Gromozon, variante o cosa? AIUTATEMI!

[sasyultrasnapoli]

Allora innanzitutto salve a tutti

Vi spiego il mio problema: ormai sono mesi che ke nn riesco più accedere ad alcuni siti, anzi molti direi, ve ne elenco un paio: forum di hwupgrade, alground, p2pforum etc.etc... mi sa che sono stato infettato dal virus Gromozon , ne ho avuto la conferma anche quando provo a fare delle ricerche in google con la chiave "rimuovere Gromozon" e affini, mi si pianta tutto e Firefox si chiude

Non so più cosa K@zzo fare, ho provato a seguire la guida pdf di pcsicuro ma è stato tutto inutile in quanto molti programmi nn mi si aprono altri nn mi si installano, ad esempio Hijackthis, runanalyzer, virit etc..

Ho provato a fare una scansione con il tool della prevx adatto a rimuovere questo virus, ma purtroppo non mi rileva niente

Non so più cosa fare, ora fortunatamente ho trovato un modo per andare su questo forum tramite Google immagini, ormai siete la mia unica speranza!

Non so se si tratta di gromozon, o una sua variante o altro, so sl ke devo riuscirlo ad eliminare xche ormai sn impossibilitato a fare molte cose

Vi prego aiutatemi

[Chill-Out]

Per il momento ti suggerisco di scaricare la Trial di Prevx http://info.prevx.com/downloadprevx2.asp

[duca bianco]

ciao

posta anche un log di combofix

Quote:

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)

[sasyultrasnapoli]

Quote:

Originariamente inviato da duca bianco

ciao

posta anche un log di combofix

Ecco il risultato:

ComboFix 08-07-03.5 - Sasyultras 2008-07-04 16.27.26.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.53 [GMT 2:00]
Eseguito da: C:\Documents and Settings\Sasyultras\Desktop\ComboFix.exe

log rimosso, leggere le Regole di Sezione

277 --- E O F --- 2008-02-13 23:07:41

[duca bianco]

Apri il taskmanager, tab.processi, evidenzia il processo explorer.exe, premi termina operazione (ti scomparirà il desktop non preoccuparti)sempre dalla finestra del taskmanager , (ctrl+alt+canc) vai su file>nuova operazione, scrivi regedt32>OK, si apre il registro di sistema, vai alla voce(cartellina) explorer.exe cliccando sul segno + accanto alle singole voci del seguente percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

http://img481.imageshack.us/img481/2450/foto002cc7.jpg

Click tasto dx su di essa>Autorizzazioni>Avanzate>premi il tab.Proprietario>autorizza l'Utente del computer>OK. Torni alla pagina principale, metti la spunta a Controllo completo e In lettura>OK. A questo punto, click tasto dx sulla voce e scegli Elimina.
Chiudi il registro
Sempre dal task manager , vai su file>nuova operazione e scrivi explorer.exe >OK per ripristinare il desktop.

Riavvia il computer

Chiudi i browser e scollegati da internet
- disattiva antivirus e antispyware in modo che non interferiscano
- apri il blocco note copia e salva questo testo

Codice:

File:: 
C:\Documents and Settings\Sasyultras\uepjzbvc.exe
C:\Documents and Settings\Sasyultras\tfftcwvw.exe
C:\Documents and Settings\Sasyultras\xduglprm.exe
C:\Documents and Settings\Sasyultras\gdzuchsv.exe
C:\Documents and Settings\Sasyultras\olfnwbxg.exe
C:\Documents and Settings\Sasyultras\yukhrvgx.exe
C:\Documents and Settings\Sasyultras\aoggfmwh.exe
C:\Documents and Settings\Sasyultras\vareogrm.exe
C:\Documents and Settings\Sasyultras\nofcotfl.exe
C:\Documents and Settings\Sasyultras\tolhehqj.exe
C:\Documents and Settings\Sasyultras\mlsoizjt.exe
C:\Documents and Settings\Sasyultras\pgfixnjy.exe
C:\Documents and Settings\Sasyultras\dicinzdm.exe
C:\Documents and Settings\Sasyultras\pmynybew.exe
C:\Documents and Settings\Sasyultras\lkixozcx.exe
C:\Documents and Settings\Sasyultras\hwwuqlwg.exe
C:\Documents and Settings\Sasyultras\ggxdovdd.exe
C:\Documents and Settings\Sasyultras\psgeuyaq.exe
C:\Documents and Settings\Sasyultras\aapwfvuv.exe
C:\Documents and Settings\Sasyultras\dmspqhea.exe
C:\Documents and Settings\Sasyultras\mqnuivnw.exe
C:\Documents and Settings\Sasyultras\spgtbjid.exe
C:\Documents and Settings\Sasyultras\vpfvlzwl.exe
C:\Documents and Settings\Sasyultras\wmzqxkrs.exe
C:\Documents and Settings\Sasyultras\dthclsiu.exe
C:\Documents and Settings\Sasyultras\ztesrmkn.exe
C:\Documents and Settings\Sasyultras\nygznttq.exe
C:\Documents and Settings\Sasyultras\lyzkftsf.exe
C:\Documents and Settings\Sasyultras\wkzocojn.exe
C:\Documents and Settings\Sasyultras\xrzjcqqf.exe
C:\Documents and Settings\Sasyultras\hihhoigc.exe
C:\Documents and Settings\Sasyultras\hublgrds.exe
C:\Documents and Settings\Sasyultras\xgontszl.exe
C:\Documents and Settings\Sasyultras\zmsudvei.exe
C:\Documents and Settings\Sasyultras\lkbnvftf.exe
C:\Documents and Settings\Sasyultras\gtunoyuc.exe
C:\Documents and Settings\Sasyultras\rqsgpasi.exe
C:\Documents and Settings\Sasyultras\nbsmxyfd.exe
C:\Documents and Settings\Sasyultras\amuluxoh.exe
C:\Documents and Settings\Sasyultras\kodovejn.exe
C:\Documents and Settings\Sasyultras\bhgrvjqo.exe
C:\Documents and Settings\Sasyultras\sezeogzw.exe
C:\Documents and Settings\Sasyultras\vlqntwdk.exe
C:\Documents and Settings\Sasyultras\hiannidd.exe
C:\Documents and Settings\Sasyultras\ihuwievn.exe
C:\Documents and Settings\Sasyultras\tvtjvwqh.exe
C:\Documents and Settings\Sasyultras\vwpdaifw.exe
C:\Documents and Settings\Sasyultras\plnbblhn.exe
C:\WINDOWS\system32\flvDX.dll
C:\WINDOWS\system32\msfDX.dll
C:\WINDOWS\system32\Smab0.dll
c:\windows\system32\iawjvush.dat
C:\DOCUME~1\SASYUL~1\IMPOST~1\Temp\NYOJW.exe

Registry::
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\explorer.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b42512d8-43f0-11dc-8e22-0013c877c622}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eceff9c2-1c00-11dc-bb7c-806d6172696f}]

salva il documento nella stessa cartella dell'eseguibile combofix.exe e chiamalo CFScript.txt
- col mouse trascina il file CFScript.txt sull'icona rossa di combofix
http://img215.imageshack.us/img215/6...riptno0ak2.gif
che si avvierà e quando avrà finito farà il reboot (Se così non fosse riavvia tu)

fai uno scan con MalwareBytes Antimalware
http://www.majorgeeks.com/Malwarebyt...are_d5756.html

[wjmat]

mi pare di vedere anche il knight...
dopo aver fatto quanto ti ha detto duca bianco dai un occhio qui
http://www.hwupgrade.it/forum/showpost.php?p=19629985

[sasyultrasnapoli]

Quote:

Originariamente inviato da duca bianco

Apri il taskmanager, tab.processi, evidenzia il processo explorer.exe, premi termina operazione (ti scomparirà il desktop non preoccuparti)sempre dalla finestra del taskmanager , (ctrl+alt+canc) vai su file>nuova operazione, scrivi regedt32>OK, si apre il registro di sistema, vai alla voce(cartellina) explorer.exe cliccando sul segno + accanto alle singole voci del seguente percorso....

Grazie duca sei un grande!

Voi si che ne capite di sicurezza Ora posso aprire tutto quello che voglio!

Un solo appunto: una volta fatto il reebot all'avvio di window nn si avviava più explorer.exe, e mi dava un'errore se provavo ad avviarlo dal task, ho dovuto ricancellare la cartella dal registro di sistema e riavviato il processo

Malwarebytes Antimalware invece mi ha rilevato questo trojan:
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.

Ecco il nuovo log (Hijackthis ora ) mi dispiace per il thread kilometrico ma nn me lo faceva allegare il file

LOG:

Logfile of HijackThis v1.99.1
Scan saved at 18.16.15, on 05/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
log rimosso, leggere le Regole di Sezione

Quote:

Originariamente inviato da wjmat

mi pare di vedere anche il knight...
dopo aver fatto quanto ti ha detto duca bianco dai un occhio qui
http://www.hwupgrade.it/forum/showpost.php?p=19629985

Grazie cercherò di seguire tutti i passaggi

[duca bianco]

Ok sono contento che hai risolto

Ripulisci il sistema con ccleaner.

Fix questa con HijackThis
O23 - Service: NYOJW - Unknown owner - C:\DOCUME~1\SASYUL~1\IMPOST~1\Temp\NYOJW.exe (file missing)

segui le indicazioni di wjmat per ripulirti da knight.

[wjmat]

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati → si aprirà una finestra → Click su Sfoglia → seleziona il file da caricare → Click su Carica → sotto allegati correnti vedrai il tuo log caricato → Chiudi la finestra
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito → clicca su sfoglia → seleziona il file da caricare → poi invia o upload → aspetta che venga caricato → copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse salvale in JPG, essendo più leggere, e caricale su fileqube.com che permette di visualizzarle direttamente online.

La tua versione di Hijackthis non è aggiornata....scarica da qui l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log secondo le modalità

sarebbe opportuno che ci carichi anche il nuovo log di combofix

[xcdegasp]

@ sasyultrasnapoli:
logs rimossi, leggere le Regole di Sezione
se ti notificano due volte l'errore e per entrambe le volte non ne tieni conto significa che lo fai volutamente in modo recidivo, pertanto ritieniti ammonito

[sasyultrasnapoli]

Quote:

Originariamente inviato da wjmat

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati → si aprirà una finestra → Click su Sfoglia → seleziona il file da caricare → Click su Carica → sotto allegati correnti vedrai il tuo log caricato → Chiudi la finestra
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito → clicca su sfoglia → seleziona il file da caricare → poi invia o upload → aspetta che venga caricato → copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse salvale in JPG, essendo più leggere, e caricale su fileqube.com che permette di visualizzarle direttamente online.

La tua versione di Hijackthis non è aggiornata....scarica da qui l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log secondo le modalità

sarebbe opportuno che ci carichi anche il nuovo log di combofix

Grazie mille per il riepilogo

Ecco i 2 log dopo aver fixato quello che mi aveva detto il grande Duca :

- hijackthis.log (ultima versione)
- ComboFix.txt


Vi ringrazio per la disponibilità

[Chill-Out]

Quote:

Originariamente inviato da sasyultrasnapoli

Grazie mille per il riepilogo

Ecco i 2 log dopo aver fixato quello che mi aveva detto il grande Duca :

- hijackthis.log (ultima versione)
- ComboFix.txt


Vi ringrazio per la disponibilità

Inserisci questo Script in Combofix

Quote:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b42512d8-43f0-11dc-8e22-0013c877c622}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eceff9c2-1c00-11dc-bb7c-806d6172696f}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza


Ti rinnovo l'invito a scansionare il Pc con la trial di Prevx

[sasyultrasnapoli]

Quote:

Originariamente inviato da Chill-Out

Inserisci questo Script in Combofix



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza


Ti rinnovo l'invito a scansionare il Pc con la trial di Prevx

Ciao ecco nuovo log di Combofix dopo aver inserito lo script che mi avevi detto:
ComboFix.txt

Purtroppo ancora non ho fatto la scansione di Prevx per 2 motivi:
1) Ho poco tempo (a proposito, è necessaria farla completa, oppure posso fare anche quella ristretta?)
2) Ho un computer che fa letteralmente ca@@re (256Mb ram, sempron 1,8Ghz )



Cmq grazie per l'aiuto

[wjmat]

prevx impiega meno di 5 minuti