Aiuto !! Explorer / Mozzilla / Opera

[Fasa]

Ragazzi... è una cosa incredibile quello che mi sta succedendo!...

In sostanza non saprei se è causa di un virus o meno.... ma per scrivere questo messaggio ho dovuto istallare oggi Natscape !


In pratica se io voglio entrare su questo FORUM HARDWERE UPGRADE , pare non mi dia assolutamente accesso....

Questo non perchè sia stato sospeso o bannato.... ma proprio non mi da accesso alla pagina , come se qualcosa bloccasse l'accesso al forum.

Questo succede con Explorer 7 , Firefox e Opera!... incredibile... pensavo fosse la mia linea Alice 7 mega, invece la linea va perfettamente e dopo poco ho realizzato che andavano pure altri siti web.... tranne fatalità il forum di Hardwere Upgrade!.... Non a caso il destino vuole che sia il forum che visualizzo più spesso.... e non capisco il motivo per il quale ora non mi da proprio accesso alla pagina (pagina bianca o non disponibile).


Nella rabbia ho provato solo per caso ad istallare netscape e qui funzione tutto correttamente....


non vorrei che ci fosse un "blocco" che ho erroneamente attivato... ma non mi sembra. Devo dire che l'altro giorno ho disistallato un antivirus (ANTIVIR) perchè era scaduto. Ho provato ristallarlo ma il problema rimane... quindi non penso dipenda da quello....


come mai?... Sapete aiutarmi?

[wjmat]

Prova a caricare il log di hijackthis....

[Fasa]

ciao.... dove lo trovo o posso recuperarlo??

[wjmat]

Lo trovi qui
Si raccomanda di scompattare HiJackThis in una directory esclusiva, quindi non sul desktop!

[Fasa]

wjmat, pardon...


l'ho scaricato ora.... vedo che è solo un file.....

devo inserirlo per caso sulla directory di Windows/sistem32

[xcdegasp]

Quote:

Originariamente inviato da Fasa

wjmat, pardon... ma devo inserirlo per caso sulla directory di Windows/sistem32

si raccomanda di scompattare HiJackThis in una directory esclusiva, quindi non sul desktop

Segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

[c.m.g]

benvenuto nel mondo di gromozon alias link optimizer. c'è la variante B scoperta a febbraio 2007 da symantec e a distanza di più di un anno solo 3 o 4 antivirus la riescono a individuare: symantec (firme che comunque non riesce a pulire), kaspersky (non ne sono sicuro) e esafe (euristica) e avira (euristica). quest'ultima però non è in grado di pulire il sistema dal virus. bisogna necessariamente fare una pulizia a mano.
cerca un file che ha nome random in windows/system32 con estensione .var e invialo a virustotal.com per una scansione così da capire con quale variante si ha a che fare (prima di cercare abilita la visualizzazione delle estensioni per i tipi di file conosciuti).
nemmeno prevx riesce a individuare questa variante b (parlo del tool dedicato per la disinfezione gromozon).
se si tratta di questa variante, non ti permetterà di usare tool tipo hijackthis, avenger e gmer.
probabilmente avrai difficoltà a leggere questo forum (fatto salvo per netscape che funziona... non lo sapevo). se non riesci a leggere questi post, leggici con un'altro computer pulito che avrai a portata di mano.

[wjmat]

forse funziona sei rinomini hijackthis.exe in _h_i_j_a_c_k_t_h_i_s_.exe per esempio...ma oramai il male è stato diagnosticato

[c.m.g]

Quote:

Originariamente inviato da Fasa

wjmat, pardon...


l'ho scaricato ora.... vedo che è solo un file.....

devo inserirlo per caso sulla directory di Windows/sistem32

no lo devi inserire in una cartella qualsiasi, creata ad esempio sul desktop e lanciarlo, ma se fosse gromozon non credo te lo farà usare. vjmat ha scritto che basta rinominarlo ma la variante b non permette di fare nemmeno questo.

[murack83pa]

@: c.m.g.

credi che prevx csi sia in grado di individuarlo?

[c.m.g]

non ne ho idea, in base alla scansione del sample che ho mandato a virustotal.com anche prevx non lo rilevava, ma non so se hanno lo stesso engine quindi forse no, mi dispiace, non ho provato.
comunque esistono alcune chiavi di registro da eliminare, nel caso, vi sarò di supporto. proprio stamani ho ripulito un portatile infetto da questa bestiolina
resta comunque da capire con che variante abbiamo a che fare.

[Chill-Out]

Quote:

Originariamente inviato da c.m.g

non ne ho idea, in base alla scansione del sample che ho mandato a virustotal.com anche prevx non lo rilevava, ma non so se hanno lo stesso engine quindi forse no, mi dispiace, non ho provato.
comunque esistono alcune chiavi di registro da eliminare, nel caso, vi sarò di supporto. proprio stamani ho ripulito un portatile infetto da questa bestiolina
resta comunque da capire con che variante abbiamo a che fare.

Ciao cosa ne dici di provare da Task Manager e terminare explorer.exe o ctfmon.exe e poi falciare questa chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\explorer.exe

[c.m.g]

la chiave è protetta da scrittura, bisognerà prima cancellare con questo tool (che assomiglia molto ad avenger) il file con [nome random].var

2)disattivare il ripristino conf. di sistema, aprire il taskmanager (ctrl+alt+canc), premi la tab.Processi, e selezionare explorer.exe, premi Termina processo, il desktop sparirà, sempre dal taskmanager bisogna andare su file>nuova operazione, scrivere regedt32>OK, si apre il registro di sistema, andare alla voce explorer.exe cliccando sul segno + accanto alle singole voci del seguente percorso:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
explorer.exe

click tasto dx su di essa>Autorizzazioni>Avanzate>premi il tab.Proprietario>autorizza l'Utente del computer>OK. Tornare alla pagina principale, mettere la spunta a Controllo completo e lettura>OK. Click tasto dx sulla voce e scegliere Elimina. <<== facendo questa operazione sarà possibile modificare/cancellare la chiave di riferimento all'infezione.


3)Sempre dal task manager , bisogna andare su file>nuova operazione e scrivi explorer.exe >OK per ripristinare il desktop.

4)avviare Avgpfix
(premi start, individui il file:
c:\windows\system32\file
premi OK per eliminare il file).

5) è consigliato fare una passatina con ccleaner

a questo punto credo che sarà possibile fare tutte le operazioni del caso ed usare tool tipo hijackthis et similia (ma credo che a questo punto è superfluo, infatti a me risultava pulito dopo queste operazioni).

prima di avviare questa procedura, specifica per la variante b, sottolineo che bisogna vedere con che variasnte si ha a che fare cercando quel file in windows/system32 con [nome random].var ed inviarlo per una scansione su virustotal.com per saperlo. è inutile fasciarsi rima di farsi la ferita e prima di sapere con cosa si ha a che fare

@chill-out: non so perchè mi hai quotato ma l'infezione non è mia, io ho risolto sul portatile non mio che ho ripulito stamane, l'infezionbe è di Fasa e presumo sia gromozon.

[Chill-Out]

Quote:

la chiave è protetta da scrittura, bisognerà prima cancellare

si, bisogna provvedere anche a riprisitnare le autorizzazioni manualmente e si dovrebbe cancellare lo stesso.

Quote:

@chill-out: non so perchè mi hai quotato ma l'infezione non è mia, io ho risolto sul portatile non mio che ho ripulito stamane, l'infezionbe è di Fasa e presumo sia gromozon.

lo sò che l'infezione non è la tua, era solo per spirito collaborativo/supporto tutto quà

[BEY0ND]

ok per il tool della nod per i file crittografati(che dovrebbero trovarsi anche in file comuni)ma:
-il servizio random(da togliere sempre col tool della nod)
-userinit
-virit e superantispyware
non vanno piu fatte queste cose?

[Chill-Out]

OT: o santa pace hai ricambiato Avatar

[c.m.g]

Quote:

Originariamente inviato da BEY0ND

ok per il tool della nod per i file crittografati(che dovrebbero trovarsi anche in file comuni)ma:
-il servizio random(da togliere sempre col tool della nod)
-userinit
-virit e superantispyware
non vanno piu fatte queste cose?

come detto nei precedenti post, bisogna innanzitutto sapere con che variante si ha a che fare e poi spiegare le istruzioni da intraprendere; sino a quando non risponderà l'utente infetto siamo con le mani legate. quello che ho spiegato su, era per la variante "B"

[Fasa]

Eccomi,,,

apro una parentesi... ho provato kasperspy demo (1 mese) ma adirittura si è inchiodato il programma e l'ho disistallato subito!


Ecco qua il file LOG, spero possiate aiutarmi!! :


ecco il link file LOG


http://www.savefile.com/files/1506213

[Fasa]

Quote:

Originariamente inviato da c.m.g

benvenuto nel mondo di gromozon alias link optimizer. c'è la variante B scoperta a febbraio 2007 da symantec e a distanza di più di un anno solo 3 o 4 antivirus la riescono a individuare: symantec (firme che comunque non riesce a pulire), kaspersky (non ne sono sicuro) e esafe (euristica) e avira (euristica). quest'ultima però non è in grado di pulire il sistema dal virus. bisogna necessariamente fare una pulizia a mano.
cerca un file che ha nome random in windows/system32 con estensione .var e invialo a virustotal.com per una scansione così da capire con quale variante si ha a che fare (prima di cercare abilita la visualizzazione delle estensioni per i tipi di file conosciuti).
nemmeno prevx riesce a individuare questa variante b (parlo del tool dedicato per la disinfezione gromozon).
se si tratta di questa variante, non ti permetterà di usare tool tipo hijackthis, avenger e gmer.
probabilmente avrai difficoltà a leggere questo forum (fatto salvo per netscape che funziona... non lo sapevo). se non riesci a leggere questi post, leggici con un'altro computer pulito che avrai a portata di mano.

non ho nessun file random.var o .var dentro quella cartella....

[murack83pa]

gentilmente modifica il tuo post: i log nn vanno incollati

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli