Ho un grave problema con questo dannato virus: nonostante NON abbia nessun nuovo nome utente creato in "Documents and settings" e l'unico removal tool che mi parte non lo rileva, continuo ad avere tutti gli altri effetti di questo dannatissimo rootkit (mi blocca alcuni sito tra i quali proprio questo, mi blocca l'installazione di alcuni programmi quali virit o CC cleaner)...
E possibile che sia stato infettato da un altro rootkit diverso ma con gli stesi effetti?

Vi prego, aiutatemi :(

Ho fatto anche una scansione Online con Bit Defender e non ha trovato nulla, ma i programmi che dovrebbero risolvere tutti i problemi di apertura programmi e siti (Virit e CCcleaner ad esempio) non partono nemmeno se rinomino i file...

Ciao benvenuto nel pronto soccorso di HU.
guarda qui (http://www.hwupgrade.it/forum/showthread.php?t=1271721) la guida per la rimozione di Gromozon

Ciao benvenuto nel pronto soccorso di HU.
guarda qui (http://www.hwupgrade.it/forum/showthread.php?t=1271721) la guida per la rimozione di Gromozon

Si, quello è l'unico kit per la rimozione che mi parte e mi dice che non sono infetto... Ma a parte i file eseguibili e l'utente nascosto che non ritrovo sul mio PC ho tuti gli altri sintomi... Quello che mi preoccupa è che non funzionano proprio i programmi più aggiornati per la sua rimozione, quindi penso che o è una nuova variante del Gromzon, oppure è un rootkit diverso...

Leggi le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e poi prova a seguirela guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni nell'ordine indicato.
I tool scaricateli da un altro e poi vediamo.
kaspersky preferiscilo a f-secure cosi lo installi e non ti serve la connessione
poi per il resto vediamo

per a-squared usa la versione da linea di comando così dovremmo avere maggiori probabilità di successo :)

Grazie mille ragazzi!! In serata proverò la guida per la disinfezione sperando che vada tutto bene... Cmq spero solo che questo bastardo di un rootkit che mi ha colpito mi consenta di usare i programmi indicati nella guida, quelli che ho già provato me li bloccava anche se li rinominavo e scaricavo da un altro pc...

Forse ho qualche novità:ho installato AVG anti-rootkit free ed ho visto che mi trova un driver nascosto in System32 nella directory di Windows (estensione .SYS). Il nome sembra generato casualmente a se vado a cancellarlo ne ritrovo subito un altro con nome casuale diverso... Tutte le varie scansioni anche on-line che ho fatto non hanno prodotto risultati perciò mi pare strano che un eventuale generatore sia passato inosservato...

della guida cosa sei riuscito a fare?

Il tool per la rimozione Prevx mi dice che il PC è pulito...

questa guida ;)
http://www.hwupgrade.it/forum/showthread.php?t=1599737

Appena posso la provo, anche se alcuni test della lista li ho già fatti ma senza risultato (come ad esempio PrevxCSI on-line)... Sento stranamente il formattone sempre più vicino :cry:

P.S.: Grazie mille dell'aiuto che mi state dando!!

oltre alla guida, che puoi fare nella sua interezza, installa prevx 2.0 in trial e lancia una scansione completa; dopo averlo aggiornato (se trova qualcosa (sicuramente) è uno dei pochi che sa rimuovere da vero)

io attendo i log anche se non rilevassero nulla nella scansione :)

oltre alla guida, che puoi fare nella sua interezza, installa prevx 2.0 in trial e lancia una scansione completa; dopo averlo aggiornato (se trova qualcosa (sicuramente) è uno dei pochi che sa rimuovere da vero)

A parte un falso positivo (mi rilevava punkbuster che ho in FEAR Combat come malware), prevx 2.0 non mi ha trovato nulla... Ora provo gli altri tool...

In allegato i log di combofix e a-squared.

Oggi Spybot ha individuato ed eliminato "premium search" Dicendomi che poteva essere anche un rootkit... Puodarsi sia questo che mi sta dando tutti questi problemi? Esiste un removal tool in grado di eliminarlo in maniera definitiva?

spybot non ti abbiamo detto di usarlo ;) è molto limitato
continua con la guida
http://www.hwupgrade.it/forum/showthread.php?t=1599737

Ciao vedo un hook che non deve esserci
scarica avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, e copia nella nuova finestra, questo script:
Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\explorer.exe
Files to delete:
C:\windows\system32\choqwmvq.nls
C:\DOCUME~1\MILITE~1\IMPOST~1\Temp\DMHPVF.exe
C:\DOCUME~1\MILITE~1\IMPOST~1\Temp\LVJMK.exe
C:\DOCUME~1\MILITE~1\IMPOST~1\Temp\BPKJHYFUQI.exe

clicca sul pulsante “Execute”,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

se all'avvio ti appare il desktop vuoto fai così: dal task manager file->nuova operazione (esegui) digiti explorer.exe e dovrebbero apparire le icone dopodichè riprova ad utilizzare i tool per la scansione della guida...dovrebbero funzionare....

Ciao vedo un hook che non deve esserci
scarica avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, e copia nella nuova finestra, questo script:

clicca sul pulsante “Execute”,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

se all'avvio ti appare il desktop vuoto fai così: dal task manager file->nuova operazione (esegui) digiti explorer.exe e dovrebbero apparire le icone dopodichè riprova ad utilizzare i tool per la scansione della guida...dovrebbero funzionare....

Purtroppo anche Avenger mi viene chiuso in automatico da questo bastardo, anche in modalità provvisoria...

Il processo che mi chiudevo gli altri in automatico era explorer.exe, quindi per farlo partire ho dovuto terminarlo dalla task manager e lanciare manualmente avenger dalla task manager...

se all'avvio ti appare il desktop vuoto fai così: dal task manager file->nuova operazione (esegui) digiti explorer.exe e dovrebbero apparire le icone dopodichè riprova ad utilizzare i tool per la scansione della guida...dovrebbero funzionare....
Il desktop è vuoto e se provo a lanciarlo come hai scritto mi dice che non ha trovato il file...
:help:

Eccovi i log di Avenger e VirIT. Per il momento non posso più usare il PC perchè ho explorer fuori uso...

Ciao vedo un hook che non deve esserci
scarica avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, e copia nella nuova finestra, questo script:

clicca sul pulsante “Execute”,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

se all'avvio ti appare il desktop vuoto fai così: dal task manager file->nuova operazione (esegui) digiti explorer.exe e dovrebbero apparire le icone dopodichè riprova ad utilizzare i tool per la scansione della guida...dovrebbero funzionare....

Grazie mille Lancetta!!! Erano proprio quelli i file infetti!! Grazie a tutti per l'aiuto!!

Allora, ricapitolo la situazione per quelli che malauguratamente beccassero la mia stessa infezione:

-Sistema operativo: Windows XP SP2 Home Edition
-Il rootkit che mi ha colpito chiudeva in automatico tutti i programmi che potevano essere utili per la sua eliminazione (avenger, CCleaner...) e inoltre nessuna scansione online riusciva ad individuarlo...
-Nel PC l'applicazione responsabile di queste chiusure era una versione corrotta di explorer.exe che va eliminata (grazie alla riga di comando che mi ha gentilmente postato lancetta)
-Per riuscire ad avviare Avenger e fargli eseguire la pulizia ho dovuto chiudere manualmente explorer.exe dalla Task Manager
-Una volta chiuso explorer spariranno tutte le icone del desktop e per aprire nuove applicazioni nella Task Manager bisognerà andare nella pagina "Applicazioni" , poi cliccare su "Nuova Operazione" e andare a rintracciare l'eseguibile di avenger oppure i programmi antivirus richiesti
-Dopo aver eliminato i file corrotti al successivo riavvio di Windows explorer potrebbe non partire più, neanche manualmente
-Non disperate :) lanciando "regedit" con "Nuova Operazione" sempre nella task manager (non c'è bisogno di scrivere il percorso completo basta semplicemente scrivere "regedit") e seguire quanto scritto nel terzo post di questa discussione (http://forum.swzone.it/showthread.php?t=89458).

Spero che possa servire a qualcuno nel futuro, dato che ho "lottato" 3 giorni con questo bastardo!

Guarda: alla fine sei arrivato lo stesso a fare la procedura...Ti avevo postato quel modo per fare più in fretta ed in automatico..altrimenti saremmo passati a fare tutto a manina..Non è la prima volta che capita (Qui Link (http://www.hwupgrade.it/forum/showthread.php?t=1505583) un pò per insicurezza dell'utente la cosa è andata per le le lunghe:asd:) ma come vedi il procedimento è molto simile..Ed ecco perchè volevo provare prima con avenger (che ha comunque cancellato il file generatore :read: ).. l'importante è che tu abbia risolto... lieto per te ;)
Solo ora un passata con ccleaner oppure atf cleaner per pulire tutti i temp e index e qualche scansione di controllo te la consiglierei ma cmq sei a posto.

Saluti :cool:

Guarda: alla fine sei arrivato lo stesso a fare la procedura...Ti avevo postato quel modo per fare più in fretta ed in automatico..altrimenti saremmo passati a fare tutto a manina..Non è la prima volta che capita (Qui Link (http://www.hwupgrade.it/forum/showthread.php?t=1505583) un pò per insicurezza dell'utente la cosa è andata per le le lunghe:asd:) ma come vedi il procedimento è molto simile..Ed ecco perchè volevo provare prima con avenger (che ha comunque cancellato il file generatore :read: ).. l'importante è che tu abbia risolto... lieto per te ;)
Solo ora un passata con ccleaner oppure atf cleaner per pulire tutti i temp e index e qualche scansione di controllo te la consiglierei ma cmq sei a posto.

Saluti :cool:

Ok, grazie ancora!! Ora pulisco i file temporanei con CCleaner!