*** Removal Tool LinkOptimizer / Gromozon ***

[Shugar]

Ciao marco,
grazie per avermi risposto innanzitutto..
Dunque la faccenda è un po' strana:tanto per cominciare mi hai parlato di guida,e non sei stato l'unico...ma io nella prima pagina leggo solo questo http://www.prevx.com/gromozon.asp che altro non è che il tool giusto?Credo che non sia quella la guida..

Comunque ho reinstallato prevx1 (al primo "infettamento" lo installai e poi lo tolsi) ed ora non ho più il problema della cpu al 100% per services.exe.
Però?
- Però è rimasta la cartella dell'account (non mi ricordo come si eliminano gli account).

- Il programma mi ha fatto un paio di avvertimenti,e ora nella console ho questa voce: http://img268.imageshack.us/img268/1945/pag1sx3.jpg

- Nella cartella C/PROGRAMMI/WINDOWS NT è rimasta tutta sta roba che non so cosa sia http://img268.imageshack.us/img268/5941/pag2rp7.jpg

Sono veramente abbattuto

Tra l'altro
"Cancella il servizio associato
Cancella gli eseguibili collegati (es com5.exe) ecc , di solito hanno dei nomi riservati, ma troverai piu spiegazioni se ti rileggi questa discussione .
Vedi se hai una chiave di registro come questa "{DA39029C-D291-A968-3FF4-D0990D5CB5FC}"
e' protetta , quindi devi concedere le autorizzazioni necessarie per poterla eliminare"

Non è che puoi essere un po piu preciso...ad esempio come faccio a sapere quali sono gli ESEGUIBILI COLLEGATI!?

p.s. Io su INSTALLAZIONE APPLICAZIONI non ho nessuna voce Linkoptimizer

Che macello

Grazie

[ocram3]

Ma virit te lo trova?
hai messo firefox 2.0?

prova qui (www.viritpro.info/articoli/rootkit_d-e.htm)

[kuabba82]

Ragazzi volevo domandare una cosa...ma se uno si becca questo rootkit e poi da pannelo di controllo tenta di disinstallarlo (a me era una cosa tipo MetaKnight) si becca un virus semplice o qualcos'altro?
Perchè senza sepere nulla la prima cosa che feci quando mi sono accorto di avere un'infezione andai a fare proprio questo...successivamente una scansione prima con avg antispyware e poi con active scan di Panda mi hanno rilevato un paio di virus che mi hanno poi eliminato...

[Shugar]

Ammetto che non ci sto capendo più nulla..

Firefox non capisco che c'entra
Ma non è un browser?

Comunque ho lanciato in modalità provvisoria il tool della Symantec (FixLinkopt.exe) il quale PARE (sgrat) avermi levato un po' tutta la merda.

Questo è il log:

service: WinPls (logon as: .\tNBxZuN, passed filters)
service: WinPls (file path: C:\Programmi\Windows NT\Jpq.exe - infected)
file: C:\Programmi\Windows NT\Jpq.exe (deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\WinPls\Security (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\WinPls\Enum (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\WinPls (key deleted)
reg: ...\SpecialAccounts\UserList\tNBxZuN (value deleted)
folder: \\?\C:\Documents and Settings\tNBxZuN (deleted)
user: tNBxZuN (deleted)

Ho detto un po' perchè le uniche cose rimaste sono quei maledetti files .exe nella cartella Windows Nt.
Ho provato a cancellarli a mano...due non vogliono proprio crepare.
Come faccio?

Arigrazie

[ocram3]

Certo Firefox e' un browser
Infatti Gromozon entra proprio da una falla di EXplorer (scarica la patch se non vuoi installare firefox)

Per togliere i files che ci sono , ma non vengono riconosciuti dal sistema , devi fare in questo modo
Vai nel prompt del dos
Ti porti sulla cartella contenete i files incriminati (acc gia qui bisognerebbe conoscere i comandi Cd del dos ) ammettiamo che tu lo sappia fare, devi dare un "del nomefile.exe "
Se non si cancella prova dalla mod provvisoria , sempre dal prompt
Se proprio non va , installa "GMER" e cancella i files con quello

Ti consiglio di rileggere tutta la discussione , questo per non ripetere le cose gia dette piu volte e per non appesantire ulteriormente la discussione

[corgiov]

Io devo eliminare file criptati, o per lo meno decriptarli. Il rootkit sono stato IO in persona, non un software.
Ho trasferito 150 Giga dei miei due Hard Disk in quello di un mio amico.
Ora, dopo due mega-formattoni (con modifiche sulle partizioni) sono riuscito a ripristinare tutti i dati tranne quelli di una cartella: poco più di 12 Giga che sono condivisi (file di colore verde). Ho provato a decripatarli, ma il sistema trova una nuova chiave (ho cambiato scheda madre, processore, scheda video, RAM, lèttere delle unità...).
Posso fare qualcosa, o devo ricreare da zero i file?

[Shugar]

Grazie mille Marco,
ho risolto con GMER

p.s. Ma ora che ho levato tutto e messo tutti gli aggiornamenti della protezione di XP,posso levarlo PREVX1,o senza di quello rischio di riprendermelo?Non lo posso vedè sto programma

grazie

[giovy82]

Salve ragazzi, sono nuovo da queste parti, anche io sono di quelli che si sono presi gromozon.
E' da un po di giorni che seguo questo forum, e ho cercato di applicare tutti i vostri consigli per rimuoverlo definitivamente(visto che è la seconda volta che mi trovo alle prese con questo malware). devo dire che mi siete stati di aiuto.
Solo che mi era rimasto in istallazioni applicazioni due file "connection service" ed un'altro e poi in file comuni un paio di file in verde. Tant'è che ho deciso di formattare (ne aveva bisogno cmq il mio pc). Ora mi trovo in prossimità di istallare un antivirus e un firewall(prima avevo antivir) . Quale mi consigliate per non incappare più in questo malware, che mi ha fatto penare così tanto??
grazie tante
P.S:Già da un po uso FireFox!!

[juninho85]

non c'è firewall che protegga da link optimizer,devi solo assicurarti di avere il sistema operativo aggiornato

[Shugar]

confermo,ma mi chiedo: per questi malware,troijan rootkit etcc,basterà sempre avere win aggiornato?

tnx

[bReAkDoWn]

Quote:

Originariamente inviato da Shugar

confermo,ma mi chiedo: per questi malware,troijan rootkit etcc,basterà sempre avere win aggiornato?

tnx

Il sistema aggiornato è fondamentale per tutti quei malware che riescono ad entrare automaticamente, sfruttando vulnerabilità nel sistema operativo, senza alcuna azione da parte dell'utente se non quella di navigare su un sito o di stare connesso a internet. Ovviamente nel periodo intercorrente fra la scoperta di una vulnerabilità e l'uscità della patch non c'è niente da fare, se non sperare nella protezione degli antivirus e/o firewall, a seconda del tipo di vulnerabilità.

Diverso è il caso delle azioni, diciamo rischiose, effettuate inconsapevolmente da un utente, come eseguire allegati infetti di email, o dare il consenso alla installazione di controlli activex da un sito web, eseguire file scaricati infetti, ecc.
La difesa da quest'ultimo tipo di minacce è compito degli antivirus.
E questa più o meno è la teoria.

[juninho85]

Quote:

Originariamente inviato da Shugar

confermo,ma mi chiedo: per questi malware,troijan rootkit etcc,basterà sempre avere win aggiornato?

tnx

non sempre,però aiuta

[Shugar]

grazie ragazzi

[Sholn]

dopo una mattinata infernale sono riuscito a togliere gromozon, è la seconda volta che mi capita di incontrarmi con questo simpaticone ma devo dire che questo ultimo incontro è stato ben peggiore.
Non so se è già stato detto (ho letto parte dei post ma non tutte le 28 pag) ma ora per eseguire i tool di prevx e symantec o gmer è necessario cambiare il nome al file eseguibile altrimenti non parte!!!

[juninho85]

Quote:

Originariamente inviato da Sholn

dopo una mattinata infernale sono riuscito a togliere gromozon, è la seconda volta che mi capita di incontrarmi con questo simpaticone ma devo dire che questo ultimo incontro è stato ben peggiore.
Non so se è già stato detto (ho letto parte dei post ma non tutte le 28 pag) ma ora per eseguire i tool di prevx e symantec o gmer è necessario cambiare il nome al file eseguibile altrimenti non parte!!!

...è l'ultima simpatica variante

[genna84]

Quote:

Originariamente inviato da juninho85

...è l'ultima simpatica variante

ieri ho avuto a che fare con rootkit.p,crea delle dll sul desktop...molti più file protetti in verde...con VIRIT ho risolto tutto....lanciando il bat interno che rinomina l'eseguibile...in questo mese più o meno a 40 pc ho rimosso sto CAZ de virus!!!!è frustante...tutti lo pigliano....

[chry80]

Quote:

Originariamente inviato da genna84

rimosso sto CAZ de virus!!!!è frustante...tutti lo pigliano....

dove si piglia? o meglio dove si deve navigare per prenderlo?

[genna84]

Quote:

Originariamente inviato da chry80

dove si piglia? o meglio dove si deve navigare per prenderlo?

non dipende dai siti....è un buco.....fare windows update può aiutare....ma con la versione P entra cmq....usare Firefox per sicurezza...

[Shugar]

cioè quindi con il sistema aggiornatissimo,c'è il rischio che me lo riprendo???

[chry80]

Quote:

Originariamente inviato da genna84

non dipende dai siti....è un buco.....fare windows update può aiutare....ma con la versione P entra cmq....usare Firefox per sicurezza...

già fatto tutto da tempo e infatti non me lo sono ancora preso
cmq pensavo che bastasse navigare in siti sicuri per non prenderlo.........come qualsiasi altro spyware,rootkit,malware,virus.............