*** Removal Tool LinkOptimizer / Gromozon ***

[pesce81]

ok, provvederò ad usare il vocabolario italiano, scusate..... adesso mi rileggo tutte le pagine precedenti, spero di riuscirci, intanto grazie!!

[pesce81]

Quote:

Originariamente inviato da groot

Come primo post non è male.
Ti consiglio per facilitare la lettura degli utenti che leggono di utilizzare il vocabolario italiano e non i kkk .... sett nn cn sk e varie abbreviazioni ......

Inoltre, nelle precedenti pagine c'è già una serie di aiuti per ovviare al tuo problema, quindi leggi, pensa e esegui i passi precedenti se hai problemi noi (almeno io) siamo qua a disposizione per aiutarti.

Ciao.

ho provato ad eseguire services.mscd ed ho trovato il "servizio sporco" ma non riesco a cancellarlo ed il file a cui fa riferimento non c'è! in compenso l utente che si era creato,dopo averlo cancellato,non riappare più!
ho fatto anche la scansione con gmer ma non ci capisco nulla!
e volevo sapere una cosa ma se alla fine riuscissi ad aggiustare il guasto, ho possibilità di recuperare i dati che prima eran sul pc?? grazie

[BilloKenobi]

certo che puoi, la rimozione del LinkOptimizer è utile soprattutto perchè evita il format

per l'interpretazione del log gmer, postalo sul forum

[pesce81]

Quote:

Originariamente inviato da BilloKenobi

certo che puoi, la rimozione del LinkOptimizer è utile soprattutto perchè evita il format

per l'interpretazione del log gmer, postalo sul forum

GMER 1.0.11.11384 - http://www.gmer.net
Rootkit 2006-09-28 14:59:22
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.11 ----

SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwClose
SSDT FF9A4E18 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey
SSDT kl1.sys ZwOpenFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwResumeThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSaveKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetContextThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetSecurityObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSuspendThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwTerminateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwUnloadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwWriteVirtualMemory
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[284]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[285]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[286]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[287]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[288]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[289]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[290]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[291]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[292]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[293]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[294]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[295]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[296]

Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous

---- Devices - GMER 1.0.11 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 812F9808
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_CREATE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_CLOSE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_READ 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_WRITE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_FLUSH_BUFFERS 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_INTERNAL_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_SHUTDOWN 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_POWER 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_SYSTEM_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_PNP 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_CREATE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_CLOSE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_READ 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_WRITE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_FLUSH_BUFFERS 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_INTERNAL_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_SHUTDOWN 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_POWER 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_SYSTEM_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_PNP 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_CREATE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_CLOSE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_READ 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_WRITE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_FLUSH_BUFFERS 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_INTERNAL_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_SHUTDOWN 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_POWER 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_SYSTEM_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_PNP 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_CREATE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_CLOSE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_READ 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_WRITE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_FLUSH_BUFFERS 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_INTERNAL_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_SHUTDOWN 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_POWER 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_SYSTEM_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_PNP 812F9EB0
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CREATE 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_READ 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_WRITE 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_FLUSH_BUFFERS 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_DEVICE_CONTROL 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_INTERNAL_DEVICE_CONTROL 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_SHUTDOWN 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CLEANUP 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_POWER 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_SYSTEM_CONTROL 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_PNP 812F90E8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLOSE FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_READ FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_WRITE FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FLUSH_BUFFERS FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CONTROL FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_INTERNAL_DEVICE_CONTROL FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SHUTDOWN FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_POWER FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SYSTEM_CONTROL FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP FFA8A620
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_NAMED_PIPE FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLOSE FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_READ FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_WRITE FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_INFORMATION FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_INFORMATION FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_EA FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_EA FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FLUSH_BUFFERS FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_VOLUME_INFORMATION FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_VOLUME_INFORMATION FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DIRECTORY_CONTROL FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FILE_SYSTEM_CONTROL FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CONTROL FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_INTERNAL_DEVICE_CONTROL FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SHUTDOWN FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_LOCK_CONTROL FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLEANUP FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_MAILSLOT FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_SECURITY FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_SECURITY FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_POWER FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SYSTEM_CONTROL FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CHANGE FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_QUOTA FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_QUOTA FF9AF268
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLOSE FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_READ FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_WRITE FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FLUSH_BUFFERS FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CONTROL FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_INTERNAL_DEVICE_CONTROL FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SHUTDOWN FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_POWER FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SYSTEM_CONTROL FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_PNP FFA8A620
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_INTERNAL_DEVICE_CONTROL [F96FBA6C] sfsync04.sys
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL [F96FBA6C] sfsync04.sys
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL [F96FBA6C] sfsync04.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_INTERNAL_DEVICE_CONTROL [F96FBA6C] sfsync04.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CREATE FF9A21B0
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CLOSE FF9A21B0
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_DEVICE_CONTROL FF9A21B0
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_INTERNAL_DEVICE_CONTROL FF9A21B0
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CLEANUP FF9A21B0
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_PNP FF9A21B0
Device \Driver\NetBT \Device\NetBT_Tcpip_{58147D04-410C-4737-80A4-38FA24CE1FD8} IRP_MJ_CREATE FF9A21B0
Device \Driver\NetBT \Device\NetBT_Tcpip_{58147D04-410C-4737-80A4-38FA24CE1FD8} IRP_MJ_CLOSE FF9A21B0
Device \Driver\NetBT \Device\NetBT_Tcpip_{58147D04-410C-4737-80A4-38FA24CE1FD8} IRP_MJ_DEVICE_CONTROL FF9A21B0
Device \Driver\NetBT \Device\NetBT_Tcpip_{58147D04-410C-4737-80A4-38FA24CE1FD8} IRP_MJ_INTERNAL_DEVICE_CONTROL FF9A21B0
Device \Driver\NetBT \Device\NetBT_Tcpip_{58147D04-410C-4737-80A4-38FA24CE1FD8} IRP_MJ_CLEANUP FF9A21B0
Device \Driver\NetBT \Device\NetBT_Tcpip_{58147D04-410C-4737-80A4-38FA24CE1FD8} IRP_MJ_PNP FF9A21B0
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CREATE FF9A21B0
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CLOSE FF9A21B0
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_DEVICE_CONTROL FF9A21B0
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_INTERNAL_DEVICE_CONTROL FF9A21B0
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CLEANUP FF9A21B0
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_PNP FF9A21B0
Device \Driver\00000104 \Device\0000004e IRP_MJ_POWER [F976FEA8] sptd.sys
Device \Driver\00000104 \Device\0000004e IRP_MJ_SYSTEM_CONTROL [F9783A70] sptd.sys
Device \Driver\00000104 \Device\0000004e IRP_MJ_PNP [F977C728] sptd.sys
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_CREATE 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_CLOSE 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_READ 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_WRITE 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_FLUSH_BUFFERS 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_DEVICE_CONTROL 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_INTERNAL_DEVICE_CONTROL 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_SHUTDOWN 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_POWER 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_SYSTEM_CONTROL 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_PNP 812F9A40
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_NAMED_PIPE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLOSE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_READ FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_WRITE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_EA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_EA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FLUSH_BUFFERS FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_VOLUME_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_VOLUME_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DIRECTORY_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FILE_SYSTEM_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_INTERNAL_DEVICE_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SHUTDOWN FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_LOCK_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLEANUP FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_MAILSLOT FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_SECURITY FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_SECURITY FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_POWER FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SYSTEM_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CHANGE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_QUOTA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_QUOTA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_PNP FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_NAMED_PIPE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLOSE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_READ FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_WRITE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_EA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_EA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FLUSH_BUFFERS FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_VOLUME_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_VOLUME_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DIRECTORY_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FILE_SYSTEM_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_INTERNAL_DEVICE_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SHUTDOWN FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_LOCK_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLEANUP FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_MAILSLOT FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_SECURITY FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_SECURITY FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_POWER FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SYSTEM_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CHANGE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_QUOTA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_QUOTA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_PNP FF99E9C0
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CREATE FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CREATE_NAMED_PIPE FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CLOSE FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_READ FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_WRITE FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_INFORMATION FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_SET_INFORMATION FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_FLUSH_BUFFERS FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_VOLUME_INFORMATION FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_DIRECTORY_CONTROL FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_FILE_SYSTEM_CONTROL FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CLEANUP FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_SECURITY FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_SET_SECURITY FF9D1420
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CREATE 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_READ 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_WRITE 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_FLUSH_BUFFERS 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_DEVICE_CONTROL 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_INTERNAL_DEVICE_CONTROL 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_SHUTDOWN 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CLEANUP 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_POWER 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_SYSTEM_CONTROL 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_PNP 812F90E8
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CREATE FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CLOSE FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_READ FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_WRITE FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_QUERY_INFORMATION FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_SET_INFORMATION FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_QUERY_VOLUME_INFORMATION FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_DIRECTORY_CONTROL FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_FILE_SYSTEM_CONTROL FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CLEANUP FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CREATE_MAILSLOT FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_QUERY_SECURITY FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_SET_SECURITY FF9D1A08
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_CREATE FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_CLOSE FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_DEVICE_CONTROL FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL [F96FBA6C] sfsync04.sys
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_POWER FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_SYSTEM_CONTROL FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_PNP FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_CREATE FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_CLOSE FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_DEVICE_CONTROL FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_INTERNAL_DEVICE_CONTROL [F96FBA6C] sfsync04.sys
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_POWER FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_SYSTEM_CONTROL FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_PNP FFA672A0
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CREATE 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLOSE 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_READ 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_INFORMATION 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SET_INFORMATION 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_VOLUME_INFORMATION 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DIRECTORY_CONTROL 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_FILE_SYSTEM_CONTROL 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DEVICE_CONTROL 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SHUTDOWN 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_LOCK_CONTROL 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLEANUP 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_PNP 8117C8D8

---- Threads - GMER 1.0.11 ----

Thread 4:172 FFBD0F48
Thread 4:176 FFB0BA70
Thread 4:180 FFB0BA70
Thread 4:444 FFBD0F48
Thread 4:580 FFBD0F48

---- Processes - GMER 1.0.11 ----

Process C:\WINDOWS\service32.exe (*** hidden *** ) 588

---- Registry - GMER 1.0.11 ----

Reg \Registry\MACHINE\SOFTWARE\45CHL7AM1J
Reg \Registry\MACHINE\SOFTWARE\45CHL7AM1J@45CHL7AM1J 0x01 0x00 0x00 0x51 ...
Reg \Registry\MACHINE\SOFTWARE\45CHL7AM1J@45CHL7AM1J 0x01 0x00 0x00 0x51 ...

---- Files - GMER 1.0.11 ----

ADS ...

---- EOF - GMER 1.0.11 ----

[pesce81]

GMER 1.0.11.11384 - http://www.gmer.net
Autostart 2006-09-28 15:02:12
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon@DLLName = C:\WINDOWS\system32\klogon.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AVP /*Kaspersky Anti-Virus 6.0*/@ = "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
SrvYrq /*SrvYrq*/@ = "C:\Programmi\File comuni\System\OWAf.exe" /*file not found*/
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@ApointC:\Programmi\Apoint2K\Apoint.exe = C:\Programmi\Apoint2K\Apoint.exe
@kav"C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" = "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
@ /*file not found*/ = /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WINDOWS\service32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@MSMSGS = "C:\Programmi\Messenger\msmsgs.exe" /background

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} /*iTunes*/C:\Programmi\iTunes\iTunesMiniPlayer.dll = C:\Programmi\iTunes\iTunesMiniPlayer.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll = C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll
@{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3} /*Immagini Logitech*/C:\Programmi\Logitech\Video\Namespc2.dll = C:\Programmi\Logitech\Video\Namespc2.dll
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E0BD38EB-C8EC-11D2-B274-B493B003B125} /*East-Tec Eraser Context Menu Shell Extension*/C:\PROGRA~1\EAST-T~1\ETCONT~1.DLL = C:\PROGRA~1\EAST-T~1\ETCONT~1.DLL
@{85E0B171-04FA-11D1-B7DA-00A0C90348D6} /*Web Anti-Virus*/C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll = C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
East-TecEraser@{E0BD38EB-C8EC-11D2-B274-B493B003B125} = C:\PROGRA~1\EAST-T~1\ETCONT~1.DLL
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
East-TecEraser@{E0BD38EB-C8EC-11D2-B274-B493B003B125} = C:\PROGRA~1\EAST-T~1\ETCONT~1.DLL
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx = C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
@{14D1A72D-8705-11D8-B120-0040F46CB696}C:\Documents and Settings\mm\92710219.dll /*file not found*/ = C:\Documents and Settings\mm\92710219.dll /*file not found*/

HKLM\Software\Microsoft\Internet Explorer\Plugins\Extension\.pdf@Location = C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main@Start Page = http://www.google.it/

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000002@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000003@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000004@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000005@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll

---- EOF - GMER 1.0.11 ----

[bReAkDoWn]

Quote:

Originariamente inviato da pesce81

GMER 1.0.11.11384 - http://www.gmer.net
Autostart 2006-09-28 15:02:12
Windows 5.1.2600 Service Pack 2


HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WINDOWS\service32.exe
---

Va tolto questo. Per eliminarlo puoi prima eliminare il processo corrispondente con gmer.exe (dentro processes lo selezioni e poi fai kill process). A quel punto service32.exe dovrebbe essere normalmente cancellabile. C'è anche una .dll che fa parte del malware, nella stessa cartella, ma il nome può cambiare. Comunque questa .dll dovrebbe essere eliminabile con i normali antivirus, una volta tolto l'.exe.

[groot]

Quote:

Originariamente inviato da bReAkDoWn

Va tolto questo. Per eliminarlo puoi prima eliminare il processo corrispondente con gmer.exe (dentro processes lo selezioni e poi fai kill process). A quel punto service32.exe dovrebbe essere normalmente cancellabile. C'è anche una .dll che fa parte del malware, nella stessa cartella, ma il nome può cambiare. Comunque questa .dll dovrebbe essere eliminabile con i normali antivirus, una volta tolto l'.exe.

e se non riesci a cancellare il file c'è un programma creato appositamente AGVPFIX.ZIP
da scaricare.

[Morpheus_/_Neo]

Quote:

Originariamente inviato da BilloKenobi

posso? è uscita recentemente la 1.5.0.7 di firefox... io usavo questo browser perchè bloccava il download automatico di virus, dialer e compagnia bella (tra cui li LinkOptimizer)...

oggi visitando un sito becco una delle classiche pagine tricolori che fanno riferimento a td8eau9td.com... mi incazzo ma penso... vabbè, firefox bloccherà il download avvertendomi con la solita schermata del file www.google.com.... e invece firefox scarica il virus senza dirmi nulla.... non fosse stato per avast, ora scommaterei col tool di rimozione... è successo anche ad altri?

per favore qualche comento su questo, anch'io ho firefox 1.5.0.7... posso stare tranquillo o devo preoccuparmi?

grazie
M_/_N

[groot]

Quote:

Originariamente inviato da Morpheus_/_Neo

per favore qualche comento su questo, anch'io ho firefox 1.5.0.7... posso stare tranquillo o devo preoccuparmi?

grazie
M_/_N

Con internet non si può mai stare stranquilli.

[Morpheus_/_Neo]

Quote:

Originariamente inviato da groot

Con internet non si può mai stare stranquilli.

si ok d'accordo, ma al di la' delle ovvieta', il problema posto da quell'utente riguardo a firefox mi ha fatto pensare: ero rimasto al fatto che con ff veniva richiesto se scaricare o meno il virus e che questa cosa non era aggirabile, ora sembra che anche con ff, non solo con internet explorer, alcuni software si installino senza il consenso esplicito dell'utente. e' cosi' o no? perche' se e' cosi' allora la sicurezza di ff viene messa in discussione. La cosa che mi stupisce e' che questo utente non ha avuto commenti, mentre la questoine mi pare rilevante.

M_/_N

[groot]

Quote:

Originariamente inviato da Morpheus_/_Neo

si ok d'accordo, ma al di la' delle ovvieta', il problema posto da quell'utente riguardo a firefox mi ha fatto pensare: ero rimasto al fatto che con ff veniva richiesto se scaricare o meno il virus e che questa cosa non era aggirabile, ora sembra che anche con ff, non solo con internet explorer, alcuni software si installino senza il consenso esplicito dell'utente. e' cosi' o no? perche' se e' cosi' allora la sicurezza di ff viene messa in discussione. La cosa che mi stupisce e' che questo utente non ha avuto commenti, mentre la questoine mi pare rilevante.

M_/_N

Per scaricarlo potresti anche scaricarlo ma poi se non hai cambiato le impostazioni non prte l'esecuzione....

[Morpheus_/_Neo]

Quote:

Originariamente inviato da groot

Per scaricarlo potresti anche scaricarlo ma poi se non hai cambiato le impostazioni non prte l'esecuzione....

1. di quali impostazioni parli?
2. ok, ma anche sul sito di ff la mozilla foundation vantava il discorso che l'utente per scaricare software DEVE obbligatoriamente premere il tasto OK (pressione consentita dopo un ritardo di 4 secondi)...
3. ah, ma aspetta... vuoi dire che il messaggio per scaricare www.google.com e' relativo a un download normale e non di una extension? (beh, si, di una extension non se ne farebbero niente a livello di danni)... quindi se io imposto ff per scaricare senza chiedere (ma e' possibile??) allora e' ovvio che sono scoperto... e' questo che vuoi dire?

M_/_N

[groot]

Quote:

Originariamente inviato da Morpheus_/_Neo

1. di quali impostazioni parli?
2. ok, ma anche sul sito di ff la mozilla foundation vantava il discorso che l'utente per scaricare software DEVE obbligatoriamente premere il tasto OK (pressione consentita dopo un ritardo di 4 secondi)...
3. ah, ma aspetta... vuoi dire che il messaggio per scaricare www.google.com e' relativo a un download normale e non di una extension? (beh, si, di una extension non se ne farebbero niente a livello di danni)... quindi se io imposto ff per scaricare senza chiedere (ma e' possibile??) allora e' ovvio che sono scoperto... e' questo che vuoi dire?

M_/_N

Le estensioni sono pericolose, possono esserlo.

Prova a scaricare un file, e vedi cosa ti domanda

vai qua: http://www.filehippo.com/download_konfabulator/


Download
Latest Version

..e clicca sulla freccia.

Scarica il file exe
poi su apri
a quel punto compare l'alert "se sei sicuro di aprire un file eseguibile"....

[Morpheus_/_Neo]

si si, ok. quindi quello che diceva l'utente che ho citato e' perfettamente normale... nulla di strano.

avevo pensato chissa' cosa :-)

M_/_N

[schumy2006]

Ciao a tutti !
Ho letto lo splendido lavoro di Eraser, ma purtroppo per me era gia' troppo tardi...
Premetto che ho Win XP SP1 e la patch di Microsoft KB912919 non si installa (forse bloccata dal trojan ?) poiche' mi appare una piccola finestra intitolata "KB912919 Setup Error" che dice: "Setup cannot update your Windows XP files because the language installed on your system is different from the update language."
Inizialmente RootkitRevealer aveva dato questi risultati:
HKLM\S-1-5-21-507921405-813497703-725345543-1003\RemoteAccess\InternetProfile 09/07/06 12.06 13 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 22/08/06 17.07 66 bytes Windows API length not consistent with raw hive data.
C:\Programmi\Norton AntiVirus\Savrt\0826NAV~.TMP 30/09/06 0.44 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\etc\lmhosts 30/09/06 0.41 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\lpt9.eua 30/09/06 0.26 126.84 KB Hidden from Windows API.
C:\WINDOWS\wwgwi1.dll 20/08/06 20.56 63.16 KB Hidden from Windows API.
C:\WINDOWS\wwgwi1.upd 22/08/06 10.54 61.37 KB Hidden from Windows API.

Ho scaricato allora il tool di rimozione prevx ma inizialmente diceva Gromozon rootkit not found. Il tool ha continuato comunque a cercare altre componenti ed ha individuato solo il file wwgwi1.dll e lo ha rimosso (non ricordo se e' stato necessario il riavvio x la rimozione...).

Purtroppo come un vero deficiente ho riavviato il PC...
Ho rifatto la scansione con Rootkit Revealer e mi dava risulatati quasi totalmente diversi e comunque senza trovare + (credo) nulla di anomalo, ecco il primo risultato di RootkitRevealer dopo l'utilizzo del tool di rimozione Gromozon di Prevx e il riavvio:
HKLM\S-1-5-21-507921405-813497703-725345543-1003\RemoteAccess\InternetProfile 09/07/06 12.06 13 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 01/10/06 9.30 80 bytes Data mismatch between Windows API and raw hive data.
C:\Programmi\Norton AntiVirus\Savrt\0279NAV~.TMP 30/09/06 22.38 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\Norton AntiVirus\Savrt\0392NAV~.TMP 01/10/06 9.36 0 bytes Hidden from Windows API.
C:\Programmi\Norton AntiVirus\Savrt\0784NAV~.TMP 01/10/06 9.49 0 bytes Hidden from Windows API.
C:\Programmi\Norton AntiVirus\Savrt\0940NAV~.TMP 30/09/06 22.21 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 01/10/06 9.28 64.00 KB Visible in Windows API, but not in MFT or directory index.
____________________________________________________________

Riavvio il PC ed ecco un nuovo differente log di RootkitRevealer:
HKLM\S-1-5-21-507921405-813497703-725345543-1003\RemoteAccess\InternetProfile 09/07/06 12.06 13 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 01/10/06 9.30 80 bytes Data mismatch between Windows API and raw hive data.
C:\Programmi\Norton AntiVirus\Savrt\0279NAV~.TMP 30/09/06 22.38 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\Norton AntiVirus\Savrt\0392NAV~.TMP 01/10/06 9.36 0 bytes Hidden from Windows API.
C:\Programmi\Norton AntiVirus\Savrt\0784NAV~.TMP 01/10/06 9.49 0 bytes Hidden from Windows API.
C:\Programmi\Norton AntiVirus\Savrt\0940NAV~.TMP 30/09/06 22.21 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 01/10/06 9.28 64.00 KB Visible in Windows API, but not in MFT or directory index.
______________________________________________________________
Rifaccio l'operazione dopo un nuovo riavvio di Win XP ed ecco il nuovo log di RootkitRevealer:
HKLM\S-1-5-21-507921405-813497703-725345543-1003\RemoteAccess\InternetProfile 09/07/06 12.06 13 bytes Data mismatch between Windows API and raw hive data.
C:\Programmi\Norton AntiVirus\Savrt\0392NAV~.TMP 01/10/06 9.54 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\Norton AntiVirus\Savrt\0395NAV~.TMP 01/10/06 10.08 0 bytes Hidden from Windows API.
C:\Programmi\Norton AntiVirus\Savrt\0784NAV~.TMP 01/10/06 9.49 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\Norton AntiVirus\Savrt\0849NAV~.TMP 01/10/06 10.21 0 bytes Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 01/10/06 10.00 64.00 KB Visible in Windows API, but not in MFT or directory index.
______________________________________________________________
Nel frattempo mi accorgo che in C: e' presente una cartella di nome $WIN_NT$.~BT (ma nessun file interno ad essa sembra infetto... contiene anche una cartella denominata system32....) e sempre in C: uno strano file "_cleaned.tmp" provo ad eliminarlo ma e' bloccato, addirittura anche in safe mode. Ho aggiornato Norton AV2006 e dopo aver cliccato col tasto destro del mouse sul file _cleaned.tmp, Norton l'ha rilevato e mi ha chiesto di riavviare per poterlo rimuovere...
Una volta rimosso _cleaned.tmp, Norton ha scoperto anche SonyJet.exe nella cartella \Windows\System32, anche questo bloccato, quindi stessa operazione (riavvio e rimozione riuscita...).

Ho poi utilizzatto CCleaner e dato una ripulita a tutto...

Nonostante cio' quando la connessione e' attiva, Zone Alarm Pro mi informa che A Generic Host Process For Win32 Services cerca di connettersi a Internet 255.255.255.255:DHCP...

Se nego l'accesso navigo tranquillamente senza problemi, anche se spesso ricevo attacchi di livello medio soprattutto sulle porte TCP 4662 e UDP 4672 da svariati indirizzi IP...

Se pero' consento l'accesso per la connessione a Generic Host Processor for Win32 Services 255.255.255.255:DHCP, dopo qualche minuto Zone Alarm mi informa che A Generic Host Process For Win32 Services sta cercando di agire come server )Applicazione: svchost.exe - IP di origine 0.0.0.0:Port 1026). Se consento anche questo dopo un po' il firewall mi blocca una intrusione tipo questa: Il firewall ha bloccato l'accesso al computer
(UDP Port 1026) da 202.97.238.204 (UDP Port 53586)
Programma: Generic Host Process for Win32

Se fatto cio' chiudo la connessione e mi riconnetto (con SVCHOST in ascolto sulla porta 1026) gli attacchi sulle porte TCP 4662 e UDP 4672 diventano incredibilmente numerosi (almeno 2 al secondo!!!...)

Devo precisare che prima di usare il tool Prevx, prima di aggiornare Java runtime..., prima di eliminare "_cleaned.tmp (in c:)" e SonyJet.exe (in system32) e prima di usare CCleaner, Svchost tentava di connettersi all'indirizzo 239.255.255.250:Port 1900,
...ora invece questo non SEMBRA piu' succedere, in ogni caso ad ogni riavvio del pc e connessione avviata Zone Alarm continua ad avvisarmi che "A Generic Host Process For Win32 Services cerca di connettersi a Internet 255.255.255.255:DHCP " (E' normale ?)

Ho poi sospettato che qualche malware modificasse qualcosa in RootkitRevealer, altrimenti non si spiegherebbe come mai i risultati di questo tool anti-rootkit cambiano così spesso, ecco l'ultimo log di RootritRevealer:
HKLM\S-1-5-21-507921405-813497703-725345543-1003\RemoteAccess\InternetProfile 09/07/06 12.06 13 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ParseAutoexec 01/10/06 16.18 5 bytes Data mismatch between Windows API and raw hive data.
C:\Programmi\Norton AntiVirus\Savrt\0162NAV~.TMP 01/10/06 16.40 0 bytes Hidden from Windows API.

Sono sicuro che queste voci cambieranno nuovamente al prossimo riavvio o cmq scompariranno :-(....


Ecco una scansione con HiJackThis che mi trova un certo file MH.exe collegato in qualche modo a Sysinternals.com

O23 - Service: MH - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\MH.exe

...Ovviamente fatta una ricerca del file con la funzione standard di Windows il file MH.exe non viene rilevato....

Ecco il log Hijackthis completo:

Logfile of HijackThis v1.99.1
Scan saved at 8.03.02, on 02/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\PestPatrol\PPControl.exe
C:\Programmi\PestPatrol\PPMemCheck.exe
C:\Programmi\PestPatrol\CookiePatrol.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\inKline Global\PC Booster\PCBooster.exe
C:\WINDOWS\TPPALDR.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\FILECO~1\SYMANT~1\SECURI~1\NSCSRVCE.EXE
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Downloads\test23.exe (NESSUN PROBLEMA, test23.exe e' HIJACKTHIS CHE HO RINOMINATO...)
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {B96BEF41-A0C5-22F8-1B13-1F07E91FF16F} - (no file)
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [QuickTime Task] "G:\-ARCHIVIO-\ARCHIVIO PROGRAMMI\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmi\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmi\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmi\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PC Booster] C:\Programmi\inKline Global\PC Booster\PCBooster.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1152448856417
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1152627447263
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MH - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\MH.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: SecSqd - Unknown owner - C:\Programmi\File comuni\System\esK.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ho anche notato che oltre alla patch di Microsoft non si installa nemmeno PREVX1 pur avendo disattivato tutti gli anti-virus (NOD32 e NAV 2006) e gli anti spyware...

Ho fatto una scansione online con Bitdefender e Kaspersky, ma niente...

Qualcuno puo' aiutarmi ?

*****AGGIORNAMENTO*****
Ho notato che a connessione avvenuta ricevo attacchi da svariati IP tutti diretti sulla stessa porta, nell'ultimo caso sulla 27673 UDP ma anche TCP...
Come e' possibile che una serie differente di IP (almeno 40 in 5 minuti) puntino sulla stessa porta ?
E' possibile che svchost o un altro processo comunichi all'esterno il mio IP (dinamico) e la porta/e da attaccare ?
In minima parte veniva attaccata anche la porta 1026 UDP e la 1027 UDP.
La 1026 e' guardacaso proprio quella su cui svchost rimaneva in ascolto quando abilitavo zone alarm a farlo agire come server...
Intanto scrivo a Prevx x capire come mai Prevx1 non puo' essere attivato dopo l'installazione... Ciao

[groot]

Quote:

Originariamente inviato da schumy2006

Premetto che ho Win XP SP1 e la patch di Microsoft KB912919 non si installa

bèh la partenza sarebbe installare xp2 e tutto il resto


però ....

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {B96BEF41-A0C5-22F8-1B13-1F07E91FF16F} - (no file)
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [QuickTime Task] "G:\-ARCHIVIO-\ARCHIVIO PROGRAMMI\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmi\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmi\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmi\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PC Booster] C:\Programmi\inKline Global\PC Booster\PCBooster.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/pa...can_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/res...can8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windows...b?1152448856417
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microso...b?1152627447263
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MH - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\MH.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: SecSqd - Unknown owner - C:\Programmi\File comuni\System\esK.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

elimina tutto quello che non ti serve e che non è necessario al sistema. vedo molte voci.... sarebbe interessante che tu ti creassi un WIN su USB, con Clam antivirus ad esempio ... per un scansione del HD.

[schumy2006]

Ciao groot, ti ringrazio. La penna usb che ho a disposizione e' troppo piccola per contenere windows e non posso passare a win SP2 in quanto si tratta di un vecchio PC che mi e' stato venduto con licenza del sistema operativo di qualche mese... Ora e' scaduta e non mi conviene rinnovarla per l'uso che ne faccio..... Sul PC con Win XP Service pack 2 in effetti non ho mai avuto problemi... Ciao e grazie ancora !!! ;-)

[bReAkDoWn]

@schumi

Ti dò alcune risposte generiche al tuo dettagliato post, non tratterò punto per punto..
Partiamo da rootkitrevealer. Per come è fatto quel programma, non tutti i risultati che fornisce sono da collegarsi obbligatoriamente a rootkit. Rootkittrev infatti segnala la presenza di incongruenze nel sistema che possono indicare attività di rootkit, ma possono altrettanto essere dovute ad operazioni che avvengono durante la scansione, dovute al lecito funzionamento di qualche applicazione, o del sistema operativo stesso. Ovviamente da scansione a scansione le operazioni rilevate possono variare, e per questo ottieni risultati sempre diversi.

Per quanto riguarda le connessioni che ricevi: quelle sulle porte 4662 e 4672 sono dovute ad emule: ti ritrovi un ip che prima di te qualcuno stava utilizzando con emule e i clienti cercano di ricontattarlo. Quelle sulla 1026 sono dovute probabilmente a messenger spam, quei messaggi pubblicitari che ti ritrovi automaticamente sul desktop in una finestra con il solo pulsante ok per chiuderla. In generale non mi sembra ci sia niente di particolarmente sospetto.

Il file legato a sysinternals è il servizio di cui fa uso rootkitrevealer per funzionare: di norma deve essere presente solo mentre il programma è in esecuzione, se rimane anche dopo sarà rimasto per errore.

Il rootkit all'inizio lo avevi veramente, ma il programma della prevx per Gromozon dovrebbe averlo eliminato.

Spero di averti chiarito un pò di dubbi.. ciao!!

[schumy2006]

Grazie 1000 bReAkDoWn !!!
Mi hai davvero chiarito molti dubbi e sono molto + tranquillo...

Volevo solo dire che sulla porta 1026 ricevo gli attacchi con messenger disattivato e senza alcun web browser aperto....

Per le porte 4662 e 4672 e' chiarissimo, ma per gli attacchi ricevuti da circa 40 IP differenti sulla stessa porta 27673 UDP e TCP ? Come e' possibile che tutti questi 40 e passa indirizzi IP puntassero sulla mia porta UDP 27673 e TCP 27673 ? Potrebbe essere anche che qualcuno abbia utilizzato il mio IP con emule con la porta UDP e/o TCP 27673 anziche' la classica 4662 ?

E' possibile che ci sia qualche processo che comunica il mio IP ed eventualmente una determinata porta da attaccare ?

Ciao e grazie ancora !!

[groot]

Quote:

Originariamente inviato da schumy2006

Grazie 1000 bReAkDoWn !!!
Mi hai davvero chiarito molti dubbi e sono molto + tranquillo...

Volevo solo dire che sulla porta 1026 ricevo gli attacchi con messenger disattivato e senza alcun web browser aperto....

Per le porte 4662 e 4672 e' chiarissimo, ma per gli attacchi ricevuti da circa 40 IP differenti sulla stessa porta 27673 UDP e TCP ? Come e' possibile che tutti questi 40 e passa indirizzi IP puntassero sulla mia porta UDP 27673 e TCP 27673 ? Potrebbe essere anche che qualcuno abbia utilizzato il mio IP con emule con la porta UDP e/o TCP 27673 anziche' la classica 4662 ?

E' possibile che ci sia qualche processo che comunica il mio IP ed eventualmente una determinata porta da attaccare ?

Ciao e grazie ancora !!

emule può fare richieste su più porte, in ogni caso.