*** Removal Tool LinkOptimizer / Gromozon ***

[groot]

Quote:

Originariamente inviato da chry80

scusate se interrompo il discorso........ma volevo sapere se questo removed tool oltre a togliere gromozon toglie anche il linkoptimizer se uno è in infetto.........

per adesso non lo sono ma un domani...........

Controlla a colpo sicuro quello che conosce, poi fa una scansione...

[abbate]

Ho trovato sulla cartella C:\Documents and Settings tutta una serie di utenti con nomi del tipo Cosi : nskjg9jh5gduhgu6ewtuy erano parecchie cartelle , le ho cancellate , ma dopo qualche giorno ricompaiono e sono molte , sono tutte cartelle vuote e qualcuna con un file .ini
Adesso incuriosito dalla cosa comincio a cercare e ho trovato questo:
- Un servizio strano si chiama : LogYjl
- il file che lo comanda è : C:\WINDOWS\TEMP\31.tmp ( ma non esiste cartella vuota )
- Ha creato un Account con nome: .\WNXZHMlxTQnfRyiga
dal momento che uso AntiVir con VirGuard sempre attivo e Sygate Personal Firewall sempre attivo anche questo , ho provato molti tools e spyware ma non succede niente.
Chiedo consigli sul da fare prima di formattare
Grazie

[chry80]

Quote:

Originariamente inviato da groot

Controlla a colpo sicuro quello che conosce, poi fa una scansione...

grazie

[mad_hhatter]

ragazzi, ho bisogno di una mano! ho un pc con windows 2000 infetto con Linkoptimizer... ho provato nell'ordine PrevxRemovalTool, Symantec FixLinkOpt, gmer, avenger, gmer versione modificata ma nessun eseguibile parte, ne' in modalita' normale ne' in mod. provvisoria. Non si avviano neanche, zero.

immagino sia il rootkit che li blocca in qualche modo, ma il problema e': che faccio? come rimuovo gromozon se tutti i tool vengono bloccati in partenza?

grazie per l'aiuto

mad_hhatter

[groot]

Quote:

Originariamente inviato da abbate

Ho trovato sulla cartella C:\Documents and Settings tutta una serie di utenti con nomi del tipo Cosi : nskjg9jh5gduhgu6ewtuy erano parecchie cartelle , le ho cancellate , ma dopo qualche giorno ricompaiono e sono molte , sono tutte cartelle vuote e qualcuna con un file .ini
Adesso incuriosito dalla cosa comincio a cercare e ho trovato questo:
- Un servizio strano si chiama : LogYjl
- il file che lo comanda è : C:\WINDOWS\TEMP\31.tmp ( ma non esiste cartella vuota )
- Ha creato un Account con nome: .\WNXZHMlxTQnfRyiga
dal momento che uso AntiVir con VirGuard sempre attivo e Sygate Personal Firewall sempre attivo anche questo , ho provato molti tools e spyware ma non succede niente.
Chiedo consigli sul da fare prima di formattare
Grazie

eliminato l'utente?
Eliminato il file 31.tmp?

utilizzati i vari tool? elencati in precedenza?

[abbate]

Puoi dirmi il nome di qualche tool che pulisca per bene tutto

[juninho85]

trovate nuove varianti del link optimizer.
non riuscite ad apire hijackthis,un qualsiasi antivirus,antispyware,firewall,forum di informatica o qualsiasi altro programma che abbia a chè fare con la sicurezza?
leggete qui:
a procedura di rimozione del rootkit è costituita da più fasi ed è complessa da eseguire manualmente.
Gli utenti della versione PROFESSIONAL possono telefonare alla TG Soft Tel. 049631748 per l'assistenza tecnica.

Prima di procedere è necessario installare VirIT eXplorer e aggiornarlo all'ultima versione (menu TOOLS->Aggiornamenti OnLine) con i diritti di Administrator. E' importante aggiornarlo, perché in questa fase viene attivato un servizio di VirIT necessario alla rimozione del rootkit.

Dopo averlo aggiornato riavviare il computer, al successivo boot sarà attivo VirIT Secuirty Monitor (nella versione Professional) o VirIT Lite Monitor (nella versione Lite) vicino all'orologio di Windows.

Aspettare almeno 2 minuti prima di procedere alla fase 1, in questo periodo il sistema di Intrusion Detection di VirIT assegnerà le autorizzazioni necessarie all'utente corrente per accedere al servizio incriminato della fase 1.

FASE 1:

In questa fase dobbiamo disabilitare un servizio creato dal malware. Il nome del servizio è casuale, cioè cambia da infezione a infezione.

Gli utenti della PROFESSIONAL possono contattare l'assistenza tecnica, la quale indicherà il nome del servizio da disabilitare.


Dal pannello di controllo, clickare su STRUMENTI DI AMMINISTRAZIONE e dopo su SERVIZI.
Ora compare la lista dei servizi, nella colonna "Connessione" troverete le voci "Sistema Locale", "Servizio di rete" e una voce insolita:

".\nome casuale".



Il "nome casule" indica il nome di un utente creato dal malware nel vostro computer.

Selezionare il servizio incriminato relativo alla connessione ".\nome casuale", clickare il tasto destro del mouse, facendo comparire il menu a tendina e selezionare PROPRIETA'.

Dalle proprietà del servizio, dovete segnarVi la cartella ed il file del servizio che trovate sotto a "PERCORSO FILE ESEGUIBILE" (questo vi servirà per cancellare i file successivamente).

Successivamente impostare il TIPO DI AVVIO: DISABILITATO (importantissimo!)
A questo punto riavviare il computer e passare alla fase 2.

Se Windows non vi permette di disabilitare il servizio incriminato, allora dovete riavviare il computer in modalità provvisoria, ed eseguire la procedura:
1) Eseguire il programma REGEDIT e selezionare il percorso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOME_DEL_SERVIZIO_INCRIMINATO
2) Modificare il valore di START da 2 a 4 relativo al servizio incriminato
3) Riavviare il computer



FASE 2:

Prima di procedere è consigliabile chiudere tutti i programmi e aggiornare VirIT all'ultima versione (menu TOOLS->Aggiornamenti OnLine).

Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica.

La fase 2 va eseguita dalla modalità normale, seguendo alla lettera tutti i passi della procedura.

1) Eseguire il programma REGEDIT e selezionare il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2) Ridurre ad icona il REGEDIT
3) Eseguire il file C:\VIRITEXP\GOVIRITEXPSVC.BAT (IMPORTANTISSIMO!!!) (per gli utenti della Lite c:\vexplite\GOVIRITEXPSVC.BAT)
4) Da VirIT eXplorer clickare sul menu TOOLS->Process Manager
5) Scrivere nel box relativo a "Terminare i thread in base all'indirizzo" il valore 2a93671a oppure il valore 3ee85b73 (oppure 2bb34c8c) a seconda della variante, e dopo clickare varie volte sul pulsante "Kill Thread"

Rootkit valore

Trojan.Win32.Rootkit.D 2a93671a

Trojan.Win32.Rootkit.E 3ee85b73

Trojan.Win32.Rootkit.F 2bb34c8c

Trojan.Win32.Rootkit.G 2a2a3889

Trojan.Win32.Rootkit.H 3e1e6857

Trojan.Win32.Rootkit.I 3e524cd7

Trojan.Win32.Rootkit.J 2a1969d5

N.B: Si consiglia di ripetere l'operazione di Kill Thread per tutti i valori indicati

6) Uscire da VirIT eXplorer Pro
7) Adesso clickare sul programma Regedit ridotto ad icona, selezionare con tasto destro il nome AppInit_DLLs clickare su MODIFICA, compare la finestra Modifica stringa, scrivere nel campo Dati valore: prova.dll e confermare
8) Premere varie volte il pulsante F5, per verificare se su AppInit_DLLs rimane scritto nella colonna DATI il valore Prova.dll, altrimenti ripetere la fase 2.
9) Adesso lasciando aperti tutti i programmi premere il pulsante RESET del computer (quello del case) per riavviarlo brutalmente (importante). Se il computer è sprovvisto di pulsante di RESET, allora togliere l'alimentazione elettrica. Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica. Non servono a niente riavviare il computer o chiudere la sessione, perché il rootkit viene eseguito di nuovo, l'unico modo è quello di "resettare" il computer.

Al successivo riavvio verificare se AppInit_DLLs è uguale a "Prova.dll"


FASE 3:
Se AppInit_DLLs è diverso da "Prova.dll" si deve ripetere la FASE 2.

Adesso eseguire VirIT eXplorer Pro/Lite e procedere alla scansione anti-virus per rimuovere il rootkit.

VirIT, molto probabilmente troverà dei file infetti che verranno rimossi.
Nel caso VirIT eXplorer Pro trovi dei file SOSPETTI segnalati come POSSIBILI VIRUS DI NUOVA GENERAZIONE, contattare TG Soft per l'assistenza (solo per i clienti della versione Professional in assistenza)..

Per i clienti della versione Professional, si consiglia di inviare il file di esecuzione automatica, da VirIT Security Monitor clickare sull'uomo spia e dopo su INVIA MAIL.

Nella FASE 1, vi è stato detto di segnarVi il percorso del file del servizio incriminato, per eliminare questo file, si deve verificare se è un file CRITTOGRAFATO.
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.

N.B.: In Windows XP HOME Edition la scheda PROTEZIONE è visibile solo dalla modalità provvisoria.

In Windows XP Professional la scheda PROTEZIONE è visibile se non è selezionato nelle OPZIONI CARTELLA la voce "Utilizza condivisione file semplice (scelta consigliata)". Per accedere alle OPZIONI CARTELLA: da RISORSE DEL COMPUTER menu STRUMENTI->OPZIONI CARTELLA->VISUALIZZAZIONE nelle IMPOSTAZIONE AVANZATE togliere il flag da "Utilizza condivisione file semplice (scelta consigliata)".

[riccese]

io ho fatto 30 volta la procedura della tg-soft, ma nn mi ha mai funzionato...
risolsi con gmer ce company....
ora spero solo di nn beccarmene più visto ke le nuove varianti di rootkit nn fanno aprire programmi vari e forum informatici!

[groot]

Quote:

Originariamente inviato da riccese

io ho fatto 30 volta la procedura della tg-soft, ma nn mi ha mai funzionato...
risolsi con gmer ce company....
ora spero solo di nn beccarmene più visto ke le nuove varianti di rootkit nn fanno aprire programmi vari e forum informatici!

tra questi c'è anche hwupgrade?

[riccese]

Quote:

Originariamente inviato da groot

tra questi c'è anche hwupgrade?

non mi ricordo, ma quelli ke parlavano di rootkit anke in italiano, nn me li faceva aprire!

[juninho85]

Quote:

Originariamente inviato da groot

tra questi c'è anche hwupgrade?

si leprotto

[Violence77]

Segnalo un problema non da poco che mi è successo oggi. Windows 2000 con rootkit variante j. Ho lanciato il Prevxremovaltool e mi ha chiesto di riavviare il pc. Riavviato la macchina ha eseguito la rituale scansione poi ha iniziato a segnalarmi i soliti file e i soliti utenti infetti e poi il fattaccio ........ in automatico mi ha cancellato tuto quello contenuto nella cartella Desktop dell'utene administrator, compreso preferiti e impostazioni locali e mi ha cancellato altri file di sistema poi bloccandosi con errori fatali .....
Attenzione per questo problema che mi è costato 4 ore di lavoro per recuperare i deleted ....

[schumy2006]

Quote:

Originariamente inviato da juninho85

trovate nuove varianti del link optimizer.
non riuscite ad apire hijackthis,un qualsiasi antivirus,antispyware,firewall,forum di informatica o qualsiasi altro programma che abbia a chè fare con la sicurezza?
leggete qui:
a procedura di rimozione del rootkit è costituita da più fasi ed è complessa da eseguire manualmente.
Gli utenti della versione PROFESSIONAL possono telefonare alla TG Soft Tel. 049631748 per l'assistenza tecnica.

Prima di procedere è necessario installare VirIT eXplorer e aggiornarlo all'ultima versione (menu TOOLS->Aggiornamenti OnLine) con i diritti di Administrator. E' importante aggiornarlo, perché in questa fase viene attivato un servizio di VirIT necessario alla rimozione del rootkit.

Dopo averlo aggiornato riavviare il computer, al successivo boot sarà attivo VirIT Secuirty Monitor (nella versione Professional) o VirIT Lite Monitor (nella versione Lite) vicino all'orologio di Windows.

Aspettare almeno 2 minuti prima di procedere alla fase 1, in questo periodo il sistema di Intrusion Detection di VirIT assegnerà le autorizzazioni necessarie all'utente corrente per accedere al servizio incriminato della fase 1.

FASE 1:

In questa fase dobbiamo disabilitare un servizio creato dal malware. Il nome del servizio è casuale, cioè cambia da infezione a infezione.

Gli utenti della PROFESSIONAL possono contattare l'assistenza tecnica, la quale indicherà il nome del servizio da disabilitare.


Dal pannello di controllo, clickare su STRUMENTI DI AMMINISTRAZIONE e dopo su SERVIZI.
Ora compare la lista dei servizi, nella colonna "Connessione" troverete le voci "Sistema Locale", "Servizio di rete" e una voce insolita:

".\nome casuale".



Il "nome casule" indica il nome di un utente creato dal malware nel vostro computer.

Selezionare il servizio incriminato relativo alla connessione ".\nome casuale", clickare il tasto destro del mouse, facendo comparire il menu a tendina e selezionare PROPRIETA'.

Dalle proprietà del servizio, dovete segnarVi la cartella ed il file del servizio che trovate sotto a "PERCORSO FILE ESEGUIBILE" (questo vi servirà per cancellare i file successivamente).

Successivamente impostare il TIPO DI AVVIO: DISABILITATO (importantissimo!)
A questo punto riavviare il computer e passare alla fase 2.

Se Windows non vi permette di disabilitare il servizio incriminato, allora dovete riavviare il computer in modalità provvisoria, ed eseguire la procedura:
1) Eseguire il programma REGEDIT e selezionare il percorso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOME_DEL_SERVIZIO_INCRIMINATO
2) Modificare il valore di START da 2 a 4 relativo al servizio incriminato
3) Riavviare il computer



FASE 2:

Prima di procedere è consigliabile chiudere tutti i programmi e aggiornare VirIT all'ultima versione (menu TOOLS->Aggiornamenti OnLine).

Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica.

La fase 2 va eseguita dalla modalità normale, seguendo alla lettera tutti i passi della procedura.

1) Eseguire il programma REGEDIT e selezionare il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2) Ridurre ad icona il REGEDIT
3) Eseguire il file C:\VIRITEXP\GOVIRITEXPSVC.BAT (IMPORTANTISSIMO!!!) (per gli utenti della Lite c:\vexplite\GOVIRITEXPSVC.BAT)
4) Da VirIT eXplorer clickare sul menu TOOLS->Process Manager
5) Scrivere nel box relativo a "Terminare i thread in base all'indirizzo" il valore 2a93671a oppure il valore 3ee85b73 (oppure 2bb34c8c) a seconda della variante, e dopo clickare varie volte sul pulsante "Kill Thread"

Rootkit valore

Trojan.Win32.Rootkit.D 2a93671a

Trojan.Win32.Rootkit.E 3ee85b73

Trojan.Win32.Rootkit.F 2bb34c8c

Trojan.Win32.Rootkit.G 2a2a3889

Trojan.Win32.Rootkit.H 3e1e6857

Trojan.Win32.Rootkit.I 3e524cd7

Trojan.Win32.Rootkit.J 2a1969d5

N.B: Si consiglia di ripetere l'operazione di Kill Thread per tutti i valori indicati

6) Uscire da VirIT eXplorer Pro
7) Adesso clickare sul programma Regedit ridotto ad icona, selezionare con tasto destro il nome AppInit_DLLs clickare su MODIFICA, compare la finestra Modifica stringa, scrivere nel campo Dati valore: prova.dll e confermare
8) Premere varie volte il pulsante F5, per verificare se su AppInit_DLLs rimane scritto nella colonna DATI il valore Prova.dll, altrimenti ripetere la fase 2.
9) Adesso lasciando aperti tutti i programmi premere il pulsante RESET del computer (quello del case) per riavviarlo brutalmente (importante). Se il computer è sprovvisto di pulsante di RESET, allora togliere l'alimentazione elettrica. Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica. Non servono a niente riavviare il computer o chiudere la sessione, perché il rootkit viene eseguito di nuovo, l'unico modo è quello di "resettare" il computer.

Al successivo riavvio verificare se AppInit_DLLs è uguale a "Prova.dll"


FASE 3:
Se AppInit_DLLs è diverso da "Prova.dll" si deve ripetere la FASE 2.

Adesso eseguire VirIT eXplorer Pro/Lite e procedere alla scansione anti-virus per rimuovere il rootkit.

VirIT, molto probabilmente troverà dei file infetti che verranno rimossi.
Nel caso VirIT eXplorer Pro trovi dei file SOSPETTI segnalati come POSSIBILI VIRUS DI NUOVA GENERAZIONE, contattare TG Soft per l'assistenza (solo per i clienti della versione Professional in assistenza)..

Per i clienti della versione Professional, si consiglia di inviare il file di esecuzione automatica, da VirIT Security Monitor clickare sull'uomo spia e dopo su INVIA MAIL.

Nella FASE 1, vi è stato detto di segnarVi il percorso del file del servizio incriminato, per eliminare questo file, si deve verificare se è un file CRITTOGRAFATO.
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.

N.B.: In Windows XP HOME Edition la scheda PROTEZIONE è visibile solo dalla modalità provvisoria.

In Windows XP Professional la scheda PROTEZIONE è visibile se non è selezionato nelle OPZIONI CARTELLA la voce "Utilizza condivisione file semplice (scelta consigliata)". Per accedere alle OPZIONI CARTELLA: da RISORSE DEL COMPUTER menu STRUMENTI->OPZIONI CARTELLA->VISUALIZZAZIONE nelle IMPOSTAZIONE AVANZATE togliere il flag da "Utilizza condivisione file semplice (scelta consigliata)".

Ho controllato, Pensavo di aver rimosso Gromozon /LinkOptimizer con il tool Prevx, invece ho anch'io un'altra variante. Ho visto la voce strana in Strumenti di amministrazione -> Servizi.....
La procedura e' piuttosto complicata, x ora non ho tempo di eseguirla... :-( Cmq con Zone Alarm togliendo il permesso a SVCHOST (Generic Host Process for Win32 Service) ad agire come Server dovrei navigare tranquillamente impedendo alla variante di collegarsi a strani IP....

L'altro problema e' che e' FORSE proprio questa variante che impedisce l'attivazione di Prevx1 dopo averlo installato... Infatti cliccando su START TRIAL mi compare la finestra ACTIVATION HAS FAILED.....

Ciao a tutti !!

[Violence77]

Sei connesso ad internet quando installi il PrevX vero ? ^_^

[schumy2006]

Quote:

Originariamente inviato da Violence77

Sei connesso ad internet quando installi il PrevX vero ? ^_^

No, sono sempre disconnesso. In ogni caso o connesso o non connesso Prevx1 non si attiva.....

[Violence77]

Per attivare il Prevx devi essere connesso, riesci a navigare su internet normalmente ? Attenzione ai firewall.

[bReAkDoWn]

Quote:

Originariamente inviato da schumy2006

Ho controllato, Pensavo di aver rimosso Gromozon /LinkOptimizer con il tool Prevx, invece ho anch'io un'altra variante. Ho visto la voce strana in Strumenti di amministrazione -> Servizi.....
La procedura e' piuttosto complicata, x ora non ho tempo di eseguirla... :-( Cmq con Zone Alarm togliendo il permesso a SVCHOST (Generic Host Process for Win32 Service) ad agire come Server dovrei navigare tranquillamente impedendo alla variante di collegarsi a strani IP....

L'altro problema e' che e' FORSE proprio questa variante che impedisce l'attivazione di Prevx1 dopo averlo installato... Infatti cliccando su START TRIAL mi compare la finestra ACTIVATION HAS FAILED.....

Ciao a tutti !!

Io non mi sono mai informato su ciò che che il tool di rimozione di Gromozom faccia esattamente, quindi non so in quali situazioni possa fallire o magari eseguire una rimozione parziale. Ma riferendomi al servizio che ti è rimasto, ti suggerisco di guardare nelle sue proprietà il nome del suo eseguibile, andare a cercarlo e vedere se effettivamente esista. Se esiste e non è possibile cancellarlo, prova a rinominarlo, e al prossimo avvio dovrebbe essere cancellabile. Puoi provare a rimuoverlo anche con il tool di rimozione di agent di nod32 se vuoi.
Poi potrai cancellare il servizio da prompt dei comandi con il comando sc delete nomeservizio.
Perlomeno questi passaggi funzionano con le vecchie varianti di agent/linkopt, adesso non so se qualcosa sia cambiato.
Per quanto riguarda la lunga procedura con Virit, secondo me ci sono alcuni punti dubbi, al momento non saprei esprimermi in merito nè positivamente nè negativamente.
Comunque, cercando di fare uno schema, valido perlomeno sino alle ultime varianti:

- Se rootkitrevealer o gmer si avviano e non rilevano rootkit (interpretando correttamente i risultati, magari postandoli sul forum)
- Se non ci sono servizi dai nomi casuali con altri nomi casuali nel campo connessione
- Se non ci sono BHO o programmi sconosciuti in autostart (rilevabili con hijackthis o dalla funzione autostart di gmer)

nonostante possano essere rimasti file o utenti fittizi relativi all'infezione, agent/linkoptimizer può considerarsi debellato e inattivo.

[schumy2006]

Quote:

Originariamente inviato da Violence77

Per attivare il Prevx devi essere connesso, riesci a navigare su internet normalmente ? Attenzione ai firewall.

Ciao Violence77, AVEVI RAGIONE !!! Il problema era che non ero connesso.. Ora l'ho attivato. Non me ne ero accorto in quanto su un altro PC l'avevo attivato subito e non mi ero reso conto che l'attivazione era andata a buon fine poiche' ero on-line...........

Pero' quelli della Prevx potevano anche mettere in quella finestra un avviso sulla necessita' di una connessione attiva per l'attivazione (...sono stato una settimana bloccato................) La finestra di Prevx1 si limitava a dire che il problema poteva essere dovuto ad Anti-Virus o altri programmi attivati, nient'altro......... Io infatti disattivavo tutto, persino il firewall ma inutilemnte...

GRAZIE INFINITE... Appena posso eseguo la procedura che mi hai consigliato... in effetti la procedura con Virit, anche non essendo un esperto, non mi convince molto.........

CIAO !!

P.S.: Cmq non credo sia stato completamente debellato, oppure c'e' qualcos'altro di anomalo sul PC...
SVCHOST prova ad agire come server mettendosi in ascolto e collegandosi ad un IP che non mi sono segnato... cominciava con 214. ecc...
X fortuna Con Zone Alarm posso vietare automaticamente qualsiasi richiesta di SVCHOST in questo senso :-)

[bReAkDoWn]

Quote:

Originariamente inviato da schumy2006

P.S.: Cmq non credo sia stato completamente debellato, oppure c'e' qualcos'altro di anomalo sul PC...
SVCHOST prova ad agire come server mettendosi in ascolto e collegandosi ad un IP che non mi sono segnato... cominciava con 214. ecc...
X fortuna Con Zone Alarm posso vietare automaticamente qualsiasi richiesta di SVCHOST in questo senso :-)

Il servizio casuale alla fine si serve proprio di un svchost (fittizio anche quello ) per scaricare i file di cui ha bisogno per installare il malware. In ascolto non dovrebbe mettersi in quanto non fa da server, ma se cerca di collegarsi ad un sito, prova ad eliminare quel servizio e poi controlla che svchost non tenti più quel collegamento.

[Joker80]

appena lanciato ecco il risultato

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.


mi dice di installare questo programma Prevx1 è essenziale? è a pagamento? Ho già kis2006 + ewido....