Probabile variante di Gromozom o link optimizer oppure qualcosa di peggio !!!

[Vagrant75]

Dunque, qualke tempo fà un mio amico relativamente esperto mi disse che causa alcuni dialer gli erano arrivate delle bollette salatissime.
Allora io cercai di mettergli a posto il pc, ma scoprii subito la presenza del gromozom o link optimizer, dunque tramite il tool presente sul forum lo rimossi e poi tra spybot, antivir, a-squared riuscii a ripulire il tutto o almeno così pensavo ...

Adesso dopo un pò di mesi il mio amico ha fatto la prodezza di installare i vari free di avg e bel bello sono ricominciati i problemi .... naturalmente i vari scan non trovano una ceppa, ma su installazioni applicazioni risultano esserci connection knight e connection service che ti rimandano a www.notetol.com che se aperto linka a una pagina colorata con in mezzo disinstalla.
Allora ho provato a far partire sia avenger,gmer che hijackthis , ma vengono tutti bloccati all'apertura .... pure in provvisoria.
Su services.msc è presente tale processo SEIJZU.exe e il processo smartlinkservice che non riportano nessuna dicitura.

Qualche consiglio??
No scanonline, grazie

P.s. Il pc è una carretta ....

[Draven94]

Prova a far girare qualche antirootkit, ad esempio Panda antirootkit che non richiede neanche l'installazione: se c'è il Gromozon dovrebbe riconoscerlo...

[Vagrant75]

Quote:

Originariamente inviato da Draven94

Prova a far girare qualche antirootkit, ad esempio Panda antirootkit che non richiede neanche l'installazione: se c'è il Gromozon dovrebbe riconoscerlo...

Fatto, ma non mi rileva niente .. altri consigli

[Draven94]

Allora prova a fare così:
-scarica VirIT da qui
-disabilita il ripristino di sistema
-vai in modalità provvisoria e fai una bella scansione...

[juninho85]

scarica gmer,prova a rinominarlo ed eseguirlo,vedi se funziona.
dai sintomi potrebbe essere beagle no?!

[wizard1993]

è se è per quello potrebbe essere anche rustock; comunque log hijackthis e scansione con gmer

[Mazda RX8]

Quote:

Originariamente inviato da wizard1993

è se è per quello potrebbe essere anche rustock; comunque log hijackthis e scansione con gmer

ma se ha detto ke nn gli partono??

---

vai su file comuni, dopo system e cancella tutti i file in verde... poi ce ne sarà uno ke nn si cancella, togli la crittografia e fai esegui --->msconfig, servizi evedi se ke un processo con nome strano, disabilitalo...

(se nn c puoi andare da qua vacci dal pannello di controllo, strumenti di amministrazione, servizi e da li troverai sicuramente sto servizo strano)

una volta ke lo disabiliti,vai in provvisoria e cancelli quel file ke nn si cancellava con Pocket Killbox...

[wizard1993]

ora io dico, è da una vista che i virus i più scemi compresi disabilitano l'msconfig, e ti mi vieni a dire che uno dovrebbe usare quello?

[Mazda RX8]

Quote:

Originariamente inviato da wizard1993

ora io dico, è da una vista che i virus i più scemi compresi disabilitano l'msconfig, e ti mi vieni a dire che uno dovrebbe usare quello?

si, infatti gli ho dato l'altra alternativa...

[Sisupoika]

Quote:

Originariamente inviato da Vagrant75

Dunque, qualke tempo fà un mio amico relativamente esperto mi disse che causa alcuni dialer gli erano arrivate delle bollette salatissime.
Allora io cercai di mettergli a posto il pc, ma scoprii subito la presenza del gromozom o link optimizer, dunque tramite il tool presente sul forum lo rimossi e poi tra spybot, antivir, a-squared riuscii a ripulire il tutto o almeno così pensavo ...

Adesso dopo un pò di mesi il mio amico ha fatto la prodezza di installare i vari free di avg e bel bello sono ricominciati i problemi .... naturalmente i vari scan non trovano una ceppa, ma su installazioni applicazioni risultano esserci connection knight e connection service che ti rimandano a www.nototel.com che se aperto linka a una pagina colorata con in mezzo disinstalla.
Allora ho provato a far partire sia avenger,gmer che hijackthis , ma vengono tutti bloccati all'apertura .... pure in provvisoria.
Su services.msc è presente tale processo SEIJZU.exe e il processo smartlinkservice che non riportano nessuna dicitura.

Qualche consiglio??
No scanonline, grazie

P.s. Il pc è una carretta ....

Knight sembrerebbe un ISP T1 americano.
nototel.com sembra un dominio in parking, non vedo la pagina con in mezzo disinstalla di cui parli. Compare una pagina con dell'ajax che sembra effettuare una richiesta XmlHTTP ad una pagina random sullo stesso sito. Ho visto ci sono una marea di pagine (basta googlare GetIPPI) con l'html "rovinato" da queste funzioni - controllate voi stessi, come se questo codice javascript fosse stato "iniettato" nelle pagine - spesso in posizioni improprie nel codice, forse con un tool automatico che modifica le pagine aggiungendovi quella roba dopo aver avuto accesso ai files del sito (ne ho trovato un paio praticamente "aperti", anche con ftp )

Il codice aggiunto a quelle pagine e'

Codice:

function GetIPPI(g) {
    var xmlHttp = createXMLHttpRequest();
    if (xmlHttp != null) {
        xmlHttp.open('GET', '/'+g+'.ippi?g='+g, true);
        xmlHttp.send(null);
    }
}

function createXMLHttpRequest() {
  try { return new ActiveXObject('Msxml2.XMLHTTP'); } catch(e) {}
  try { return new ActiveXObject('Microsoft.XMLHTTP'); } catch(e) {}
  try { return new XMLHttpRequest(); } catch(e) {}
  return null;
}

GetIPPI('a4e1909f-8081-4e67-987d-9b2d3fc45ba5');

dove la parte in grassetto e' casuale. Credo nei siti sia stato aggiunto un url rewriter che dunque traduce questo indirizzo casuale in una pagina che non e' possibile sapere facilmente. Che cosa faccia quella pagina non ne ho idea ad ora. Se si tratta di un tentativo di usare qualche exploit, e' interessante e allo stesso tempo preoccupante che usi una richiesta Ajax, dopo che ormai il trucchetto degli iframe e' ben noto.
Una idea su cosa ad esempio potrebbe fare una pagina ricavata con Ajax e' catturare la clipboard dell'utente, quindi una sorta di spyware (nella clipboard si potrebbe trovare di tutto, carte di credito, passwords, ecc.).
Quindi quella pagina controllerebbe prima se il browser ha il blocco della clipboard, se no potrebbe inviare il contenuto (testo) della clipboard da qualche parte. Ma e' solo una idea, non e' facile capire cosa quella pagina potrebbe fare. Cmq mi puzza, e parecchio

[lancetta]

nelle vecchie varianti (non sò ora) quando venivi rimandato da installazione applicazioni alla pagina web col pc infettato ti scaricava un rootkit..quindi NON CLICCARE su disinstalla tutt'al più o usi my uninstaller o ccleaner(strumenti->disinstallazione programmi) o ancora da hijackthis (open uninstall manager)



Saluti

[Vagrant75]

Ciao ragazi, grazie delle info ... cmq il problema permane ... anche rinominando i vari gmer,hijackthis,avenger me li pianta come partono, la cosa strana è che antivir me lo fà tranquillamente installare e con quello ho trovato toshibahelper (il notebook naturalmente non è un toshiba) e dopo estenuanti tentativi dovrei essere riuscito a toglierlo.

Per quanto riguarda quei due connnection con qualsiasi uninstaller non me li trova, appaiono solo su installazione applicazioni e se gli dò rimuovi mi mandano a quella famosa pagina da cui naturalmente non clikko niente.
Ho provato pure vari antispyware tra cui Superantispyware,spywareterminator e counterspy, ma nessuno mi trova niente
Altra cosa strana ogni volta all'avvio li si apre la pagina dei documenti, ma non c'è nessun processo che giustifichi questa cosa

A, chiedo venia il link l'ho sbagliato, è www.notetol.com ... ora però mi dà pagina inesistente ... cercando in rete ho trovato molte persone che hanno avuto questo problema, ma con i vari tool non risolvo niente

Verifica

[Mazda RX8]

Quote:

Originariamente inviato da Mazda RX8

ma se ha detto ke nn gli partono??

---

vai su file comuni, dopo system e cancella tutti i file in verde... poi ce ne sarà uno ke nn si cancella, togli la crittografia e fai esegui --->msconfig, servizi evedi se ke un processo con nome strano, disabilitalo...

(se nn c puoi andare da qua vacci dal pannello di controllo, strumenti di amministrazione, servizi e da li troverai sicuramente sto servizo strano)

una volta ke lo disabiliti,vai in provvisoria e cancelli quel file ke nn si cancellava con Pocket Killbox...

hai fatto ciò??

[Vagrant75]

Quote:

Originariamente inviato da Mazda RX8

hai fatto ciò??

Sì, ma non c'è nessun processo strano

I file verdi si sono cancellati tutti e nessuno non si è cancellato

[Mazda RX8]

Quote:

Originariamente inviato da Vagrant75

Sì, ma non c'è nessun processo strano

I file verdi si sono cancellati tutti e nessuno non si è cancellato

in servizi nn c'è un processo strano tipo Sykyzs??

[Vagrant75]

Quote:

Originariamente inviato da Mazda RX8

in servizi nn c'è un processo strano tipo Sykyzs??

Intendi su services.msc ??

C'è quello che ho scritto sopra: SEIJZU.exe che ho disabilitato direttamente da lì, ma dove mi hai detto tu non lo trovo .... oppure sbaglio qualcosa??

P.s. altra cosa strana io nel pc mi muovo liberamente, msconfig funziona tranquillamente

[Mazda RX8]

Quote:

Originariamente inviato da Vagrant75

Intendi su services.msc ??

C'è quello che ho scritto sopra: SEIJZU.exe che ho disabilitato direttamente da lì, ma dove mi hai detto tu non lo trovo .... oppure sbaglio qualcosa??

P.s. altra cosa strana io nel pc mi muovo liberamente, msconfig funziona tranquillamente

mi fai uno screen dei sevizi??

[Sisupoika]

Quote:

Originariamente inviato da Vagrant75

A, chiedo venia il link l'ho sbagliato, è www.notetol.com ... ora però mi dà pagina inesistente ... cercando in rete ho trovato molte persone che hanno avuto questo problema, ma con i vari tool non risolvo niente

Verifica

LOL!
Senza saperlo ne hai trovato un altro sospetto

[Vagrant75]

Quote:

Originariamente inviato da Mazda RX8

mi fai uno screen dei sevizi??

Purtroppo non posso perchè oggi il collega non ha portato il portatile a lavoro e io da oggi vado in ferie fino al 20
Quelle procedure le avevo fatte ieri, ma non avevo postato sul forum.
Ah, anche con virit non mi trova niente

[Vagrant75]

Quote:

Originariamente inviato da Sisupoika

LOL!
Senza saperlo ne hai trovato un altro sospetto

Quanto sò avanti