Sintomi:

- Chiude GMer (terminando anche explorer.exe che poi viene richiamato)
- Chiude SpyBot S&D (stessa cosa)
- Lascia il NOD a poltrire (le scansioni non danno risultato)
- Viene rilevato da FixGromozone, ma al riavvio si ripresenta
- ADSR rileva alcuni stream che però non può rimuovere
- Cambia i privilegi di amminstrazione all'utente corrente

ed ora ciliegina sull torta...

In modalità provvisoria mette le password agli account :D
La cosa avviene ogni volta che si tenta un avvio in modalità provvisoria, ed probabilmente fa il controllo tutte le volte ... anche perchè provando con Active PWD changer a rimuovere almeno quella da administrator, al riavvio seguente se la è già ricreata.

Premesso che... posso fare bakup, e riformattare la macchina... c'è mica qualcuno che ci è incappato che odio dargliela vinta ?

Grazie mille :)

azzo.... cattivo èèè...

scan online li riesci a fare...?

vai su file comuni--system e vedi se ci sono file con nomi strani in verde...

prova hijackthis, (ma credo ke ti si chiuderà come GMER...:()...

Questo e' figo :D

Fai questa prova, almeno per impedirgli di cambiare le impostazioni degli utenti, e poi vediamo come procedere.

Avvia poi Security Policies (Start->Run->secpol.msc),

Account Policies -> Password Policy -> Minimum password length-> metti un valore alto, per es. 20 caratteri, cosi' la bestiolina non dovrebbe riuscire facilmente a cambiare le password degli utenti.

Cambia poi le password di tutti gli account, rispettando la lunghezza minima.
Se la bestiolina e' stupida e non controlla le policies, non dovrebbe riuscire a cambiare le password - nella speranza che tenti di settarne di piu' brevi del minimo da te impostato :D

Riavvia dunque il sistema, e vedi se ti ha cambiato le password. Se ha funzionato e le password non sono state cambiate, allora vediamo cos'altro provare.


Facci sapere :D

prova anche a creare un nuovo admin con nome a caso, e disabilitare Administrator.

Ma graande Sisupoika... in effetti questa non l'ha digerita il fetentone... :D
Si... Hijack lo termina, anzi ... manco arrivo a lanciarlo, appena accedo alla directory di Hijack sulla pendrive... mi chiude explorer.exe e poi lo riavvia terminando tutti i processi a desktop.

Adesso vedo se riesco a rinominare un po di immondizia, gia esser entrato in provvisoria mi da gioia e speranza.

O raga, comunque ultimamente è una tragedia con i rootkit... non se ne può più ! ... fino a poco tempo fa si riuscivano a pulire con le buone o con le cattive... credo di aver bakuppato e reinstallato piu da 6 mesi ad adesso che in 5 anni !

Ma graande Sisupoika... in effetti questa non l'ha digerita il fetentone... :D
Si... Hijack lo termina, anzi ... manco arrivo a lanciarlo, appena accedo alla directory di Hijack sulla pendrive... mi chiude explorer.exe e poi lo riavvia terminando tutti i processi a desktop.

Adesso vedo se riesco a rinominare un po di immondizia, gia esser entrato in provvisoria mi da gioia e speranza.

O raga, comunque ultimamente è una tragedia con i rootkit... non se ne può più ! ... fino a poco tempo fa si riuscivano a pulire con le buone o con le cattive... credo di aver bakuppato e reinstallato piu da 6 mesi ad adesso che in 5 anni !

LOL quindi ha funzionato :D
Adesso, loggato col tempAdmin, prova a cancellare tutto dalla chiave Run del registro e dall'esecuzione automatica se c'e' qualcosa; riavvia, e vedi se qualcosa e' stato automaticamente aggiunto. Se e' vuota come l'avevi lasciata (sperem) prova a chiudere tutti i processi a parte quelli di sistema e disattiva tutti i servizi che puoi disattivare - non sappiamo ancora se e a che livello ha controllo sul kernel, e prova hijackthis di nuovo. Facce sape' :D

Ma graande Sisupoika... in effetti questa non l'ha digerita il fetentone... :D
Si... Hijack lo termina, anzi ... manco arrivo a lanciarlo, appena accedo alla directory di Hijack sulla pendrive... mi chiude explorer.exe e poi lo riavvia terminando tutti i processi a desktop.

Adesso vedo se riesco a rinominare un po di immondizia, gia esser entrato in provvisoria mi da gioia e speranza.

O raga, comunque ultimamente è una tragedia con i rootkit... non se ne può più ! ... fino a poco tempo fa si riuscivano a pulire con le buone o con le cattive... credo di aver bakuppato e reinstallato piu da 6 mesi ad adesso che in 5 anni !

come prevedevo... è una variante gromozon...

vai su file comuni--system e vedi se ci sono file con nomi strani in verde...

Va beh... sto giro ho formattato che il tempo a disposizione non era particolarmente clemnte, la prossima volta farò un immagine del disco da torturare !!!

Grazie a tutti per le dritte !!! :D

Va beh... sto giro ho formattato che il tempo a disposizione non era particolarmente clemnte, la prossima volta farò un immagine del disco da torturare !!!

Grazie a tutti per le dritte !!! :D

:)

Va beh... sto giro ho formattato che il tempo a disposizione non era particolarmente clemnte, la prossima volta farò un immagine del disco da torturare !!!

Grazie a tutti per le dritte !!! :D

Hai sbagliato. Mai arrendersi :asd:

Hai sbagliato. Mai arrendersi :asd:

:asd:

un mio amico ke voleva formattare x i virus, io gli ho detto: fammi pensare a me ke te lo sistemo senza formattare... e gli ho ripulito oltre 400 virus, spyware e altra roba...:eek:

e ankora nn è pulito al 100%...:asd:

Hai sbagliato. Mai arrendersi :asd:

quoto, formattare è uguale a dire sono stato talemtne incapace da farmi battare da un ammasso di bit

quoto, formattare è uguale a dire sono stato talemtne incapace da farmi battare da un ammasso di bit

:read:

Kaspersky aggiornato + BatPE + Windows = Cd con kasp. e win autoavviante che elimina qualunque cosa:cool:

interessante, mi spiegheresti come creare questo cd?

interessante, mi spiegheresti come creare questo cd?

installi kaspersky antivirus lo aggiorni installi bartpe mi pare alla sezione servizio ci sia il tasto realtivo all'opzione

:cry: Malefici ! Mi fate sentire in colpa... :D

ok ok ... la prossima volta vi allegherò i "brandelli" di Virus sconfitto!

installi kaspersky antivirus lo aggiorni installi bartpe mi pare alla sezione servizio ci sia il tasto realtivo all'opzione

what is BartPe? dove lo trovo?

what is BartPe? dove lo trovo?

http://download.html.it/software/vedi/2838/bartpe-builder/

:)

Ma posso utilizzare il cd che creero' su tutti i pc infetti, oppure funzionera' solo sul pc da cui l'ho creato?

Ma posso utilizzare il cd che creero' su tutti i pc infetti, oppure funzionera' solo sul pc da cui l'ho creato?

penso da tutti i picci...:) :)

ok! nel WeekEnd provo a fare sto CD ;)

a me se vado sul link mi da impossibile visualizzare la pagina... altri link?

a me se vado sul link mi da impossibile visualizzare la pagina... altri link?

il mio link??:confused:

si, non funziona.. ne hai altri?

si, non funziona.. ne hai altri?

a me va perfetto...:confused: :confused:

prova qst e vedi se va: http://download.html.it

Sintomi:

- Chiude GMer (terminando anche explorer.exe che poi viene richiamato)
- Chiude SpyBot S&D (stessa cosa)
- Lascia il NOD a poltrire (le scansioni non danno risultato)
- Viene rilevato da FixGromozone, ma al riavvio si ripresenta
- ADSR rileva alcuni stream che però non può rimuovere
- Cambia i privilegi di amminstrazione all'utente corrente

ed ora ciliegina sull torta...

In modalità provvisoria mette le password agli account :D
La cosa avviene ogni volta che si tenta un avvio in modalità provvisoria, ed probabilmente fa il controllo tutte le volte ... anche perchè provando con Active PWD changer a rimuovere almeno quella da administrator, al riavvio seguente se la è già ricreata.

Premesso che... posso fare bakup, e riformattare la macchina... c'è mica qualcuno che ci è incappato che odio dargliela vinta ?

Grazie mille :)

Davvero cattivo..la prossima volta: FALLO FUORI PER NOI!:cool:

oggi ho riprovato a cliccare sul primo link e ha funzionato:doh: ... bho....:D

oggi ho riprovato a cliccare sul primo link e ha funzionato:doh: ... bho....:D

:muro: misteri dell'informatica...:D :D

sono d'accordo...

ma riconosce l'installazione di vista?

sono d'accordo...

ma riconosce l'installazione di vista?

l'unica è provare...:)

a me non la vede... è possibile...

a me non la vede... è possibile...

è possibile...:(

sigh...:mad:

avevo trovato un programma utile...

sigh...:mad:

avevo trovato un programma utile...

:(

Sintomi:

- Chiude GMer (terminando anche explorer.exe che poi viene richiamato)
- Chiude SpyBot S&D (stessa cosa)
- Lascia il NOD a poltrire (le scansioni non danno risultato)
- Viene rilevato da FixGromozone, ma al riavvio si ripresenta
- ADSR rileva alcuni stream che però non può rimuovere
- Cambia i privilegi di amminstrazione all'utente corrente

ed ora ciliegina sull torta...

In modalità provvisoria mette le password agli account :D
La cosa avviene ogni volta che si tenta un avvio in modalità provvisoria, ed probabilmente fa il controllo tutte le volte ... anche perchè provando con Active PWD changer a rimuovere almeno quella da administrator, al riavvio seguente se la è già ricreata.

Premesso che... posso fare bakup, e riformattare la macchina... c'è mica qualcuno che ci è incappato che odio dargliela vinta ?

Grazie mille :)

Stessi sintomi su un pc di un cliente, io ho passato pure il tool di rimozione gromozon, me l'ha rilevato (o cmq ha rilevato qualcosa di simile) ma dopo il riavvio niente da fare stessi problemi chiusura random di explorer e iexplorer e chiusura istantanea di hijack gmer e compagnia bella anche rinominando; e soprattutto la simpatica modifica delle password riavviando in modalità provvisoria....alla fine ho formattato


Cmq ho notato che negli ultimi giorni vanno per la maggiore malware che disabilitano proprio l'esecuzione di explorer.exe e iexplorer.exe...

tramite 2 stringhe nel registro di sistema che vanno eliminate dopo le pulizie

hkey local/software/microsoft/windowsnt/current version/image file execution options/
in questo percorso vengono inserite due nuove chiavi relative a explorer e iexplorer all'interno bisogna eliminare le stringhe debugger...

Scusate se riprendo questa discussione,era solo per raccontare ciò che è accaduto ad un amico ieri,che credo abbia preso lo stesso virus di xsdioz...
Sarò breve: portatile asus,norton suite 2006 in fase di scadenza,navigazione e p2p sbarazzina(:oink:).Pomeriggio accende il pc e si ritrova col suo utente più un altro chiamato "adminestrator" con la "e":mbe: e protetto da password,entra col suo navigazione impossibile e norton defunto.Allora decide di portarlo da un tecnico(un mio mezzo cugino),all'accensione era rimasto solo l'account adminestrator:eek:
La voleta la chicca?Il presunto "tecnico" gli ha detto che non era un virus,ma bensì era l'asus che aveva creato quell'account per via della mancata registrazione del prodotto nel sito asus e che quindi la soluzione era chiamare l'asus per farsi dare la password,e riprendere possesso del proprio pc...:mbe:
Non vi dico le risate quando me lo ha detto:asd:

Scusate se riprendo questa discussione,era solo per raccontare ciò che è accaduto ad un amico ieri,che credo abbia preso lo stesso virus di xsdioz...
Sarò breve: portatile asus,norton suite 2006 in fase di scadenza,navigazione e p2p sbarazzina(:oink:).Pomeriggio accende il pc e si ritrova col suo utente più un altro chiamato "adminestrator" con la "e":mbe: e protetto da password,entra col suo navigazione impossibile e norton defunto.Allora decide di portarlo da un tecnico(un mio mezzo cugino),all'accensione era rimasto solo l'account adminestrator:eek:
La voleta la chicca?Il presunto "tecnico" gli ha detto che non era un virus,ma bensì era l'asus che aveva creato quell'account per via della mancata registrazione del prodotto nel sito asus e che quindi la soluzione era chiamare l'asus per farsi dare la password,e riprendere possesso del proprio pc...:mbe:
Non vi dico le risate quando me lo ha detto:asd:

:asd: :asd:

basta andare in provvisoria e togliere l'account...;)

:asd: :asd:

basta andare in provvisoria e togliere l'account...;)

troppo tardi,ha già formattato...:sofico:
l'avrebbe fatto lo stesso entro il mese per togliere il norton...;)
e per concludere....:tapiro: il tecnico gli ha detto di sostituire norton con spybot:mbe:

troppo tardi,ha già formattato...:sofico:
l'avrebbe fatto lo stesso entro il mese per togliere il norton...;)
e per concludere....:tapiro: il tecnico gli ha detto di sostituire norton con spybot:mbe:

spybots??:mbe:

metti AntiVir...;)