Ragazzi... è una cosa incredibile quello che mi sta succedendo!...

In sostanza non saprei se è causa di un virus o meno.... ma per scrivere questo messaggio ho dovuto istallare oggi Natscape !


In pratica se io voglio entrare su questo FORUM HARDWERE UPGRADE , pare non mi dia assolutamente accesso....

Questo non perchè sia stato sospeso o bannato.... ma proprio non mi da accesso alla pagina , come se qualcosa bloccasse l'accesso al forum.

Questo succede con Explorer 7 , Firefox e Opera!... incredibile... pensavo fosse la mia linea Alice 7 mega, invece la linea va perfettamente e dopo poco ho realizzato che andavano pure altri siti web.... tranne fatalità il forum di Hardwere Upgrade!.... Non a caso il destino vuole che sia il forum che visualizzo più spesso.... e non capisco il motivo per il quale ora non mi da proprio accesso alla pagina (pagina bianca o non disponibile).


Nella rabbia ho provato solo per caso ad istallare netscape e qui funzione tutto correttamente....


non vorrei che ci fosse un "blocco" che ho erroneamente attivato... ma non mi sembra. Devo dire che l'altro giorno ho disistallato un antivirus (ANTIVIR) perchè era scaduto. Ho provato ristallarlo ma il problema rimane... quindi non penso dipenda da quello....


come mai?... Sapete aiutarmi?:muro:

Prova a caricare il log di hijackthis....

ciao.... dove lo trovo o posso recuperarlo??:cry:

Lo trovi qui (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip)
Si raccomanda di scompattare HiJackThis in una directory esclusiva, quindi non sul desktop!

wjmat, pardon...


l'ho scaricato ora.... vedo che è solo un file.....

devo inserirlo per caso sulla directory di Windows/sistem32

wjmat, pardon... ma devo inserirlo per caso sulla directory di Windows/sistem32
si raccomanda di scompattare HiJackThis in una directory esclusiva, quindi non sul desktop

Segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

benvenuto nel mondo di gromozon alias link optimizer. c'è la variante B scoperta a febbraio 2007 da symantec e a distanza di più di un anno solo 3 o 4 antivirus la riescono a individuare: symantec (firme che comunque non riesce a pulire), kaspersky (non ne sono sicuro) e esafe (euristica) e avira (euristica). quest'ultima però non è in grado di pulire il sistema dal virus. bisogna necessariamente fare una pulizia a mano.
cerca un file che ha nome random in windows/system32 con estensione .var e invialo a virustotal.com per una scansione così da capire con quale variante si ha a che fare (prima di cercare abilita la visualizzazione delle estensioni per i tipi di file conosciuti).
nemmeno prevx riesce a individuare questa variante b (parlo del tool dedicato per la disinfezione gromozon).
se si tratta di questa variante, non ti permetterà di usare tool tipo hijackthis, avenger e gmer.
probabilmente avrai difficoltà a leggere questo forum (fatto salvo per netscape che funziona... non lo sapevo). se non riesci a leggere questi post, leggici con un'altro computer pulito che avrai a portata di mano.

forse funziona sei rinomini hijackthis.exe in _h_i_j_a_c_k_t_h_i_s_.exe per esempio...ma oramai il male è stato diagnosticato ;)

wjmat, pardon...


l'ho scaricato ora.... vedo che è solo un file.....

devo inserirlo per caso sulla directory di Windows/sistem32

no lo devi inserire in una cartella qualsiasi, creata ad esempio sul desktop e lanciarlo, ma se fosse gromozon non credo te lo farà usare. vjmat ha scritto che basta rinominarlo ma la variante b non permette di fare nemmeno questo.

@: c.m.g.

credi che prevx csi sia in grado di individuarlo?

non ne ho idea, in base alla scansione del sample che ho mandato a virustotal.com anche prevx non lo rilevava, ma non so se hanno lo stesso engine quindi forse no, mi dispiace, non ho provato.
comunque esistono alcune chiavi di registro da eliminare, nel caso, vi sarò di supporto. proprio stamani ho ripulito un portatile infetto da questa bestiolina :D
resta comunque da capire con che variante abbiamo a che fare.

non ne ho idea, in base alla scansione del sample che ho mandato a virustotal.com anche prevx non lo rilevava, ma non so se hanno lo stesso engine quindi forse no, mi dispiace, non ho provato.
comunque esistono alcune chiavi di registro da eliminare, nel caso, vi sarò di supporto. proprio stamani ho ripulito un portatile infetto da questa bestiolina :D
resta comunque da capire con che variante abbiamo a che fare.

Ciao cosa ne dici di provare da Task Manager e terminare explorer.exe o ctfmon.exe e poi falciare questa chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\explorer.exe

la chiave è protetta da scrittura, bisognerà prima cancellare con questo tool (http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP) (che assomiglia molto ad avenger) il file con [nome random].var

2)disattivare il ripristino conf. di sistema, aprire il taskmanager (ctrl+alt+canc), premi la tab.Processi, e selezionare explorer.exe, premi Termina processo, il desktop sparirà, sempre dal taskmanager bisogna andare su file>nuova operazione, scrivere regedt32>OK, si apre il registro di sistema, andare alla voce explorer.exe cliccando sul segno + accanto alle singole voci del seguente percorso:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
explorer.exe

click tasto dx su di essa>Autorizzazioni>Avanzate>premi il tab.Proprietario>autorizza l'Utente del computer>OK. Tornare alla pagina principale, mettere la spunta a Controllo completo e lettura>OK. Click tasto dx sulla voce e scegliere Elimina. <<== facendo questa operazione sarà possibile modificare/cancellare la chiave di riferimento all'infezione.


3)Sempre dal task manager , bisogna andare su file>nuova operazione e scrivi explorer.exe >OK per ripristinare il desktop.

4)avviare Avgpfix
(premi start, individui il file:
c:\windows\system32\file
premi OK per eliminare il file).

5) è consigliato fare una passatina con ccleaner

a questo punto credo che sarà possibile fare tutte le operazioni del caso ed usare tool tipo hijackthis et similia (ma credo che a questo punto è superfluo, infatti a me risultava pulito dopo queste operazioni).

prima di avviare questa procedura, specifica per la variante b, sottolineo che bisogna vedere con che variasnte si ha a che fare cercando quel file in windows/system32 con [nome random].var ed inviarlo per una scansione su virustotal.com per saperlo. è inutile fasciarsi rima di farsi la ferita e prima di sapere con cosa si ha a che fare :D

@chill-out: non so perchè mi hai quotato ma l'infezione non è mia, io ho risolto sul portatile non mio che ho ripulito stamane, l'infezionbe è di Fasa e presumo sia gromozon.

la chiave è protetta da scrittura, bisognerà prima cancellare

si, bisogna provvedere anche a riprisitnare le autorizzazioni manualmente e si dovrebbe cancellare lo stesso.

@chill-out: non so perchè mi hai quotato ma l'infezione non è mia, io ho risolto sul portatile non mio che ho ripulito stamane, l'infezionbe è di Fasa e presumo sia gromozon.

lo sò che l'infezione non è la tua, era solo per spirito collaborativo/supporto tutto quà

ok per il tool della nod per i file crittografati(che dovrebbero trovarsi anche in file comuni)ma:
-il servizio random(da togliere sempre col tool della nod)
-userinit
-virit e superantispyware
non vanno piu fatte queste cose?

OT: o santa pace hai ricambiato Avatar :D ;)

ok per il tool della nod per i file crittografati(che dovrebbero trovarsi anche in file comuni)ma:
-il servizio random(da togliere sempre col tool della nod)
-userinit
-virit e superantispyware
non vanno piu fatte queste cose?

come detto nei precedenti post, bisogna innanzitutto sapere con che variante si ha a che fare e poi spiegare le istruzioni da intraprendere; sino a quando non risponderà l'utente infetto siamo con le mani legate. quello che ho spiegato su, era per la variante "B"

Eccomi,,,

apro una parentesi... ho provato kasperspy demo (1 mese) ma adirittura si è inchiodato il programma e l'ho disistallato subito!


Ecco qua il file LOG, spero possiate aiutarmi!! :


ecco il link file LOG


http://www.savefile.com/files/1506213

benvenuto nel mondo di gromozon alias link optimizer. c'è la variante B scoperta a febbraio 2007 da symantec e a distanza di più di un anno solo 3 o 4 antivirus la riescono a individuare: symantec (firme che comunque non riesce a pulire), kaspersky (non ne sono sicuro) e esafe (euristica) e avira (euristica). quest'ultima però non è in grado di pulire il sistema dal virus. bisogna necessariamente fare una pulizia a mano.
cerca un file che ha nome random in windows/system32 con estensione .var e invialo a virustotal.com per una scansione così da capire con quale variante si ha a che fare (prima di cercare abilita la visualizzazione delle estensioni per i tipi di file conosciuti).
nemmeno prevx riesce a individuare questa variante b (parlo del tool dedicato per la disinfezione gromozon).
se si tratta di questa variante, non ti permetterà di usare tool tipo hijackthis, avenger e gmer.
probabilmente avrai difficoltà a leggere questo forum (fatto salvo per netscape che funziona... non lo sapevo). se non riesci a leggere questi post, leggici con un'altro computer pulito che avrai a portata di mano.


non ho nessun file random.var o .var dentro quella cartella....

gentilmente modifica il tuo post: i log nn vanno incollati

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

si scusa per la fretta

riuscite a scaricarlo?

ecco il link file LOG


http://www.savefile.com/files/1506213

risultato con virustotal:rolleyes:


http://www.virustotal.com/it/analisis/8d0883a20ca9640a89fc45c2224a21d8

-Fai una cosa start>esegui>services.msc e vedi se trovi qualche servizio che nella colonna "connessioni" non ha nè "sistema locale" nè "servizio di rete" ma un altro nome strano...
-Poi vai in C:\Programmi\File comuni\System e C:\Programmi\File comuni\Microsoft Shared e vedi se trovi dei file colorati in verde
-Infine fai start>esegui>regedit>ok
key local machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ guarda nel riquadro a dx e cerca "Userinit" doppio click su esso e dimmi cosa trovi scritto su dati valore
Di regola dovrebbe esserci solo questo,virgola finale compresa "C:\WINDOWS\system32\userinit.exe,"

-Fai una cosa start>esegui>services.msc e vedi se trovi qualche servizio che nella colonna "connessioni" non ha nè "sistema locale" nè "servizio di rete" ma un altro nome strano...
-Poi vai in C:\Programmi\File comuni\System e C:\Programmi\File comuni\Microsoft Shared e vedi se trovi dei file colorati in verde
-Infine fai start>esegui>regedit>ok
key local machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ guarda nel riquadro a dx e cerca "Userinit" doppio click su esso e dimmi cosa trovi scritto su dati valore
Di regola dovrebbe esserci solo questo,virgola finale compresa "C:\WINDOWS\system32\userinit.exe,"

ciao vado con ordine :

- su services.msc è tutto ok... cioè nella colonna che indichi nulla di strano

- solo su C:\Programmi\File comuni\System

trovo queste cartelle in "verde/giallo" :

directdb.dll
wab32.dll
wab32res.dll

- l'ultimo punto è ok!

vi dico la novità... ora riesco ad accedere ad explorer mettendo come pagina iniziale ad esempio questa discussione...


mi funziona per circa 2 minuti poi si inchioda nuovamente e devo entrare per leggere con Natscape!!!!

pazzia!!!:confused:


ovviamente come sempre mi funzionana l'adsl... non ho problemi con altri siti...

quindi nessun servizio,chiave,exe strano,meglio cosi!
come indicato al post 6 da degasp inizia a seguire la guida e pubblicare i log secondo le modalità richieste

ok ora provo... ma il file LOG che ho linkato dice qualcosA?

ma gli ho messi sul file allegato precedentemente ... non sono quelli? :confused:

il primo è solo il log di hjkthis,il secondo è lo stesso log scansionato su virustotal:D
non basta,dovresti eseguire tutta la guida linkata dal moderatore;)

ok ora provo... ma il file LOG che ho linkato dice qualcosA?

dice molto,sembra na bisca clandestina:stordita:

niente da fare ragazzi... ho seguito le guide fin'ora indicate ma nulla il problema rimana


inoltre riavviando il pc (ricordo XP) .... mi da questo avviso


http://i29.tinypic.com/10pzn68.jpg

LA tua guida/post di riferimento sarebbe questa (http://www.hwupgrade.it/forum/showthread.php?t=1271721&highlight=gromozon)
Comincia a disabilitare il ripristino di sistema.
Per diminuire i files da scansionare fai prima una bella pulizia con CCleaner come indicato [ qui ] (http://www.hwupgrade.it/forum/showthread.php?t=1589984)al punto 2.
Scarica da [ qui ] (http://www.snapfiles.com/download/dlatfcleaner.html) ATF Cleaner per una velocissima pulizia complementare.
Nella prima schermata -> Select All -> Empty Selected
Nel menù Firefox -> Select All -> NO -> Empty Selected

Poi comincia a fare una scansione con il tool della previx che trovi qui (http://info.prevx.com/gromozon.asp?sessionid=54112671-B5E8-416C-8A78-44B38959F7AE)

mammamia ragazzi... FINALMENTE non ci posso credere!!

questo programma finalmente mi ha liberato dal problema!!

PREVX csi .... erano ben 4 trojan.VUNDO !!!

ora il pc scorre che una favola.... finalmente fine di un'incubo...


ringrazio davvero tutti per la collaborazione!!

Vi so dire meglio nelle prossime ore se ho ancora problemi...

mi rimane solo il fatto che all'avvio mi esce quella finestra.... quel file dove posso ripescarlo?:fagiano:

mammamia ragazzi... FINALMENTE non ci posso credere!!

questo programma finalmente mi ha liberato dal problema!!

PREVX csi .... erano ben 4 trojan.VUNDO !!!

ora il pc scorre che una favola.... finalmente fine di un'incubo...


ringrazio davvero tutti per la collaborazione!!

Vi so dire meglio nelle prossime ore se ho ancora problemi...

mi rimane solo il fatto che all'avvio mi esce quella finestra.... quel file dove posso ripescarlo?:fagiano:

Se avessi allegato i log forse saremmo riusciti a darti una mano, senza vedere i log come facciamo, inoltre Prevx Csi disinfetta solo se acquisti regolare licenza.

io sarei piu propenso per seguire questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1603273
penso che servano i tool per il vundo+combofix per le dll
prima chiedo conferme naturalmente

Se avessi allegato i log forse saremmo riusciti a darti una mano, senza vedere i log come facciamo, inoltre Prevx Csi disinfetta solo se acquisti regolare licenza.


?:confused: Chill-Out i LOG gli ho inseriti sopra in quel link da scaricare (1-2kb)... pare che qualcuno gli abbia già visti...

?:confused: Chill-Out i LOG gli ho inseriti sopra in quel link da scaricare (1-2kb)... pare che qualcuno gli abbia già visti...

Io ho visto solo il log di HJT , mi sono perso qualcosa? :stordita:

?:confused: Chill-Out i LOG gli ho inseriti sopra in quel link da scaricare (1-2kb)... pare che qualcuno gli abbia già visti...

gaurda che l'ì c'è solo il logh HiJackThis mancano molti logs :D

segui la procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti rispettando le Regole di Sezione.

gaurda che l'ì c'è solo il logh HiJackThis mancano molti logs :D

segui la procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti rispettando le Regole di Sezione.

come ha detto beyond, qui se c'è una guida da seguire, è la guida x la rimozione del vundo, quindi:

Fasa segui la procedura indicata in prima pagina in questo 3d
http://www.hwupgrade.it/forum/showthread.php?t=1603273

esegui tutti i programmi in guida, e posta tuttti i log....

mi raccomando: tutti i log, nn capisco perchè ogni volta siete cosi restii a postare i log, come se c fosse chissà quale informazione personale....:mbe:

se nn posti i log indicati in quella guida, è inutile che chiedi il nostro aiuto....

inoltre ritengo sia necessario spostarci in quel 3d, ovvero Fasa: i log devi pubblicarli in quel 3d e nn piu qui...

buon lavoro

non ho nessun file random.var o .var dentro quella cartella....

ok, ora abbiamo capito che non è la variante b. mi fa piacere che hai risolto.

come ha detto beyond, qui se c'è una guida da seguire, è la guida x la rimozione del vundo, quindi:

Fasa segui la procedura indicata in prima pagina in questo 3d
http://www.hwupgrade.it/forum/showthread.php?t=1603273

esegui tutti i programmi in guida, e posta tuttti i log....

mi raccomando: tutti i log, nn capisco perchè ogni volta siete cosi restii a postare i log, come se c fosse chissà quale informazione personale....:mbe:

se nn posti i log indicati in quella guida, è inutile che chiedi il nostro aiuto....

inoltre ritengo sia necessario spostarci in quel 3d, ovvero Fasa: i log devi pubblicarli in quel 3d e nn piu qui...

buon lavoro


non ho problemi a postare i LOG entro stasera seguo il link da te indicato e poi vi dico.... magari c'è ancora qualche "grana " nascosta.... ma ora scrivo con Explorer e pure con Mozzilla... senza problemi!

Stasera vi so dire.

a questo punto chiudo questo thread essendo doppione :)