Dunque, qualke tempo fà un mio amico relativamente esperto mi disse che causa alcuni dialer gli erano arrivate delle bollette salatissime.
Allora io cercai di mettergli a posto il pc, ma scoprii subito la presenza del gromozom o link optimizer, dunque tramite il tool presente sul forum lo rimossi e poi tra spybot, antivir, a-squared riuscii a ripulire il tutto o almeno così pensavo ...

Adesso dopo un pò di mesi il mio amico ha fatto la prodezza di installare i vari free di avg e bel bello sono ricominciati i problemi .... naturalmente i vari scan non trovano una ceppa, ma su installazioni applicazioni risultano esserci connection knight e connection service che ti rimandano a www.notetol.com che se aperto linka a una pagina colorata con in mezzo disinstalla.
Allora ho provato a far partire sia avenger,gmer che hijackthis , ma vengono tutti bloccati all'apertura .... pure in provvisoria.
Su services.msc è presente tale processo SEIJZU.exe :confused: e il processo smartlinkservice che non riportano nessuna dicitura.

Qualche consiglio??
No scanonline, grazie :)

P.s. Il pc è una carretta ....

Prova a far girare qualche antirootkit, ad esempio Panda antirootkit che non richiede neanche l'installazione: se c'è il Gromozon dovrebbe riconoscerlo...

Prova a far girare qualche antirootkit, ad esempio Panda antirootkit che non richiede neanche l'installazione: se c'è il Gromozon dovrebbe riconoscerlo...

Fatto, ma non mi rileva niente .. altri consigli :(

Allora prova a fare così:
-scarica VirIT da qui (http://www.tgsoft.it/)
-disabilita il ripristino di sistema
-vai in modalità provvisoria e fai una bella scansione...

scarica gmer,prova a rinominarlo ed eseguirlo,vedi se funziona.
dai sintomi potrebbe essere beagle no?!:O

è se è per quello potrebbe essere anche rustock; comunque log hijackthis e scansione con gmer

è se è per quello potrebbe essere anche rustock; comunque log hijackthis e scansione con gmer

ma se ha detto ke nn gli partono??:mbe:

---

vai su file comuni, dopo system e cancella tutti i file in verde... poi ce ne sarà uno ke nn si cancella, togli la crittografia e fai esegui --->msconfig, servizi evedi se ke un processo con nome strano, disabilitalo...

(se nn c puoi andare da qua vacci dal pannello di controllo, strumenti di amministrazione, servizi e da li troverai sicuramente sto servizo strano)

una volta ke lo disabiliti,vai in provvisoria e cancelli quel file ke nn si cancellava con Pocket Killbox...

:)

ora io dico, è da una vista che i virus i più scemi compresi disabilitano l'msconfig, e ti mi vieni a dire che uno dovrebbe usare quello?

ora io dico, è da una vista che i virus i più scemi compresi disabilitano l'msconfig, e ti mi vieni a dire che uno dovrebbe usare quello?

si, infatti gli ho dato l'altra alternativa...:D

Dunque, qualke tempo fà un mio amico relativamente esperto mi disse che causa alcuni dialer gli erano arrivate delle bollette salatissime.
Allora io cercai di mettergli a posto il pc, ma scoprii subito la presenza del gromozom o link optimizer, dunque tramite il tool presente sul forum lo rimossi e poi tra spybot, antivir, a-squared riuscii a ripulire il tutto o almeno così pensavo ...

Adesso dopo un pò di mesi il mio amico ha fatto la prodezza di installare i vari free di avg e bel bello sono ricominciati i problemi .... naturalmente i vari scan non trovano una ceppa, ma su installazioni applicazioni risultano esserci connection knight e connection service che ti rimandano a www.nototel.com che se aperto linka a una pagina colorata con in mezzo disinstalla.
Allora ho provato a far partire sia avenger,gmer che hijackthis , ma vengono tutti bloccati all'apertura .... pure in provvisoria.
Su services.msc è presente tale processo SEIJZU.exe :confused: e il processo smartlinkservice che non riportano nessuna dicitura.

Qualche consiglio??
No scanonline, grazie :)

P.s. Il pc è una carretta ....

Knight sembrerebbe un ISP T1 americano. :confused:
nototel.com sembra un dominio in parking, non vedo la pagina con in mezzo disinstalla di cui parli. Compare una pagina con dell'ajax che sembra effettuare una richiesta XmlHTTP ad una pagina random sullo stesso sito. Ho visto ci sono una marea di pagine (basta googlare GetIPPI) con l'html "rovinato" da queste funzioni - controllate voi stessi, come se questo codice javascript fosse stato "iniettato" nelle pagine - spesso in posizioni improprie nel codice, forse con un tool automatico che modifica le pagine aggiungendovi quella roba dopo aver avuto accesso ai files del sito (ne ho trovato un paio praticamente "aperti", anche con ftp :stordita: )

Il codice aggiunto a quelle pagine e'

function GetIPPI(g) {
var xmlHttp = createXMLHttpRequest();
if (xmlHttp != null) {
xmlHttp.open('GET', '/'+g+'.ippi?g='+g, true);
xmlHttp.send(null);
}
}

function createXMLHttpRequest() {
try { return new ActiveXObject('Msxml2.XMLHTTP'); } catch(e) {}
try { return new ActiveXObject('Microsoft.XMLHTTP'); } catch(e) {}
try { return new XMLHttpRequest(); } catch(e) {}
return null;
}

GetIPPI('a4e1909f-8081-4e67-987d-9b2d3fc45ba5');

dove la parte in grassetto e' casuale. Credo nei siti sia stato aggiunto un url rewriter che dunque traduce questo indirizzo casuale in una pagina che non e' possibile sapere facilmente. Che cosa faccia quella pagina non ne ho idea ad ora. Se si tratta di un tentativo di usare qualche exploit, e' interessante e allo stesso tempo preoccupante che usi una richiesta Ajax, dopo che ormai il trucchetto degli iframe e' ben noto.
Una idea su cosa ad esempio potrebbe fare una pagina ricavata con Ajax e' catturare la clipboard dell'utente, quindi una sorta di spyware (nella clipboard si potrebbe trovare di tutto, carte di credito, passwords, ecc.).
Quindi quella pagina controllerebbe prima se il browser ha il blocco della clipboard, se no potrebbe inviare il contenuto (testo) della clipboard da qualche parte. Ma e' solo una idea, non e' facile capire cosa quella pagina potrebbe fare. Cmq mi puzza, e parecchio :D

nelle vecchie varianti (non sò ora) quando venivi rimandato da installazione applicazioni alla pagina web col pc infettato ti scaricava un rootkit..quindi NON CLICCARE su disinstalla :rolleyes: tutt'al più o usi my uninstaller o ccleaner(strumenti->disinstallazione programmi) o ancora da hijackthis (open uninstall manager)



Saluti :cool:

Ciao ragazi, grazie delle info ... cmq il problema permane ... anche rinominando i vari gmer,hijackthis,avenger me li pianta come partono, la cosa strana è che antivir me lo fà tranquillamente installare e con quello ho trovato toshibahelper (il notebook naturalmente non è un toshiba) e dopo estenuanti tentativi dovrei essere riuscito a toglierlo.

Per quanto riguarda quei due connnection con qualsiasi uninstaller non me li trova, appaiono solo su installazione applicazioni e se gli dò rimuovi mi mandano a quella famosa pagina da cui naturalmente non clikko niente.
Ho provato pure vari antispyware tra cui Superantispyware,spywareterminator e counterspy, ma nessuno mi trova niente :mbe:
Altra cosa strana ogni volta all'avvio li si apre la pagina dei documenti, ma non c'è nessun processo che giustifichi questa cosa :confused:

A, chiedo venia il link l'ho sbagliato, è www.notetol.com ... ora però mi dà pagina inesistente ... cercando in rete ho trovato molte persone che hanno avuto questo problema, ma con i vari tool non risolvo niente :(

Verifica

ma se ha detto ke nn gli partono??:mbe:

---

vai su file comuni, dopo system e cancella tutti i file in verde... poi ce ne sarà uno ke nn si cancella, togli la crittografia e fai esegui --->msconfig, servizi evedi se ke un processo con nome strano, disabilitalo...

(se nn c puoi andare da qua vacci dal pannello di controllo, strumenti di amministrazione, servizi e da li troverai sicuramente sto servizo strano)

una volta ke lo disabiliti,vai in provvisoria e cancelli quel file ke nn si cancellava con Pocket Killbox...

:)

hai fatto ciò??

hai fatto ciò??


Sì, ma non c'è nessun processo strano :confused:

I file verdi si sono cancellati tutti e nessuno non si è cancellato :(

Sì, ma non c'è nessun processo strano :confused:

I file verdi si sono cancellati tutti e nessuno non si è cancellato :(

in servizi nn c'è un processo strano tipo Sykyzs??

in servizi nn c'è un processo strano tipo Sykyzs??


Intendi su services.msc ??

C'è quello che ho scritto sopra: SEIJZU.exe che ho disabilitato direttamente da lì, ma dove mi hai detto tu non lo trovo :( .... oppure sbaglio qualcosa??

P.s. altra cosa strana io nel pc mi muovo liberamente, msconfig funziona tranquillamente :confused:

Intendi su services.msc ??

C'è quello che ho scritto sopra: SEIJZU.exe che ho disabilitato direttamente da lì, ma dove mi hai detto tu non lo trovo :( .... oppure sbaglio qualcosa??

P.s. altra cosa strana io nel pc mi muovo liberamente, msconfig funziona tranquillamente :confused:

mi fai uno screen dei sevizi??

A, chiedo venia il link l'ho sbagliato, è www.notetol.com ... ora però mi dà pagina inesistente ... cercando in rete ho trovato molte persone che hanno avuto questo problema, ma con i vari tool non risolvo niente :(

Verifica

LOL! :D
Senza saperlo ne hai trovato un altro sospetto :asd:

mi fai uno screen dei sevizi??


Purtroppo non posso perchè oggi il collega non ha portato il portatile a lavoro e io da oggi vado in ferie fino al 20 :(
Quelle procedure le avevo fatte ieri, ma non avevo postato sul forum.
Ah, anche con virit non mi trova niente :confused:

LOL! :D
Senza saperlo ne hai trovato un altro sospetto :asd:


:D

Quanto sò avanti :fagiano:

Purtroppo non posso perchè oggi il collega non ha portato il portatile a lavoro e io da oggi vado in ferie fino al 20 :(
Quelle procedure le avevo fatte ieri, ma non avevo postato sul forum.
Ah, anche con virit non mi trova niente :confused:

vedi se oltre a Toshibahelper vedi qualcosa di simile tipo MacromediaSensor.exe

Fai una scansione anke cn AVG Free

vedi se oltre a Toshibahelper vedi qualcosa di simile tipo MacromediaSensor.exe

Fai una scansione anke cn AVG Free

Con i vari avg free le avevo già fatte dato che li aveva installati tutti, ma non mi trovava assolutamente niente, ora che me lo dici, mi sà che nel task manager ci sia MacromediaSensor.exe, nel caso cosa dovrebbe fare il mio amico ??

Con i vari avg free le avevo già fatte dato che li aveva installati tutti, ma non mi trovava assolutamente niente, ora che me lo dici, mi sà che nel task manager ci sia MacromediaSensor.exe, nel caso cosa dovrebbe fare il mio amico ??

killare il processo... poi x cancellarlo c'era un utility della NOD32, solo ke nn mi ricordo come si kiama...:stordita: :(

killare il processo... poi x cancellarlo c'era un utility della NOD32, solo ke nn mi ricordo come si kiama...:stordita: :(

Ok, gli dò la dritta e lo mando alla ricerca ;)

Ok, gli dò la dritta e lo mando alla ricerca ;)

te ne sarei grato (se la trova) se me lo posteresti, ke io l'ho perso...:cry:

te ne sarei grato (se la trova) se me lo posteresti, ke io l'ho perso...:cry:


Assolutamente sì ;)

Assolutamente sì ;)

grazie mille...:)

killare il processo... poi x cancellarlo c'era un utility della NOD32, solo ke nn mi ricordo come si kiama...:stordita: :(

Agent.VP Cleaner (http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP) ;)

Agent.VP Cleaner (http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP) ;)

si si proprio lui!! grazie...:D

hum...è un tentativo un poco aleatorio..però con me a funzionato....se sai la data precisa dell'infezione potresti fare una ricerca specificando la data da "cerca" con carattere jolli nel nome file ovvero *.* naturalmente nelle opzioni avanzate devi spuntare le prime 3 caselle.....in questo modo vedrai tutto quello che è stato creato quel giorno che principalmente saranno temp ed index dat,il che è normale,però troveresti anche dll e file exe,vedi se è fattibile...lo sò che è un lavoraccio andarsi a spulciare tutto ma in mancanza d'altro.......

Saluti :cool:

Grazie di tutto ragazzi, ormai sono a casa in vacanza ... ho dato tutte le dritte possibili al mio amico, spero non faccia casini, vi farò sapere quando tornerò a lavoro, dopo il 20 :D

Grazie di tutto ragazzi, ormai sono a casa in vacanza ... cacchio! come ti invidio.. a me mancano ancora 8 gg :muro:
ho dato tutte le dritte possibili al mio amico, spero non faccia casini, vi farò sapere quando tornerò a lavoro, dopo il 20 :D sperem in ben ;)

Grazie di tutto ragazzi, ormai sono a casa in vacanza ... ho dato tutte le dritte possibili al mio amico, spero non faccia casini, vi farò sapere quando tornerò a lavoro, dopo il 20 :D

ok, ciao!!:)

ah, e buone vacanze...:D

Grazie a tutti e due :)

Grazie a tutti e due :)

:) :)

prova a fare una scansione online con kaspersky e poi postarne il risultato...

prova a fare una scansione online con kaspersky e poi postarne il risultato...

nel primo post ha detto "no scansioni online"...