT_Tcpip_{7857558E-057F-4EB2-B78B-89FB54214013} IRP_MJ_PNP 81E7D990
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_CREATE 820208E0
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_CLOSE 820208E0
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_INTERNAL_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_POWER 820208E0
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_SYSTEM_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_PNP 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_CREATE 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_CLOSE 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_INTERNAL_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_POWER 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_SYSTEM_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_PNP 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_CREATE 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_CLOSE 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_INTERNAL_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_POWER 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_SYSTEM_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_PNP 820208E0
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_CREATE 821DE990
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_CLOSE 821DE990
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_DEVICE_CONTROL 821DE990
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 821DE990
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_POWER 821DE990
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_SYSTEM_CONTROL 821DE990
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_PNP 821DE990
Device \Driver\00000057 \Device\00000056 IRP_MJ_POWER [F845ADB6] sptd.sys
Device \Driver\00000057 \Device\00000056 IRP_MJ_SYSTEM_CONTROL [F847073C] sptd.sys
Device \Driver\00000057 \Device\00000056 IRP_MJ_PNP [F846977E] sptd.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CREATE 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_READ 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_WRITE 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_FLUSH_BUFFERS 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_INTERNAL_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_SHUTDOWN 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CLEANUP 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_POWER 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_SYSTEM_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_PNP 823D91D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLOSE 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_READ 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_WRITE 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FLUSH_BUFFERS 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CONTROL 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_INTERNAL_DEVICE_CONTROL 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SHUTDOWN 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_POWER 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SYSTEM_CONTROL 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP 81E001D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_CREATE 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_READ 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_WRITE 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_FLUSH_BUFFERS 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_INTERNAL_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_SHUTDOWN 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_CLEANUP 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_POWER 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_SYSTEM_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_PNP 823D91D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLOSE 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_READ 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_WRITE 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FLUSH_BUFFERS 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CONTROL 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_INTERNAL_DEVICE_CONTROL 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SHUTDOWN 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_POWER 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SYSTEM_CONTROL 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_PNP 81E001D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLOSE 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_POWER 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SYSTEM_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_PNP 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_CREATE 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_CLOSE 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_POWER 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_SYSTEM_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_PNP 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLOSE 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_POWER 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SYSTEM_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_PNP 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_CREATE 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_CLOSE 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_INTERNAL_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_POWER 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_SYSTEM_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_PNP 8236E1D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_CREATE 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_READ 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_WRITE 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_FLUSH_BUFFERS 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_INTERNAL_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_SHUTDOWN 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_CLEANUP 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_POWER 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_SYSTEM_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_PNP 823D91D8
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CREATE 81E7D990
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CLOSE 81E7D990
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_DEVICE_CONTROL 81E7D990
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_INTERNAL_DEVICE_CONTROL 81E7D990
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CLEANUP 81E7D990
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_PNP 81E7D990
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CREATE 81E7D990
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CLOSE 81E7D990
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_DEVICE_CONTROL 81E7D990
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_INTERNAL_DEVICE_CONTROL 81E7D990
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CLEANUP 81E7D990
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_PNP 81E7D990
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_CREATE 820208E0
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_CLOSE 820208E0
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_INTERNAL_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_POWER 820208E0
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_SYSTEM_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_PNP 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_CREATE 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_CLOSE 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_INTERNAL_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_POWER 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_SYSTEM_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_PNP 820208E0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_NAMED_PIPE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLOSE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_READ 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_WRITE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_EA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_EA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FLUSH_BUFFERS 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_VOLUME_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_VOLUME_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DIRECTORY_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FILE_SYSTEM_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_INTERNAL_DEVICE_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SHUTDOWN 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_LOCK_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLEANUP 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_MAILSLOT 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_SECURITY 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_SECURITY 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_POWER 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SYSTEM_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CHANGE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_QUOTA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_QUOTA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_PNP 81EFD700
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_CREATE 820208E0
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_CLOSE 820208E0
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_INTERNAL_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_POWER 820208E0
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_SYSTEM_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_PNP 820208E0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_NAMED_PIPE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLOSE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_READ 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_WRITE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_EA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_EA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FLUSH_BUFFERS 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_VOLUME_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_VOLUME_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DIRECTORY_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FILE_SYSTEM_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_INTERNAL_DEVICE_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SHUTDOWN 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_LOCK_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLEANUP 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_MAILSLOT 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_SECURITY 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_SECURITY 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_POWER 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SYSTEM_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CHANGE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_QUOTA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_QUOTA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_PNP 81EFD700
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_CREATE 821DE990
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_CLOSE 821DE990
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_DEVICE_CONTROL 821DE990
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 821DE990
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_POWER 821DE990
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_SYSTEM_CONTROL 821DE990
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_PNP 821DE990
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CREATE 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_READ 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_WRITE 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_FLUSH_BUFFERS 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_INTERNAL_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_SHUTDOWN 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CLEANUP 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_POWER 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_SYSTEM_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_PNP 823D91D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_CREATE 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_CLOSE 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_DEVICE_CONTROL 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_POWER 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_SYSTEM_CONTROL 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_PNP 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_CREATE 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_CLOSE 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_DEVICE_CONTROL 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_INTERNAL_DEVICE_CONTROL 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_POWER 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_SYSTEM_CONTROL 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_PNP 81DD71D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CREATE 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLOSE 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_READ 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_INFORMATION 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SET_INFORMATION 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_VOLUME_INFORMATION 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DIRECTORY_CONTROL 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_FILE_SYSTEM_CONTROL 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DEVICE_CONTROL 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SHUTDOWN 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_LOCK_CONTROL 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLEANUP 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_PNP 81FC4990

---- Threads - GMER 1.0.12 ----

Thread 4:180 821C5A20
Thread 4:184 821A5C60
Thread 4:188 821A5C60
Thread 4:468 821C5A20
Thread 4:648 821C5A20

---- Registry - GMER 1.0.12 ----

Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x7A 0x45 0x05 0xFD ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xDF 0x20 0x58 0x62 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0x31 0x77 0xE1 0xBA ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0xAA 0x52 0xC6 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0xB1 0xCD 0x45 0x5A ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x05 0x73 0x21 0xDD ...

---- Files - GMER 1.0.12 ----

ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\Inbox\401c6ab403edaef.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\Inbox\401c6ab403edaef.tif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\Inbox\401c6ab41294a0a.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\Inbox\401c6ab41294a0a.tif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\Inbox\401c6e25503d005.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\Inbox\401c6e25503d005.tif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-854245398-1563985344-839522115-1003$201c657c9b2bde4.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-854245398-1563985344-839522115-1003$201c657c9b2bde4.tif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-854245398-1563985344-839522115-1003$201c664aeef08db.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-854245398-1563985344-839522115-1003$201c664aeef08db.tif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-854245398-1563985344-839522115-1003$201c69c7f007e13.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS ...
ADS C:\Documents and Settings\_\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\trap\SharingMetadata\eee\DFSR\Staging\CS{17BD7456-98B8-2877-752A-D1E3E10F8445}\01\11-{17BD7456-98B8-2877-752A-D1E3E10F8445}-v1-{3B40F146-BF5E-42D3-B89B-7E1D739AE5F7}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS

---- EOF - GMER 1.0.12 ----


Pagina Autostart:
GMER 1.0.12.12011 - http://www.gmer.net
Autostart scan 2006-12-11 11:38:42
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ >>>
klogon@DLLName = C:\WINDOWS\system32\klogon.dll
Sebring@DLLName = C:\WINDOWS\system32\LgNotify.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AVP /*Active Virus Shield*/@ = "C:\Programmi\AOL\Active Virus Shield\avp.exe" -r
ccadmin /*Client Connector Administrator*/@ = C:\Programmi\Dell\OpenManage\OMCC\iws\bin\win32\omaws32.exe "OMACS_KEY_OMA=SOFTWARE\Dell Computer Corporation\Dell OpenManage OMCC\Dell OMA"
Fax /*Fax*/@ = %systemroot%\system32\fxssvc.exe
NetBhb /*NetBhb*/@ = "C:\Programmi\File comuni\System\dOJ.exe" /*file not found*/
NICCONFIGSVC /*NICCONFIGSVC*/@ = C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
NVSvc /*NVIDIA Display Driver Service*/@ = %SystemRoot%\system32\nvsvc32.exe
omccomsad /*OMCC OM Common Services*/@ = C:\Programmi\Dell\OpenManage\OMCC\oma\bin\omsad32.exe
RegSrvc /*RegSrvc*/@ = C:\WINDOWS\system32\RegSrvc.exe
S24EventMonitor /*Spectrum24 Event Monitor*/@ = C:\WINDOWS\system32\S24EvMon.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
StarWindService /*StarWind iSCSI Service*/@ = C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@ShowLOMControl1 /*file not found*/ = 1 /*file not found*/
@aol"C:\Programmi\AOL\Active Virus Shield\avp.exe" = "C:\Programmi\AOL\Active Virus Shield\avp.exe"
@ /*file not found*/ = /*file not found*/
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
@Dell QuickSetC:\Programmi\Dell\QuickSet\Quickset.exe = C:\Programmi\Dell\QuickSet\Quickset.exe
@nwiznwiz.exe /install = nwiz.exe /install
@DAEMON Tools"C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033 = "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
@SunJavaUpdateSched"C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe" = "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@PRONoMgr.exeC:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe = C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
@ZCfgSvc.exeC:\WINDOWS\system32\ZCfgSvc.exe = C:\WINDOWS\system32\ZCfgSvc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31} /*Cartella compressa*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{32020A01-506E-484D-A2A8-BE3CF17601C3} /*AlcoholShellEx*/C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll = C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{51EEE242-AD87-11d3-9C1E-0090278BBD99} /*Vim Shell Extension*/C:\Programmi\Vim\vim63\gvimext.dll = C:\Programmi\Vim\vim63\gvimext.dll
@(null) =
@{6af09ec9-b429-11d4-a1fb-0090960218cb} /*My Bluetooth Places*/C:\WINDOWS\system32\btneighborhood.dll = C:\WINDOWS\system32\btneighborhood.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll = C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll
@{52B87208-9CCF-42C9-B88E-069281105805} /*Trojan Remover Shell Extension*/(null) =
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} /*OpenOffice.org Column Handler*/"C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll" = "C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll"
@{087B3AE3-E237-4467-B8DB-5A38AB959AC9} /*OpenOffice.org Infotip Handler*/"C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll" = "C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll"
@{63542C48-9552-494A-84F7-73AA6A7C99C1} /*OpenOffice.org Property Sheet Handler*/"C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll" = "C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll"
@{3B092F0C-7696-40E3-A80F-68D74DA84210} /*OpenOffice.org Thumbnail Viewer*/"C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll" = "C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll"

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
gvim@{51EEE242-AD87-11d3-9C1E-0090278BBD99} = C:\Programmi\Vim\vim63\gvimext.dll
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = C:\Programmi\AOL\Active Virus Shield\shellex.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = C:\Programmi\AOL\Active Virus Shield\shellex.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{528D3486-6700-1244-9C48-859F32EC50D4}C:\WINDOWS\kudgu1.dll /*file not found*/ = C:\WINDOWS\kudgu1.dll /*file not found*/
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll = C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pagehttp://www.tgsoft.it/ = http://www.tgsoft.it/

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-help@CLSID = C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll
widimg@CLSID = C:\WINDOWS\system32\btxppanel.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7857558E-057F-4EB2-B78B-89FB54214013} /*Connessione alla rete locale (LAN)*/ >>>
@IPAddress192.168.1.2 = 192.168.1.2
@NameServer192.168.1.1 = 192.168.1.1
@DefaultGateway192.168.1.1 = 192.168.1.1
@Domain =

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C39E4FCF-DD23-4189-A602-D084483E49D2} /*Bluetooth Network*/ >>>
@IPAddress192.168.10.1 = 192.168.10.1
@NameServer =
@DefaultGateway =
@Domain =

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004@LibraryPath = %SystemRoot%\system32\wshbth.dll

---- EOF - GMER 1.0.12 ----


qualcuno mi sa dire se ho un rootkit?

ciao a tutti... sto tentando di rimuovere gromozon da un pc... allora:

. ho usato il tool di eraser e mi dice di averlo rimosso
. da services.msc ho controllato i processi sospetti e ne ho terminati 3 con il comando da prompt "sc delete nomeprocesso"
. al riavvio 1 processo si è comunque riattivato...
. hijackthis non parte e mi sa che sto bastardo è ancora presente...

ora sto facendo girare il tool della symantec e vedo se trova qualcosa... il passo successivo sarà gmer...

devo fare altro o cmq sbaglio e/o dimentico qualcosa???

il thread è molto interessante anche se non mi è molto chiaro in quanto non c'è una procedura passo passo ben definita!!!

il thread è molto interessante anche se non mi è molto chiaro in quanto non c'è una procedura passo passo ben definita!!!
Già, forse perchè non è così semplice rimuoverlo.

Ciao, hai provato a rinominare l'eseguibile di hijackthis con un nome casuale ?
Il servizio che si riattiva vuoi dire nel senso che lo trovi come AVVIATO nei servizi ?

Ciao

il thread è molto interessante anche se non mi è molto chiaro in quanto non c'è una procedura passo passo ben definita!!!
ci sono 2 tool+una procedura manuale,con almeno una di queste soluzioni riesci a rimuovere il bastardo ;)

Ciao, hai provato a rinominare l'eseguibile di hijackthis con un nome casuale ?
Il servizio che si riattiva vuoi dire nel senso che lo trovi come AVVIATO nei servizi ?

Ciao

no è disattivato... vuol dire che me devo fottere che lo trovo in services o devo fare altro? e hijackthis non parte nemmeno rinominandolo

ci sono 2 tool+una procedura manuale,con almeno una di queste soluzioni riesci a rimuovere il bastardo ;)

i tool li ho provati entrambi e non rilevano più niente...

la procedura manuale è questa?

Ciao ragazzi, ho pensato bene di scrivere una mini guida sulla rimozione manuale del servizio da usare nel caso in cui i vari tool non vadano:
1) start - esegui - services.msc
2) Ordinare i servizi per tipo di connessione ed individuare il servizio sospetto
3) annotatevi sul blocco note o altro l'utente creato ed il nome del servizio che andremo a togliere manualmente
4) start - esegui - regedit - F3 - selezionate chiavi valori e dati, cercate l'utente e cancellatelo premendo CANC o Modifica\Elimina
5) start - esegui - regedit - F3 - selezionate chiavi valori e dati, cercate il servizio e cancellatelo premendo CANC o Modifica\Elimina

Capita che il servizio o nome utente non lo fà cancellare a causa di autorizzazioni create appositamente dal rootkit, per ovviare al problema:
1) Cliccate con il secondo tasto del mouse sulla chiave di registro incriminata poi su autorizzazioni
2) Cliccate su Administrator e/o sull'utente che utilizzate sempre, e sotto nelle autorizzazioni cliccate su Controllo completo
3) Rimanendo sulla scheda autorizzazioni cliccate su avanzate, nella scheda avanzate selezionate Administrator e/o l'utente che utilizzate sempre e mettete il segno di spunta su "sostituisci proprietario in sottocontenitori ed oggetti"
4) Date applica, ok e cancellate tranquillamente

Il rootkit crea anche delle sottocartelle di registro ad ogni servizio legato, percui dovete seguire questa procedura per accedere ed eliminare le chiavi/cartelle incriminate.

La procedura funziona anche sui file compressi segnati in verde che trovate su file comuni.

Testato su Windows Xp Professional

Mettere in rilievo in prima pagina se possibile, grazie

si ;)

nuovo aggiornamento: ho provato la procedura manuale cancellando le voci di registro con il nome utente strano... dopodichè ho cancellato anche la cartella del nome utente... eppure il problema con hijackthis si ripresenta... non si riesce ad avviarlo... ed idem per gmer... non riesco manco a decomprimere lo zip... mi si chiude winzip!!!! ora ho installato avg antispyware e quello invece funziona aggiornamento compreso!!! vedremo se rileva qualcosa!!! cmq altri suggerimenti??? sto figlio di xxx è ancora presente secondo voi?

c'è ancora...comunque prova a rinominare il file hijackthis.exe.
che antivirus utilizzi?hai provato prevx?

c'è ancora...comunque prova a rinominare il file hijackthis.exe.
che antivirus utilizzi?hai provato prevx?

l'ho rinominato!!! pippo è un nome troppo banale? :D eppure non funziona!!! per quanto riguarda l'antivirus per ora c'è symantec corporate ma non rileva un cacchio!!! prevx ora lo provo... ma prevx1 o prevx e basta??? sul sito trovo prevx1....

l'ho rinominato!!! pippo è un nome troppo banale? :D eppure non funziona!!! per quanto riguarda l'antivirus per ora c'è symantec corporate ma non rileva un cacchio!!! prevx ora lo provo... ma prevx1 o prevx e basta??? sul sito trovo prevx1....
prevx1...che diavolo di variante ti sei preso?:wtf:

prevx1...che diavolo di variante ti sei preso?:wtf:

boh... anch'io temo sia una nuova variante... adesso provo prevx1...

nessuno può dare un'occhiata qui sotto?

Salve a tutti, ho un utente MOLTO sospetto di nome in una cartella nascosta:

tunMLUxFrpMTsSnE

però il rootkit remover apposito della PrevX dice che non ho nessun rootkit.

Allora faccio, come suggerito qualche post sopra, qualche scan con Gmer:

Pagina Rootkit:
GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2006-12-11 11:38:17
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwClose
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey
SSDT kl1.sys ZwOpenFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwResumeThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSaveKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetContextThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetSecurityObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSuspendThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwTerminateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwUnloadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwWriteVirtualMemory
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[284]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[285]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[286]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[287]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[288]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[289]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[290]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[291]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[292]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[293]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[294]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[295]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[296]

Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.12 ----

.text ntoskrnl.exe!KiDispatchInterrupt + BA 804DB92E 7 Bytes JMP F6665D70 \??\C:\WINDOWS\system32\drivers\klif.sys
.text ntoskrnl.exe!IoIsOperationSynchronous 804E8752 5 Bytes JMP F6663000 \??\C:\WINDOWS\system32\drivers\klif.sys
.text ntoskrnl.exe!FsRtlCheckLockForReadAccess 804FC0F1 5 Bytes JMP F6662B70 \??\C:\WINDOWS\system32\drivers\klif.sys
.text USBPORT.SYS!DllUnload F7CB97AE 5 Bytes JMP 81E30600

---- Devices - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 8236D1D8
Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 8236D1D8
Device \Driver\NetBT \Device\NetBT_Tcpip_{7857558E-057F-4EB2-B78B-89FB54214013} IRP_MJ_CREATE 81E7D990
Device \Driver\NetBT \Device\NetBT_Tcpip_{7857558E-057F-4EB2-B78B-89FB54214013} IRP_MJ_CLOSE 81E7D990
Device \Driver\NetBT \Device\NetBT_Tcpip_{7857558E-057F-4EB2-B78B-89FB54214013} IRP_MJ_DEVICE_CONTROL 81E7D990
Device \Driver\NetBT \Device\NetBT_Tcpip_{7857558E-057F-4EB2-B78B-89FB54214013} IRP_MJ_INTERNAL_DEVICE_CONTROL 81E7D990
Device \Driver\NetBT \Device\NetBT_Tcpip_{7857558E-057F-4EB2-B78B-89FB54214013} IRP_MJ_CLEANUP 81E7D990
Device \Driver\NetBT \Device\NetBT_Tcpip_{7857558E-057F-4EB2-B78B-89FB54214013} IRP_MJ_PNP 81E7D990
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_CREATE 820208E0
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_CLOSE 820208E0
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_INTERNAL_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_POWER 820208E0
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_SYSTEM_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_PNP 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_CREATE 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_CLOSE 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_INTERNAL_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_POWER 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_SYSTEM_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_PNP 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_CREATE 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_CLOSE 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_INTERNAL_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_POWER 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_SYSTEM_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_PNP 820208E0
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_CREATE 821DE990
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_CLOSE 821DE990
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_DEVICE_CONTROL 821DE990
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 821DE990
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_POWER 821DE990
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_SYSTEM_CONTROL 821DE990
Device \Driver\usbehci \Device\USBPDO-3 IRP_MJ_PNP 821DE990
Device \Driver\00000057 \Device\00000056 IRP_MJ_POWER [F845ADB6] sptd.sys
Device \Driver\00000057 \Device\00000056 IRP_MJ_SYSTEM_CONTROL [F847073C] sptd.sys
Device \Driver\00000057 \Device\00000056 IRP_MJ_PNP [F846977E] sptd.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CREATE 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_READ 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_WRITE 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_FLUSH_BUFFERS 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_INTERNAL_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_SHUTDOWN 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CLEANUP 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_POWER 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_SYSTEM_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_PNP 823D91D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLOSE 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_READ 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_WRITE 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FLUSH_BUFFERS 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CONTROL 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_INTERNAL_DEVICE_CONTROL 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SHUTDOWN 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_POWER 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SYSTEM_CONTROL 81E001D8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP 81E001D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_CREATE 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_READ 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_WRITE 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_FLUSH_BUFFERS 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_INTERNAL_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_SHUTDOWN 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_CLEANUP 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_POWER 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_SYSTEM_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_PNP 823D91D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLOSE 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_READ 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_WRITE 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FLUSH_BUFFERS 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CONTROL 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_INTERNAL_DEVICE_CONTROL 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SHUTDOWN 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_POWER 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SYSTEM_CONTROL 81E001D8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_PNP 81E001D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLOSE 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_POWER 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SYSTEM_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_PNP 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_CREATE 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_CLOSE 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_POWER 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_SYSTEM_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_PNP 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLOSE 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_POWER 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SYSTEM_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_PNP 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_CREATE 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_CLOSE 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_INTERNAL_DEVICE_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_POWER 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_SYSTEM_CONTROL 8236E1D8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_PNP 8236E1D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_CREATE 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_READ 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_WRITE 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_FLUSH_BUFFERS 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_INTERNAL_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_SHUTDOWN 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_CLEANUP 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_POWER 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_SYSTEM_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\HarddiskVolume3 IRP_MJ_PNP 823D91D8
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CREATE 81E7D990
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CLOSE 81E7D990
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_DEVICE_CONTROL 81E7D990
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_INTERNAL_DEVICE_CONTROL 81E7D990
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CLEANUP 81E7D990
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_PNP 81E7D990
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CREATE 81E7D990
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CLOSE 81E7D990
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_DEVICE_CONTROL 81E7D990
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_INTERNAL_DEVICE_CONTROL 81E7D990
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CLEANUP 81E7D990
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_PNP 81E7D990
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_CREATE 820208E0
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_CLOSE 820208E0
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_INTERNAL_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_POWER 820208E0
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_SYSTEM_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-0 IRP_MJ_PNP 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_CREATE 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_CLOSE 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_INTERNAL_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_POWER 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_SYSTEM_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-1 IRP_MJ_PNP 820208E0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_NAMED_PIPE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLOSE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_READ 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_WRITE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_EA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_EA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FLUSH_BUFFERS 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_VOLUME_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_VOLUME_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DIRECTORY_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FILE_SYSTEM_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_INTERNAL_DEVICE_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SHUTDOWN 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_LOCK_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLEANUP 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_MAILSLOT 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_SECURITY 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_SECURITY 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_POWER 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SYSTEM_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CHANGE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_QUOTA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_QUOTA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_PNP 81EFD700
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_CREATE 820208E0
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_CLOSE 820208E0
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_INTERNAL_DEVICE_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_POWER 820208E0
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_SYSTEM_CONTROL 820208E0
Device \Driver\usbuhci \Device\USBFDO-2 IRP_MJ_PNP 820208E0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_NAMED_PIPE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLOSE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_READ 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_WRITE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_EA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_EA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FLUSH_BUFFERS 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_VOLUME_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_VOLUME_INFORMATION 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DIRECTORY_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FILE_SYSTEM_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_INTERNAL_DEVICE_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SHUTDOWN 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_LOCK_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLEANUP 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_MAILSLOT 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_SECURITY 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_SECURITY 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_POWER 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SYSTEM_CONTROL 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CHANGE 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_QUOTA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_QUOTA 81EFD700
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_PNP 81EFD700
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_CREATE 821DE990
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_CLOSE 821DE990
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_DEVICE_CONTROL 821DE990
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 821DE990
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_POWER 821DE990
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_SYSTEM_CONTROL 821DE990
Device \Driver\usbehci \Device\USBFDO-3 IRP_MJ_PNP 821DE990
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CREATE 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_READ 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_WRITE 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_FLUSH_BUFFERS 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_INTERNAL_DEVICE_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_SHUTDOWN 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CLEANUP 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_POWER 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_SYSTEM_CONTROL 823D91D8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_PNP 823D91D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_CREATE 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_CLOSE 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_DEVICE_CONTROL 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_POWER 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_SYSTEM_CONTROL 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1Port2Path0Target0Lun0 IRP_MJ_PNP 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_CREATE 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_CLOSE 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_DEVICE_CONTROL 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_INTERNAL_DEVICE_CONTROL 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_POWER 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_SYSTEM_CONTROL 81DD71D8
Device \Driver\a0mbhxnu \Device\Scsi\a0mbhxnu1 IRP_MJ_PNP 81DD71D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CREATE 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLOSE 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_READ 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_INFORMATION 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SET_INFORMATION 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_VOLUME_INFORMATION 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DIRECTORY_CONTROL 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_FILE_SYSTEM_CONTROL 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DEVICE_CONTROL 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SHUTDOWN 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_LOCK_CONTROL 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLEANUP 81FC4990
Device \FileSystem\Cdfs \Cdfs IRP_MJ_PNP 81FC4990

---- Threads - GMER 1.0.12 ----

Thread 4:180 821C5A20
Thread 4:184 821A5C60
Thread 4:188 821A5C60
Thread 4:468 821C5A20
Thread 4:648 821C5A20

---- Registry - GMER 1.0.12 ----

Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x7A 0x45 0x05 0xFD ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xDF 0x20 0x58 0x62 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0x31 0x77 0xE1 0xBA ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0xAA 0x52 0xC6 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0xB1 0xCD 0x45 0x5A ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x05 0x73 0x21 0xDD ...

---- Files - GMER 1.0.12 ----

ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\Inbox\401c6ab403edaef.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\Inbox\401c6ab403edaef.tif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\Inbox\401c6ab41294a0a.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\Inbox\401c6ab41294a0a.tif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\Inbox\401c6e25503d005.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\Inbox\401c6e25503d005.tif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-854245398-1563985344-839522115-1003$201c657c9b2bde4.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-854245398-1563985344-839522115-1003$201c657c9b2bde4.tif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-854245398-1563985344-839522115-1003$201c664aeef08db.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-854245398-1563985344-839522115-1003$201c664aeef08db.tif:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows NT\MSFax\SentItems\S-1-5-21-854245398-1563985344-839522115-1003$201c69c7f007e13.tif:Xj1phwzh5qcwungrN45kt3kiCe
ADS ...
ADS C:\Documents and Settings\_\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\trap\SharingMetadata\eee\DFSR\Staging\CS{17BD7456-98B8-2877-752A-D1E3E10F8445}\01\11-{17BD7456-98B8-2877-752A-D1E3E10F8445}-v1-{3B40F146-BF5E-42D3-B89B-7E1D739AE5F7}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS

---- EOF - GMER 1.0.12 ----


Pagina Autostart:
GMER 1.0.12.12011 - http://www.gmer.net
Autostart scan 2006-12-11 11:38:42
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ >>>
klogon@DLLName = C:\WINDOWS\system32\klogon.dll
Sebring@DLLName = C:\WINDOWS\system32\LgNotify.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AVP /*Active Virus Shield*/@ = "C:\Programmi\AOL\Active Virus Shield\avp.exe" -r
ccadmin /*Client Connector Administrator*/@ = C:\Programmi\Dell\OpenManage\OMCC\iws\bin\win32\omaws32.exe "OMACS_KEY_OMA=SOFTWARE\Dell Computer Corporation\Dell OpenManage OMCC\Dell OMA"
Fax /*Fax*/@ = %systemroot%\system32\fxssvc.exe
NetBhb /*NetBhb*/@ = "C:\Programmi\File comuni\System\dOJ.exe" /*file not found*/
NICCONFIGSVC /*NICCONFIGSVC*/@ = C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
NVSvc /*NVIDIA Display Driver Service*/@ = %SystemRoot%\system32\nvsvc32.exe
omccomsad /*OMCC OM Common Services*/@ = C:\Programmi\Dell\OpenManage\OMCC\oma\bin\omsad32.exe
RegSrvc /*RegSrvc*/@ = C:\WINDOWS\system32\RegSrvc.exe
S24EventMonitor /*Spectrum24 Event Monitor*/@ = C:\WINDOWS\system32\S24EvMon.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
StarWindService /*StarWind iSCSI Service*/@ = C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@ShowLOMControl1 /*file not found*/ = 1 /*file not found*/
@aol"C:\Programmi\AOL\Active Virus Shield\avp.exe" = "C:\Programmi\AOL\Active Virus Shield\avp.exe"
@ /*file not found*/ = /*file not found*/
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
@Dell QuickSetC:\Programmi\Dell\QuickSet\Quickset.exe = C:\Programmi\Dell\QuickSet\Quickset.exe
@nwiznwiz.exe /install = nwiz.exe /install
@DAEMON Tools"C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033 = "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
@SunJavaUpdateSched"C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe" = "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@PRONoMgr.exeC:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe = C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
@ZCfgSvc.exeC:\WINDOWS\system32\ZCfgSvc.exe = C:\WINDOWS\system32\ZCfgSvc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31} /*Cartella compressa*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{32020A01-506E-484D-A2A8-BE3CF17601C3} /*AlcoholShellEx*/C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll = C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{51EEE242-AD87-11d3-9C1E-0090278BBD99} /*Vim Shell Extension*/C:\Programmi\Vim\vim63\gvimext.dll = C:\Programmi\Vim\vim63\gvimext.dll
@(null) =
@{6af09ec9-b429-11d4-a1fb-0090960218cb} /*My Bluetooth Places*/C:\WINDOWS\system32\btneighborhood.dll = C:\WINDOWS\system32\btneighborhood.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll = C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll
@{52B87208-9CCF-42C9-B88E-069281105805} /*Trojan Remover Shell Extension*/(null) =
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} /*OpenOffice.org Column Handler*/"C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll" = "C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll"
@{087B3AE3-E237-4467-B8DB-5A38AB959AC9} /*OpenOffice.org Infotip Handler*/"C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll" = "C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll"
@{63542C48-9552-494A-84F7-73AA6A7C99C1} /*OpenOffice.org Property Sheet Handler*/"C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll" = "C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll"
@{3B092F0C-7696-40E3-A80F-68D74DA84210} /*OpenOffice.org Thumbnail Viewer*/"C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll" = "C:\Programmi\OpenOffice.org 2.1\program\shlxthdl.dll"

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
gvim@{51EEE242-AD87-11d3-9C1E-0090278BBD99} = C:\Programmi\Vim\vim63\gvimext.dll
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = C:\Programmi\AOL\Active Virus Shield\shellex.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = C:\Programmi\AOL\Active Virus Shield\shellex.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{528D3486-6700-1244-9C48-859F32EC50D4}C:\WINDOWS\kudgu1.dll /*file not found*/ = C:\WINDOWS\kudgu1.dll /*file not found*/
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll = C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pagehttp://www.tgsoft.it/ = http://www.tgsoft.it/

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-help@CLSID = C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll
widimg@CLSID = C:\WINDOWS\system32\btxppanel.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7857558E-057F-4EB2-B78B-89FB54214013} /*Connessione alla rete locale (LAN)*/ >>>
@IPAddress192.168.1.2 = 192.168.1.2
@NameServer192.168.1.1 = 192.168.1.1
@DefaultGateway192.168.1.1 = 192.168.1.1
@Domain =

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C39E4FCF-DD23-4189-A602-D084483E49D2} /*Bluetooth Network*/ >>>
@IPAddress192.168.10.1 = 192.168.10.1
@NameServer =
@DefaultGateway =
@Domain =

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004@LibraryPath = %SystemRoot%\system32\wshbth.dll

---- EOF - GMER 1.0.12 ----


qualcuno mi sa dire se ho un rootkit?

Salve a tutti, ho un utente MOLTO sospetto di nome in una cartella nascosta:

tunMLUxFrpMTsSnE

però il rootkit remover apposito della PrevX dice che non ho nessun rootkit.

qualcuno mi sa dire se ho un rootkit?

niente rootkit, però ci sono alcuni segni di agent/lo

Con hijackthis fixa la voce O2 corrispondente a C:\WINDOWS\kudgu1.dll /*file not found*/ = C:\WINDOWS\kudgu1.dll /*file not found*/

Poi da prompt dei comandi esegui sc delete NetBhb

Volendo puoi anche controllare, eseguendo services.msc, se nella lista dei servizi ne compaiano alcuni con nomi casuali nella colonna connessione, ed eliminarli con sc delete.

Guarda se in C:\Programmi\File comuni\System \services \microsoft share ci sono file eseguibili il cui nome appare di colore verde. Cancellali e se qualcuno non è eliminabile usa http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

Esegui control userpasswords2 ed elimina gli utenti fittizi dai nomi casuali.

in c:\documents and settings puoi rimuovere le cartelle degli utenti fittizi

Infine controlla se il ripristino di sistema (risorse del computer -> click dx -> proprietà) è stato disattivato dal malware, e nel caso riattivalo.

boh... anch'io temo sia una nuova variante... adesso provo prevx1...

prima di installare interi pacchetti, hai provato rootkitrevealer della sysinternals? c'è ancora qualcos'altro oltre a questo da provare.. posso farti sapere i nomi, devo cercare..

no è disattivato... vuol dire che me devo fottere che lo trovo in services o devo fare altro? e hijackthis non parte nemmeno rinominandolo

Se il servizio e' disattivato e' un buon segno, anch'io da quando mi beccai Gromozon mi e' rimasta una traccia del servizio impossibile da eliminare, ma e' disattivato, quindi stai super tranquillo !! :D

Per Hijack e strano che non parta... :boh:

Ciao !! Vedrai che qui trovi sicuro una soluzione !!

prima di installare interi pacchetti, hai provato rootkitrevealer della sysinternals? c'è ancora qualcos'altro oltre a questo da provare.. posso farti sapere i nomi, devo cercare..

grazie siete tutti molto gentili... ora ho installato anche prevx1 ma non rileva niente... ma come faccio a fare una scansione??? hijackthis non parte nemmeno mettendo un nome a capocchia... idem gmer... mi sta facendo impazzire... il problema inoltre è solo con questi due software...

I molti log di Gromozon ho visto che viene richiamato un eseguibile nella chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

il quale è responsabile del bolocco di Hijackthis

e.s.
c:\windows\system32\userinit.exe, c:\windows\nortonpad.exe
c:\windows\system32\userinit.exe, c:\windows\canonservice.exe
c:\windows\system32\userinit.exe, c:\windows\compaqlan.exe
etc.

ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

Devi eliminare solo la voce infetta:
la chiave dopo la modifica deve rimanere cosi :
c:\windows\system32\userinit.exe,

cancella il file con killbox o avenger

colpito ed affondato!!!!! :winner: :yeah: :winner: prevx1 ha compiuto il miracolo!!! inizialmente non rilevava niente poi in maniera apparentemente casuale è uscita la finestra infettato e il programma ha effettuato la pulizia... dopo il riavvio sembra tutto ok... hijackthis ora funziona ed adesso posterò il log nell'apposito thread per vedere se c'è qualcos'altro di malefico da rimuovere... siete dei grandi grazie a tutti per l'aiuto!!!! :friend: :cincin: :friend:

ottimo!:D

sono disperato... ho dei file com5.exe com4.exe lpt.exe lpt8.exe
in Temp non si eliminano... ho lanciato anche questo removal tool della prevx ma non cè niente da fare...

qualcuno mi può aiutare? sono veramente disperato...

sono disperato... ho dei file com5.exe com4.exe lpt.exe lpt8.exe
in Temp non si eliminano... ho lanciato anche questo removal tool della prevx ma non cè niente da fare...

qualcuno mi può aiutare? sono veramente disperato...

prova con prevx1... lo installi e... aspetti... con me ha funzionato!!!

provato ma nulla.......

I molti log di Gromozon ho visto che viene richiamato un eseguibile nella chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

il quale è responsabile del bolocco di Hijackthis

e.s.
c:\windows\system32\userinit.exe, c:\windows\nortonpad.exe
c:\windows\system32\userinit.exe, c:\windows\canonservice.exe
c:\windows\system32\userinit.exe, c:\windows\compaqlan.exe
etc.

ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

Devi eliminare solo la voce infetta:
la chiave dopo la modifica deve rimanere cosi :
c:\windows\system32\userinit.exe,

cancella il file con killbox o avenger

Vorrei segnalare il mio problema. All'avvio di XP carica lento, noto che non va, sposto il mouse sulla barra delle applicazioni e mi spunta la clessidra x diversi minuti (circa 3-4 minuti, cosa insolita), le icone sul desktop non ne vogliono sapere di aprire, praticamente il PC sembra bloccato.
Allora faccio CTRL+ALT+CANC, controllo i processi e noto che c'è userinit.exe che non avevo mai sentito dire in vita mia, ho fermato 'sto processo e il PC si sblocca. Cercando su google, vedo versioni diverse e non ho capito un tubo. Che mi consigliate di fare?

Vorrei segnalare il mio problema. All'avvio di XP carica lento, noto che non va, sposto il mouse sulla barra delle applicazioni e mi spunta la clessidra x diversi minuti (circa 3-4 minuti, cosa insolita), le icone sul desktop non ne vogliono sapere di aprire, praticamente il PC sembra bloccato.
Allora faccio CTRL+ALT+CANC, controllo i processi e noto che c'è userinit.exe che non avevo mai sentito dire in vita mia, ho fermato 'sto processo e il PC si sblocca. Cercando su google, vedo versioni diverse e non ho capito un tubo. Che mi consigliate di fare?
potrebbe essere un trojan agent,fatti una scansione col tuo antivirus(aggiornato),una passata di avg antispyware(anche prevx1 non sarebbe male) poi posta un log nel thread di hijackthis

potrebbe essere un trojan agent,fatti una scansione col tuo antivirus(aggiornato),una passata di avg antispyware(anche prevx1 non sarebbe male) poi posta un log nel thread di hijackthis

Eppure sia l'AVG antivirus che l'antispyware (proprio prevx1) non mi dice niente... Hijackthis lo conosco bene, non mi dice niente...

userinit.exe solitamente viene caricato in fase di avvio del sistema,dopodichè vien chiuso...c'è qualcosa che non quadra

sono disperato... ho dei file com5.exe com4.exe lpt.exe lpt8.exe
in Temp non si eliminano... ho lanciato anche questo removal tool della prevx ma non cè niente da fare...

qualcuno mi può aiutare? sono veramente disperato...

la questione è che potrebbe anche esserci altro, oltre a quelli. Cmq per eliminarli prova con questo: http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
e se non funziona proveremo altre strade. Comunque sarebbe meglio che facessi e postassi sul forum due log di gmer:

Scaricare gmer (www.gmer.net) e fare due scansioni: rootkit e autostart, copiare i risultati (gmer ha direttamente il pulsante copy) e incollarli in un messaggio qua sul forum. Assicurarsi che in entrambe le scansioni NON sia selezionata l'opzione show all e lasciare tutte le altre opzioni così come sono. Infine, durante la scansione rootkit non utilizzare il pc e chiudere tutte le applicazion aperte.

provato ma nulla.......mitico skippi, ma non lo cancelli neanche con l'avenger?

Ciao a tutti.
...sottopongo ai guru un effetto collaterale che non mi pare di aver trovato nelle varie discussioni...

Grazie ai numerosi messaggi e guide pubblicate sono riuscito a debellare il famigerato LinkOptimizer/Gromozon sotto forma del virus TR/Obfuscated.F & ç(...o quasi), ora il pc sembra pulito e tornato efficiente, rimangono solo una ventina di file .tmp nelle impostazioni locali contrassegnati in verde e con nome PXR***.tmp che non riesco a eliminare in nessun modo!
Ho provato i vari tool e la modalità provvisoria con il prompt ma niente.
Qualcuno ha qualche idea?

Ciao a tutti.
...sottopongo ai guru un effetto collaterale che non mi pare di aver trovato nelle varie discussioni...

Grazie ai numerosi messaggi e guide pubblicate sono riuscito a debellare il famigerato LinkOptimizer/Gromozon sotto forma del virus TR/Obfuscated.F & ç(...o quasi), ora il pc sembra pulito e tornato efficiente, rimangono solo una ventina di file .tmp nelle impostazioni locali contrassegnati in verde e con nome PXR***.tmp che non riesco a eliminare in nessun modo!
Ho provato i vari tool e la modalità provvisoria con il prompt ma niente.
Qualcuno ha qualche idea?
hai provato con unlocker?

hai provato con unlocker?


...provato...
mi dice che non trova handle associati ma non riesce a eliminarli neanche al riavvio.

hai provato con unlocker?

:rolleyes:

Ciao a tutti, potrei sapere a cosa serve questo programma? TOOL RIMOZIONE ROOTKIT LINKOPTIMIZER/GROMOZON.
Grazie

Ciao a tutti, potrei sapere a cosa serve questo programma? TOOL RIMOZIONE ROOTKIT LINKOPTIMIZER/GROMOZON.
Grazie
un tool per rimuovere il rootkit linkoptimizer :D

Scusami junihno visto che sono abbastanza inesperto e mi sto avvicinando adesso al mondo della sicurezza, potresti piegarmi cosa intendi?

Ciao a tutti, sono stato infettato da Gromozon tempo fa, usai diversi removal kit e pensavo di averlo debellato.
Invece ho un sacco di problemi con firefox e ho letto che dipendono sempre da gromozon: l'avviso "shockwave flash: operazione non valida nel plugin", crash frequenti di FF quando uso youtube o ebay ecc.
Ho scaricato Prevx1 e l'ho fatto girare diverse volte, non ha mai trovato nulla ma stamattina dopo aver fatto lo scan si è collegato al loro sito e diceva di aver trovato un malware e che l'aveva messo nella 'prigione' ma poi non è riuscito a cancellarlo e nella 'prigione' non compare niente.
A proposito, Prevx1 l'ho installato e funziona in background come un antivirus (per un tot di giorni, mi pare 30) ma quando FF crasha non segnala niente.
Ho provato anche a disinstallare flashplayer e a mettere la versione precedente (la 8 ).
Ewido ha segnalato la presenza del trojan "Downloader.Agent.uj" che non ho capito se è lo stesso gromozon, l'ha messo in quarantena ma poi non riesce a cancellarlo.
Cosa posso fare?

Scusami junihno visto che sono abbastanza inesperto e mi sto avvicinando adesso al mondo della sicurezza, potresti piegarmi cosa intendi?
linkoptimizer è il rootkit(o virus chè dir si voglia),il tool serve per ripulirti il pc da questo virus ;)

Ciao a tutti, sono stato infettato da Gromozon tempo fa, usai diversi removal kit e pensavo di averlo debellato.
Invece ho un sacco di problemi con firefox e ho letto che dipendono sempre da gromozon: l'avviso "shockwave flash: operazione non valida nel plugin", crash frequenti di FF quando uso youtube o ebay ecc.
Ho scaricato Prevx1 e l'ho fatto girare diverse volte, non ha mai trovato nulla ma stamattina dopo aver fatto lo scan si è collegato al loro sito e diceva di aver trovato un malware e che l'aveva messo nella 'prigione' ma poi non è riuscito a cancellarlo e nella 'prigione' non compare niente.
A proposito, Prevx1 l'ho installato e funziona in background come un antivirus (per un tot di giorni, mi pare 30) ma quando FF crasha non segnala niente.
Ho provato anche a disinstallare flashplayer e a mettere la versione precedente (la 8 ).
Ewido ha segnalato la presenza del trojan "Downloader.Agent.uj" che non ho capito se è lo stesso gromozon, l'ha messo in quarantena ma poi non riesce a cancellarlo.
Cosa posso fare?
i file infetti come si chiamano e dove si trovano?

i file infetti come si chiamano e dove si trovano?

Giuni ti consiglio di scaricare questo, un ottimo antispyware, forse il migliore che abbia mai provato.

http://www.pctools.com/res/images/spyware-doctor/boxshot.gif
Registralo gratis fino al 10 gennaio - Link (http://www.pctools.com/spyware-doctor/free/promo/VNU1206)

Giuni ti consiglio di scaricare questo, un ottimo antispyware, forse il migliore che abbia mai provato.

http://www.pctools.com/res/images/spyware-doctor/boxshot.gif
Registralo gratis fino al 10 gennaio - Link (http://www.pctools.com/spyware-doctor/free/promo/VNU1206)
già fatto..grazie :D

i file infetti come si chiamano e dove si trovano?

non te lo so dire: sia il malware trovato da Prevx che il Downloader.Agent.uj trovato da Ewido alla fine dei rispettivi scan non sono riusciti a cancellarli e non ce n'è più traccia.
Intanto ho Prevx continuamente attivato ma non segnala niente, ma firefox crasha lo stesso: forse dovrei provare con qualche altro removal kit?

forse dovrei provare con qualche altro removal kit?
quelli di eraser li hai già provati?

quelli di eraser li hai già provati?

ho provato il Prevx che non segnala niente, il Prevx1 che alla fine mi dice "E' stato trovato malware sul pc. Esaminare la prigione per ulteriori informazioni" ma nella prigione non c'è niente, e il VirIt explorer lite.

ho provato il Prevx che non segnala niente, il Prevx1 che alla fine mi dice "E' stato trovato malware sul pc. Esaminare la prigione per ulteriori informazioni" ma nella prigione non c'è niente, e il VirIt explorer lite.
non mi riferivo a prevx1,ma a questo (http://www.pcalsicuro.com/main/?p=52) e quest'altro (http://www.prevx.com/gromozon.asp)

non mi riferivo a prevx1,ma a questo (http://www.pcalsicuro.com/main/?p=52) e quest'altro (http://www.prevx.com/gromozon.asp)

il primo è il Prevx e l'ho usato, il secondo è il Prevx1, o sbaglio?

il primo è il Prevx e l'ho usato, il secondo è il Prevx1, o sbaglio?
entrambi conducono al tool di rimozione dedicato,non il programma prevx intero ;)

bloccate questi Ip con il firewall

195.225.176.0-195.225.179.255
85.255.112.0-85.255.127.255
69.50.160.0-69.50.191.255
81.29.240.0-81.29.242.63
67.15.64.166-67.15.64.168
195.234.159.0 - 195.234.159.255

La lista è in continuo aggiormento perche' spostano l'infezione spesso

bloccate questi Ip con il firewall

195.225.176.0-195.225.179.255
85.255.112.0-85.255.127.255
69.50.160.0-69.50.191.255
81.29.240.0-81.29.242.63
67.15.64.166-67.15.64.168
195.234.159.0 - 195.234.159.255

La lista è in continuo aggiormento perche' spostano l'infezione spesso

e anche questi che offrono l'hosting

69.31.0.0 - 69.31.143.255
pilosoft Inc.

66.230.128.0 - 66.230.191.255

ISPrime Inc.

Ho un problema:

su un pc di un cliente avevo questo trojan e ho utilizzato l'utility per rimuoverlo e fin qui tutto ok!

l'utility mi ha rilevato l'infezione e' ha rimosso tutto, ma continuo a non poter utilizzare Hijackthis e determinati siti, tipo Hwupgrade.

cosa si puo' fare?

grazie! ;)

Ho un problema:

su un pc di un cliente avevo questo trojan e ho utilizzato l'utility per rimuoverlo e fin qui tutto ok!

l'utility mi ha rilevato l'infezione e' ha rimosso tutto, ma continuo a non poter utilizzare Hijackthis e determinati siti, tipo Hwupgrade.

cosa si puo' fare?

grazie! ;)
hai provato prevx1?

si, non me lo fa eseguire.

si, non me lo fa eseguire.
hai rpovato a fare come indicato qui (http://www.hwupgrade.it/forum/showpost.php?p=15073861&postcount=397)
?

si, nulla da fare.

prova con quest'altro (http://securityresponse.symantec.com/avcenter/FixLinkopt.exe):muro:

gia' fatto.

non rileva nulla.

prova con cureit,altro non mi viene in mente :boh:

grazie!

dove lo trovo?

grazie!

dove lo trovo?
link (http://download.drweb.com/drweb+cureit/);)

Grazie!

proviamo cosi' ;)

Grazie!

proviamo cosi' ;)

da quando sono passato ad Ubuntu (bye bye Windows XP :sofico: ) sorrido a questi problemi... :D

Incredibile!

altro cliente con sto maledetto problema, stavolta non mi fa funzionare ne' l'utility symantec ne' l'altra, mi va il pc in errore blu (scrivendo Dumprep eccetera) naturalmente la macchina va solo in provvisoria, non funziona neanche il metodo manuale per toglierlo.

idee?

forse ho combinato, ma trovo ancora dei TEMP colorati di verde che non riesco ad eliminare in nessun modo.

come si fa?

Ciao a tutti!

Purtroppo oggi sono venuto a conoscenza (direttamente e a mie spese) dell'esistenza di questo maledetto Gromozon, che a quanto leggo ha creato problemi a non pochi utenti. Sul mio pc ho AVG antivirus, che, appena è stato lanciato il programma mi ha avvisato di una serie di spyware e programmi vari che si stavano installando sul pc e purtroppo non è riuscito a bloccarli. Dopo alcuni minuti di panico assoluto dopo essermi reso conto dell'impossibilità di utilizzare il task manager ho deciso di scaricare e utilizzare ad-aware che ha rimosso tutta una serie di file ridandomi la possibilità di usare il task manager e ridandomi tutte le funzionalità di windows.

Se la storia finisse quì però il mio post non avrebbe motivo di esistere, no? Infatti ho provato ad andare a impostare lo sfondo del dekstop (che mi era stato rimosso), ma pur avendo debellato la minaccia Gromozon le impostazioni rimangono bloccate e non c'è modo di sanare la situazione. Ho letto un po' in giro anche sul vostro forum di problemi simili, ma pur provando a seguire i vari consigli non riesco a sbloccare la situazione. La chiave nel registro per la gestione dei wallpapers era già settata a 0.

Qualcuno può darmi una mano?

Non so se qualcuno ne ha già parlato, volevo segnalare il sito steven.altervista.org che contiene una interessante guida per la rimozione di linkoptimizer, ciao

Dopo averlo rilevato e tolto in vari pc mi rendo conto che levarianti sono piccole ma significative.

Dirò: l'ultima volta ho risolto semplicemente con l'ex ewido e Vir.IT eXplorer Lite della tgsoft combinati.

prova gmer

è una uscita una nuova versione

Descrizione (http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-032716-2324-99&tabid=2)

Rimozione (http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-032716-2324-99&tabid=3)

Utility (http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99)

vorrei fare notare questo:

Risk Level 1: Very Low :doh:

vorrei chiedere aiuto qui,visto ke nn riesco a dargliene fuori...
vi posto il mio tread se qlc potesse darmi na mano anke solo per eliminare i file...
http://www.hwupgrade.it/forum/showthread.php?t=1505065
vi ringrazio anticipatamente....:confused: :mc:

Salve pochi giorni fa' ho elimato una variante di gromozon che non mi faceva accedere al forum e faceva un altro scherzo mi ha fatto sparire da risorse il lettore dvd e masterizzatore che tuttora non vedo qualcuno di voi é a conoscenza di questo sintomo, si puo' risolvere e come?? Grazie

Ciao, anche io sono stato infettato, dato che sovrappensiero ho cliccato sul pulsante "chiudi" di una finestra java invece di usare il task manager. Con i vostri consigli ho debellato quel monster fastidioso, ma mi ha lasciato straschici che vorrei cercare di eliminare definitivamente. Il gromozon l'ho preso con il file unzanf.bat che all'avvio, mi si è connesso al solito FTP e mi ha infettato col suo simpatico codice. L'ho debellato, ma, mi sono rimasti nei registri e MI SI RICREANO SEMPRE, delle voci riferite a jvaa.dll (la dll del gromy...) e unzanf.bat (voce del bat che mi ha infettato) e sebbene le cancelli si ricreano SEMPRE e facenti riferimento alla voce HLM\SYSTEM\ControlSet002\Services\voce servizio\jvaa.dll per la dll e HLM\SYSTEM\ControlSet002\Services\voce servizio\unzanf per il file unzanf.(bat) e quindi ho dedotto che mi dovrebbe aver infettato il file "services".
chi mi sa dare una mano? G R A Z I E.

ciao,
volevo portare la mia esperienza e visto che non si possono scrivere parolacce sul forum, rivolgendomi a chi ha creato questo rootkit, gli posso dire però che possono tranquillamente immagginare le peggiori per loro e visto che siamo sotto natale e mi sento buono, che babbo natale li possa investire con tutta la slitta carica di regali :) sono sicuro che leggono quì.

Comunque nel 2006 riusci a toglielo con grazie all'aiuto del forum tramite i progammi avenger, rootkitrevealer, gmer.

a metà 2007 sostituisco il pc con uno nuovo un'assemblato da me e fino a 2 mesi fà andava tutto bene a parte un problema di posta elettronica:
dispongo di 6 indirizzi e-mail, non riuscivo a spedire neppure tramite internet explorer, normalmente uso opera, oppure quando spedivo un' e-mail arrivava dopo un'ora , due ore, ma quello che mi preoccupava di più è che quando non arrivava non mi restituiva il solito messaggio di errore.
alla luce di tutto ciò decido di installare un' Antitrojan, faccio una scansione e mi trova una stringa numerica simile a quella incriminata ( S-1-5-21 ecc.) sospetta sul file di registro, gli do l'ok per la cancellazione e al primo ed al secondo riavvio del pc andava tutto bene ma al Terzo :incazzed:... non sono riuscito più ad avviare neppure in MODALITA Provvisoria, appena caricava la prima schermata di Win si riavviava in continuazione !!!

non ho potuto fare nient'altro che reinstallare Win sopra il precedente s.o per recuperare alcuni dati e per capire cosa era andato storto.
beh qualcosa sono riuscito a recuperare dalla cartella documenti e i preferiti di opera, almeno quelli...
le e-mail continuano a non funzionare ma vabbè tanto sapevo che ero in fase di test, quindi non mi importava più di tanto.
dopo una decina di giorni di prove ho potuto verificare che si trattava nuovamente del rootkit in quanto aveva creato un nuovo utente e mi ritrovavo le solite stringhe ( S-1-5-21ecc..) dapertutto però questa volta erano cartelle create a caso un po ovunque.



appurato tutto ciò decido di formattare e di creare un 'account utente protetto da password, di installare il famoso firewall Comodo sul quale mi ero precedentemente letto la guida sempre su questo forum, di installare l' antivirus Avast e il tutto Scollegato dalla rete!
ho installato anche AVG anti spyware, Prevx CSI, windows Defender, ho fatto tutti gli aggiornamenti di win xp, ogni tanto facevo una scansione anche con Gmer, sto usando firefox alternativamente ad opera.
insomma ho intallato solo programmi di controllo, nessun game.
sembrava andare tutto ok, a parte il solito problema con le e-mail.
l'altro ieri vado a dare un' occhiata ai servizi dal pannello di controllo ( è un controllo che faccio spesso, almeno ogni 3 giorni) e cosa ti vedo ??? il solito servizio con nome a random !
il servizio sono riuscito a bloccarlo e poi con Gmer lo ho cancellato.
facendo altre scansioni con Gmer vedo scorrere molto velocemente le solite stinghe S-1-5-21 ecc.. però non trova nulla.
ho anche scaricato Fixlinkopt della symantec lo ho eseguito ma niente.
ho passato anche il tool di rimozione della prevx, ma niente.
ho installato prevx2 fatto la scansione ma niente.

l'unico che mi ha trovato qualcosa è il firewall Comodo, sono tutta una serie di file che ho messo in quarantena il primo si trova su C:\RECYCLER\S-1-5-21...
tutti gli altri su D:\ come si può vedere dall'immagine:
http://img232.imageshack.us/img232/4031/imggromzonst4.th.png (http://img232.imageshack.us/my.php?image=imggromzonst4.png)

ho anche un log autostart di Gmer non so se è quello giusto:
GMER 1.0.12.12027 - http://www.gmer.net
Autostart scan 2007-12-19 16:01:57
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\ >>>
Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,
Windows@AppInit_DLLs = C:\WINDOWS\system32\guard32.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
aswUpdSv /*avast! iAVS4 Control Service*/@ = "C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe"
avast! Antivirus /*avast! Antivirus*/@ = "C:\Programmi\Alwil Software\Avast4\ashServ.exe"
AVG Anti-Spyware Guard /*AVG Anti-Spyware Guard*/@ = C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
cmdAgent /*COMODO Firewall Pro Helper Service*/@ = "C:\Programmi\COMODO\Firewall\cmdagent.exe"
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe"
Nero BackItUp Scheduler 3 /*Nero BackItUp Scheduler 3*/@ = C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
NVSvc /*NVIDIA Display Driver Service*/@ = %SystemRoot%\system32\nvsvc32.exe
PREVXAgent /*PREVXAgent*/@ = C:\Programmi\Prevx2\PXAgent.exe -f
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
WinDefend /*Windows Defender*/@ = "C:\Programmi\Windows Defender\MsMpEng.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@JMB36X IDE SetupC:\WINDOWS\JM\JMInsIDE.exe = C:\WINDOWS\JM\JMInsIDE.exe
@36X Raid ConfigurerC:\WINDOWS\system32\JMRaidSetup.exe boot = C:\WINDOWS\system32\JMRaidSetup.exe boot
@RTHDCPLRTHDCPL.EXE = RTHDCPL.EXE
@SkyTelSkyTel.EXE = SkyTel.EXE
@AlcmtrALCMTR.EXE = ALCMTR.EXE
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
@nwiznwiz.exe /install = nwiz.exe /install
@NvMediaCenterRunDLL32.exe NvMCTray.dll,NvTaskbarInit = RunDLL32.exe NvMCTray.dll,NvTaskbarInit
@CTHelperCTHELPER.EXE = CTHELPER.EXE
@CTxfiHlpCTXFIHLP.EXE = CTXFIHLP.EXE
@avast!C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
@BrMfcWndC:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN = C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
@SetDefPrtC:\Programmi\Brother\Brmfl06b\BrStDvPt.exe = C:\Programmi\Brother\Brmfl06b\BrStDvPt.exe
@ControlCenter3C:\Programmi\Brother\ControlCenter3\brctrcen.exe /autorun = C:\Programmi\Brother\ControlCenter3\brctrcen.exe /autorun
@SSBkgdUpdate"C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot = "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
@PaperPort PTDC:\Programmi\ScanSoft\PaperPort\pptd40nt.exe = C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
@IndexSearchC:\Programmi\ScanSoft\PaperPort\IndexSearch.exe = C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
@itype"C:\Programmi\Microsoft IntelliType Pro\itype.exe" = "C:\Programmi\Microsoft IntelliType Pro\itype.exe"
@IntelliPoint"C:\Programmi\Microsoft IntelliPoint\ipoint.exe" = "C:\Programmi\Microsoft IntelliPoint\ipoint.exe"
@Logitech Hardware Abstraction Layer"C:\Programmi\File comuni\Logitech\khalshared\KHALMNPR.EXE" = "C:\Programmi\File comuni\Logitech\khalshared\KHALMNPR.EXE"
@Kernel and Hardware Abstraction LayerKHALMNPR.EXE = KHALMNPR.EXE
@!AVG Anti-Spyware"C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized = "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
@Windows Defender"C:\Programmi\Windows Defender\MSASCui.exe" -hide = "C:\Programmi\Windows Defender\MSASCui.exe" -hide
@NeroFilterCheckC:\Programmi\File comuni\Nero\Lib\NeroCheck.exe = C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
@NBKeyScan"C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" = "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
@COMODO Firewall Pro"C:\Programmi\COMODO\Firewall\cfp.exe" -s = "C:\Programmi\COMODO\Firewall\cfp.exe" -s
@SunJavaUpdateSched"C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe" = "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
@PrevxOne"C:\Programmi\Prevx2\PXConsole.exe" = "C:\Programmi\Prevx2\PXConsole.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@RMClock"D:\programmi installati\Overclock\INTEL\RM clock cpu\rmclock_22_bin\RMClock.exe" = "D:\programmi installati\Overclock\INTEL\RM clock cpu\rmclock_22_bin\RMClock.exe"
@ctfmon.exeC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@ABIT uGuruIIIC:\Programmi\ABIT\uGuru\uGuru.exe = C:\Programmi\ABIT\uGuru\uGuru.exe
@BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe" = "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad@WPDShServiceObj = C:\WINDOWS\system32\WPDShServiceObj.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks >>>
@{57B86673-276A-48B2-BAE7-C6DBB3020EB8}C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll = C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll
@{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}C:\PROGRA~1\WIFD1F~1\MpShHook.dll = C:\PROGRA~1\WIFD1F~1\MpShHook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{30D02401-6A81-11d0-8274-00C04FD5AE38} /*IE Search Band*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{E7E4BC40-E76A-11CE-A9BB-00AA004AE837} /*Shell DocObject Viewer*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{FBF23B40-E3F0-101B-8488-00AA003E56F8} /*InternetShortcut*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{3C374A40-BAE4-11CF-BF7D-00AA006946EE} /*Microsoft Url History Service*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{FF393560-C2A7-11CF-BFF4-444553540000} /*History*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{7BD29E00-76C1-11CF-9DD0-00A0C9034933} /*Temporary Internet Files*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{7BD29E01-76C1-11CF-9DD0-00A0C9034933} /*Temporary Internet Files*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{CFBFAE00-17A6-11D0-99CB-00C04FD64497} /*Microsoft Url Search Hook*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{3DC7A020-0ACD-11CF-A9BB-00AA004AE837} /*The Internet*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{871C5380-42A0-1069-A2EA-08002B30309D} /*Internet Name Space*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/C:\WINDOWS\system32\extmgr.dll = C:\WINDOWS\system32\extmgr.dll
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Alwil Software\Avast4\ashShell.dll = C:\Programmi\Alwil Software\Avast4\ashShell.dll
@{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} /*Adobe.Acrobat.ContextMenu*/C:\Programmi\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll = C:\Programmi\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{1825D0FA-5B0C-4e20-A929-3EFD15B6DF71} /*IntelliType Pro Touchpad Control Property Page*/"C:\Programmi\Microsoft IntelliType Pro\itcpltp.dll" = "C:\Programmi\Microsoft IntelliType Pro\itcpltp.dll"
@(null) =
@{A2569D1F-4E06-43EC-9825-0088B471BE47} /*IntelliType Pro Wireless Control Panel Property Page*/"C:\Programmi\Microsoft IntelliType Pro\itcplwir.dll" = "C:\Programmi\Microsoft IntelliType Pro\itcplwir.dll"
@{97FA8AA2-EE77-4FF2-9449-424D8924EF21} /*IntelliType Pro Zooming Control Panel Property Page*/"C:\Programmi\Microsoft IntelliType Pro\itcplzm.dll" = "C:\Programmi\Microsoft IntelliType Pro\itcplzm.dll"
@{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB} /*IntelliType Pro Scrolling Control Panel Property Page*/"C:\Programmi\Microsoft IntelliType Pro\itcplwhl.dll" = "C:\Programmi\Microsoft IntelliType Pro\itcplwhl.dll"
@{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2} /*IntelliType Pro Key Settings Control Panel Property Page*/"C:\Programmi\Microsoft IntelliType Pro\itcplkey.dll" = "C:\Programmi\Microsoft IntelliType Pro\itcplkey.dll"
@{20082881-FC36-4E47-9A7A-644C95FF749F} /*IntelliPoint Wireless Control Panel Property Page*/"C:\Programmi\Microsoft IntelliPoint\ipcplwir.dll" = "C:\Programmi\Microsoft IntelliPoint\ipcplwir.dll"
@{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE} /*IntelliPoint Wheel Control Panel Property Page*/"C:\Programmi\Microsoft IntelliPoint\ipcplwhl.dll" = "C:\Programmi\Microsoft IntelliPoint\ipcplwhl.dll"
@{653DCCC2-13DB-45B2-A389-427885776CFE} /*IntelliPoint Activities Control Panel Property Page*/"C:\Programmi\Microsoft IntelliPoint\ipcplact.dll" = "C:\Programmi\Microsoft IntelliPoint\ipcplact.dll"
@{124597D8-850A-41AE-849C-017A4FA99CA2} /*IntelliPoint Buttons Control Panel Property Page*/"C:\Programmi\Microsoft IntelliPoint\ipcplbtn.dll" = "C:\Programmi\Microsoft IntelliPoint\ipcplbtn.dll"
@{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C} /*Logitech Setpoint Extension*/C:\Programmi\Logitech\SetPoint\kbcplext.dll = C:\Programmi\Logitech\SetPoint\kbcplext.dll
@{B9B9F083-2B04-452A-8691-83694AC1037B} /*Logitech Setpoint Extension*/C:\Programmi\Logitech\SetPoint\mcplext.dll = C:\Programmi\Logitech\SetPoint\mcplext.dll
@{07C45BB1-4A8C-4642-A1F5-237E7215FF66} /*IE Microsoft BrowserBand*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{1C1EDB47-CE22-4bbb-B608-77B48F83C823} /*IE Fade Task*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{205D7A97-F16D-4691-86EF-F3075DCCA57D} /*IE Menu Desk Bar*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{3028902F-6374-48b2-8DC6-9725E775B926} /*IE AutoComplete*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{43886CD5-6529-41c4-A707-7B3C92C05E68} /*IE Navigation Bar*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{44C76ECD-F7FA-411c-9929-1B77BA77F524} /*IE Menu Site*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{4B78D326-D922-44f9-AF2A-07805C2A3560} /*IE Menu Band*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{6038EF75-ABFC-4e59-AB6F-12D397F6568D} /*IE Microsoft History AutoComplete List*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{6B4ECC4F-16D1-4474-94AB-5A763F2A54AE} /*IE Tracking Shell Menu*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{6CF48EF8-44CD-45d2-8832-A16EA016311B} /*IE IShellFolderBand*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{73CFD649-CD48-4fd8-A272-2070EA56526B} /*IE BandProxy*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{98FF6D4B-6387-4b0a-8FBD-C5C4BB17B4F8} /*IE MRU AutoComplete List*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{9A096BB5-9DC3-4D1C-8526-C3CBF991EA4E} /*IE RSS Feeder Folder*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{9D958C62-3954-4b44-8FAB-C4670C1DB4C2} /*IE Microsoft Shell Folder AutoComplete List*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{B31C5FAE-961F-415b-BAF0-E697A5178B94} /*IE Microsoft Multiple AutoComplete List Container*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{BC476F4C-D9D7-4100-8D4E-E043F6DEC409} /*Microsoft Browser Architecture*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{BFAD62EE-9D54-4b2a-BF3B-76F90697BD2A} /*IE Shell Rebar BandSite*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{E6EE9AAC-F76B-4947-8260-A9F136138E11} /*IE Shell Band Site Menu*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{F2CF5485-4E02-4f68-819C-B92DE9277049} /*&Links*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{F83DAC1C-9BB9-4f2b-B619-09819DA81B0E} /*IE Registry Tree Options Utility*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} /*IE User Assist*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{FDE7673D-2E19-4145-8376-BBD58C4BC7BA} /*IE Custom MRU AutoCompleted List*/C:\WINDOWS\system32\ieframe.dll = C:\WINDOWS\system32\ieframe.dll
@{35786D3C-B075-49b9-88DD-029876E11C01} /*Portable Devices*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} /*Portable Devices Menu*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} /*NeroCoverEd Live Icons*/C:\Programmi\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll = C:\Programmi\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\Office10\msohev.dll = C:\Programmi\Microsoft Office\Office10\msohev.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll = C:\Programmi\MSN Messenger\fsshext.8.1.0178.00.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
Adobe.Acrobat.ContextMenu@{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} = C:\Programmi\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
AVG Anti-Spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\context.dll
Cover Designer@{73FCA462-9BD5-4065-A73F-A8E5F6904EF7} = C:\Programmi\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers@{100BD527-7304-4b7f-BEE2-26D97B04EBA4} = C:\Programmi\Nero\Nero8\Nero BackItUp\NBShell.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
AVG Anti-Spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers@{100BD527-7304-4b7f-BEE2-26D97B04EBA4} = C:\Programmi\Nero\Nero8\Nero BackItUp\NBShell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{55EA1964-F5E4-4D6A-B9B2-125B37655FCB}C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll = C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll = C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
@{9030D464-4C02-4ABF-8ECC-5164760863C6}C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll = C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
@{AE7CD045-E861-484f-8273-0445EE161910}C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll = C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

HKCU\Control Panel\[email protected] = C:\WINDOWS\system32\ssstars.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://go.microsoft.com/fwlink/?LinkId=69157 = http://go.microsoft.com/fwlink/?LinkId=69157
@Start Pagehttp://go.microsoft.com/fwlink/?LinkId=69157 = http://go.microsoft.com/fwlink/?LinkId=69157
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
cdo@CLSID = C:\Programmi\File comuni\Microsoft Shared\Web Folders\PKMCDO.DLL
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\msitss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = Logitech SetPoint.lnk

---- EOF - GMER 1.0.12 ----


se qualcuno mi potesse dare un mano sopratutto per risolvere il problema delle
mail....

grazie

ciao:)

Da quello che vedo io l'infezione è nel cestino. Svuotalo.
Gmer ti da delle righe rosse?
Inizia intanto a fare le scansioni proposte nella guida per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e poi allega i log.

Da quello che vedo io l'infezione è nel cestino. Svuotalo.
Gmer ti da delle righe rosse?
Inizia intanto a fare le scansioni proposte nella guida per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e poi allega i log.

magari fosse così semplice, ho l'abitudine di svuotare il cestino ogni volta che cancello qualcosa e al momento del mio post nel cestino non c'era nulla , poi ogni due o tre ore passo ccleaner.

adesso invece non posso svuotare più il cestino!
oggi pomeriggio ho scaricato la nuova versione di spybotsd151 che non avevo ancora installato e così ho cancellato la vecchia ( spybotsd14 ) adesso si trova nel cestino e non c'è verso di muoverla da li, win mi da il seguente errore:

impossibile eliminare Dd10: accesso negato
controllare che il disco non sia pieno o protetto da scrittura
e che il file non sia attualmente in uso.

ho fatto anche una scansione con ADS revealer e una con Gmer allego i rispettivi log zippati perchè al momento non si riesce a uploadare sul sito "mytempdir".

nessuna riga rossa ne prima ne adesso.

ad una prima occhiata pare che sia infettato fino all'osso ho il timore di dover formattare tutti e tre gli HD c,d,e. spero si possa recuperare qualcosa.:(

ciao.

ciao ragazi ho un problemino

http://www.hwupgrade.it/forum/showthread.php?t=1677865

qui ho aperto il thread del mio inconveniente, ora scarico il file al primo post solo che lo faccio partire, mi dice che deve riavviare, riavvia e all'avvio di win part e il programmino e mi da un errore:
access violation at 0x00404600 (tried to read from 0x00000400), program terminated

quindi nisba si chiude
pikkè??

era l'antivirus che partiva in avvio....

mi sono collegato a questo sito dove si ofre la possibilità di rimuovere gromozon ma nonostanyte arrivi alla pagina dove si può scaricare, quando clicco sul dowload il PC mi ritorn allla pagina precedente ! e ora che fo ?

http://www.anarchia.com/dettagli-gratis/Gr...zione-2987.html
Saluti,
centrin

mi sono collegato a questo sito dove si ofre la possibilità di rimuovere gromozon ma nonostanyte arrivi alla pagina dove si può scaricare, quando clicco sul dowload il PC mi ritorn allla pagina precedente ! e ora che fo ?

http://www.anarchia.com/dettagli-gratis/Gr...zione-2987.html
Saluti,
centrin

Innazitutto imposta i DNS di http://www.opendns.com/ dopodichè
fai girare la trial di Prevx (http://info.prevx.com/downloadprevx2.asp)

Poi fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Finalmente, dopo giorni di duro lavoro, l'abbiamo finito :)

TOOL RIMOZIONE ROOTKIT LINKOPTIMIZER/GROMOZON (http://www.prevx.com/gromozon.asp)
PRESS RELEASE (http://www.marketwire.com/mw/release_html_b1?release_id=159395)

Comunicate qui eventuali problemi o se tutto è andato alla perfezione ;)


Ho scaricato l'ammazza GROMOSON ma mi si dice che prima di usarlo devo disattivare l' antivirus e non so come fare !

Sul PC di antivirus ce ne sono due: Il Viriusfighter e il nod32

Viriusfighter non riesco nemmeno a disinstallarlo perchè dal pannello di controllo clicco su "disinstalla" ma il bottone "OK" è disattivato.

In basso a destra ci sono le piccole icone relative ma cliccandoci sopra compaiono i menu relativi ma nulla per poter disattivare l' antivirus.

Sul pannello di controllo vedo che l' antivirus e OK ma non c'è nulla che mi consenta di disattivarlo.

Sono incavolato nero, ma serve a poco !

Come faccio per disattivare provvisoriamente l' antivirus ?
Non sono un esperto, mi arrangio, ma fino ad un certo punto. :-(
Vi ringrazio molto,
Centrin

uno dei due disinstallalo perchèaltrimenti si pestano i piedi ed è come nonavere nessun antivirus.
quindi tieni nod32 se possiedi regolare licenzaltriemnti passa ad avira antivir classic che è free e di granlunga superiore ad entrambi :)


per nod32 basta che premi il tasto destro sulla sua icona verde affianco all'orologio e sciegli "chiudi e esci" in questo modo è stoppato :)

uno dei due disinstallalo perchèaltrimenti si pestano i piedi ed è come nonavere nessun antivirus.
quindi tieni nod32 se possiedi regolare licenzaltriemnti passa ad avira antivir classic che è free e di granlunga superiore ad entrambi :)


per nod32 basta che premi il tasto destro sulla sua icona verde affianco all'orologio e sciegli "chiudi e esci" in questo modo è stoppato :)

Grazie mille, IL NOD32 è regolarmente acquostato ma il VIRUSfigther lo avevo scaricato da Internet e l' avevo installato senza sapere che i due andavano in conflitto ! . Se cerco di disinstallarlo dal pannello di controllo apparino due bottoni di comando Uno "Annulla" e l' atro "Accetta" o "Prosegui" ( non ricordo bene ) ma quel bottone è DISATTIVATO e non posso disinstallarlo ! Nemmeno dal menù di VIRUSfigther c'è la possibilità di disinstallarlo !

E ora che fo ?

Grazie, :-)))
centrin ( sempre più incavolato ) :-(((

Grazie mille, IL NOD32 è regolarmente acquostato ma il VIRUSfigther lo avevo scaricato da Internet e l' avevo installato senza sapere che i due andavano in conflitto ! . Se cerco di disinstallarlo dal pannello di controllo apparino due bottoni di comando Uno "Annulla" e l' atro "Accetta" o "Prosegui" ( non ricordo bene ) ma quel bottone è DISATTIVATO e non posso disinstallarlo ! Nemmeno dal menù di VIRUSfigther c'è la possibilità di disinstallarlo !

E ora che fo ?

Grazie, :-)))
centrin ( sempre più incavolato ) :-(((

Ti avevo risposto qui http://www.hwupgrade.it/forum/showpost.php?p=23769778&postcount=469 :read:, vedi tu?

uno dei due disinstallalo perchèaltrimenti si pestano i piedi ed è come nonavere nessun antivirus.
quindi tieni nod32 se possiedi regolare licenzaltriemnti passa ad avira antivir classic che è free e di granlunga superiore ad entrambi :)


per nod32 basta che premi il tasto destro sulla sua icona verde affianco all'orologio e sciegli "chiudi e esci" in questo modo è stoppato :)



Grazie mille ! Ho disinstallato il VIRUS fighter. Ho disattivato il NOD32. Ho mandato in secuzione in tool per la rimozione di gromozon, ma mi si dice che sul PC non ci sono troianhorse, comunque il tool ha proseguito il suo lavoro fino in fondo e non ha trovato il gromozon, Che sia una variante ?

I "sintomi"del PC sono questi:

Non mi fa usare CCLEANER
Non mi fa collegare con VOI !!!!! ( sto scrivendo da un altro PC) e con qualche altro sito.
Ogni tre o quattro giorni lo schermo diventa bluastro e il PC si blocca. Devo staccare la batteria e riaccenderlo.

Grazie tremila e anche di più !

P.S.

Sapete come disattivare il sensore del mouse sul portatile e i relativi pulsanti ( centrino ) Io uso il mouse tradizionale.

Grazie mille ! Ho disinstallato il VIRUS fighter. Ho disattivato il NOD32. Ho mandato in secuzione in tool per la rimozione di gromozon, ma mi si dice che sul PC non ci sono troianhorse, comunque il tool ha proseguito il suo lavoro fino in fondo e non ha trovato il gromozon, Che sia una variante ?

I "sintomi"del PC sono questi:

Non mi fa usare CCLEANER
Non mi fa collegare con VOI !!!!! ( sto scrivendo da un altro PC) e con qualche altro sito.
Ogni tre o quattro giorni lo schermo diventa bluastro e il PC si blocca. Devo staccare la batteria e riaccenderlo.

Grazie tremila e anche di più !

P.S.

Sapete come disattivare il sensore del mouse sul portatile e i relativi pulsanti ( centrino ) Io uso il mouse tradizionale.
segui tutto quello che ti è stato detto qui
http://www.hwupgrade.it/forum/showpost.php?p=23769778&postcount=469

Innazitutto imposta i DNS di http://www.opendns.com/ dopodichè
fai girare la trial di Prevx (http://info.prevx.com/downloadprevx2.asp)

Poi fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)


Scrivi : [QUOTE=Chill-Out;23769778]Innazitutto imposta i DNS di [url]


Mi potresti dare qualche sèpiegazione di come fare. IL DNS non so cosa sia !
Grazie
Centrin

Scrivi : [QUOTE=Chill-Out;23769778]Innazitutto imposta i DNS di [url]


Mi potresti dare qualche sèpiegazione di come fare. IL DNS non so cosa sia !
Grazie
Centrin

Start → Pannello di Controllo → Rete e connessioni internet → Doppio click Connessione di rete → Doppio click su Protocollo Internet TCP/IP → Metti la spunta su Utilizza i Seguenti DNS → Inserisci
208.67.222.222
208.67.220.220

Iscritto. Forse servira' per il pc di una mia amica, quando lo usero' vi faro' sapere se ci sono problemi :)

Ho scaricato l'ammazza GROMOSON ma mi si dice che prima di usarlo devo disattivare l' antivirus e non so come fare !
[...]
Vi ringrazio molto,
Centrin

Ho lo stesso problema, con la differenza che non ho nessun software antivirus installato, c'era il kaspersky ma lho rimosso e sono sicuro non vi sia nient'altro.. Qualche idea?

Ho lo stesso problema, con la differenza che non ho nessun software antivirus installato, c'era il kaspersky ma lho rimosso e sono sicuro non vi sia nient'altro.. Qualche idea?

ciao

hai riscontrato gromozom?
leggi qui per la rimozione manuale di antivirus dopo problemi con la disinstallazione classica
http://www.hwupgrade.it/forum/showpost.php?p=24374390&postcount=175

ma piu o meno.. il kasperski da un altro pc mi aveva rilevato il linkoptimizer che sembra ora non esserci piu, ho fatto girare il removal della simantec e pare abbia funzionato, ma sul pc continuano ad esserci disfunzioni, tipo il kaspersky che non si aggiorna e altro.. cmq grazie per la dritta ora provo.

mm ok fatto sono riuscito a farlo andare ma dice che il gromozon non cè.. peccato che poco dopo ho aperto revo unistaller e indovina un po chi compare tra le applicazioni con l'icona di iexplorer? LinkOptimizer!! Non so piu che fare sembra invisibile a ogni programma persino secondo il gromozon removal.. Ora sta li tra i programmi istallati come connectionguard..

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

allora la guida l'ho gia seguita piu volte, il problema è che nessun software rileva nulla, ad eccezione di dr web che rileva quel file che avevo letto in un altro topic essere di excel, ora non trovo piu dove lavevo segnato.. Ad ogni modo il pc sembra pulito peccato che sono poppati due fantastici errori all'avvio, svchost e generic host process win 32.. Ora vedo di aggiungere qualche log..
Grazie per il supporto intanto.

allora la guida l'ho gia seguita piu volte, il problema è che nessun software rileva nulla, ad eccezione di dr web che rileva quel file che avevo letto in un altro topic essere di excel, ora non trovo piu dove lavevo segnato.. Ad ogni modo il pc sembra pulito peccato che sono poppati due fantastici errori all'avvio, svchost e generic host process win 32.. Ora vedo di aggiungere qualche log..
Grazie per il supporto intanto.

senza log possiamo capirci ben poco

Guardate ho perso la pazienza e ho formattato proprio poco fa.. scusate i post inutili e grazie cmq per l'assistenza.

di nulla
ti consiglio il trattamento in firma per proteggere meglio il tuo "nuovo" pc