win32/small.kl

[Gunny Highway]

nn riesco a eliminare questo rompi ,ho provato con Hijack ma nn lo vede a-squared idem ewido idem ,che posso fare?

[wizard1993]

prova a seguire la procedura per togliere gromozon, magari è una sua variante, poi posta il log di hijackthis, anche se probabilmente non ti si aprirà o se ti si aprirà troverò una voce che non mi piace

[Gunny Highway]

Quote:

Originariamente inviato da wizard1993

prova a seguire la procedura per togliere gromozon, magari è una sua variante, poi posta il log di hijackthis, anche se probabilmente non ti si aprirà o se ti si aprirà troverò una voce che non mi piace

ma hijackthis nn mi ha trovato nulla

[wizard1993]

Quote:

Originariamente inviato da Gunny Highway

ma hijackthis nn mi ha trovato nulla

nemmeno un lantop.exe per caso?

[Gunny Highway]

Logfile of HijackThis v1.99.1
Scan saved at 14.33.54, on 30/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\lantop.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ASUS\NB Probe\NBProbe.exe
C:\Programmi\Wireless Console 2\wcourier.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programmi\RMClock\RMClock.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\toshibautility.exe","c:\windows\lantop.exe",
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NB Probe] "C:\Programmi\ASUS\NB Probe\NBProbe.exe"
O4 - HKLM\..\Run: [Wireless Console 2] "C:\Programmi\Wireless Console 2\wcourier.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programmi\Agnitum\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [PCSuiteTrayApplication] "C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe" -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: RightMark CPU Clock Utility.lnk = C:\Programmi\RMClock\RMClock.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Outpost Firewall Pro Regolazione rapida - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: \\?\c:\windows\system32\aux.efs,MsgPlusLoader.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe

[wizard1993]

perfavore prova a vedere se hai C:\WINDOWS\LanTop.exe,

[Gunny Highway]

si esiste ,credo che sia qualche software del portatile però bho

[wizard1993]

Quote:

Originariamente inviato da Gunny Highway

si esiste ,credo che sia qualche software del portatile però bho

fai una scan approfindita con il tuo antivirus in modalità provvisoria

[Gunny Highway]

con nod32? è lui che mi rileva il virus

[wizard1993]

Quote:

Originariamente inviato da Gunny Highway

con nod32? è lui che mi rileva il virus

appunto

[Gunny Highway]

nn mi da nessuno virus , mi dice che nn riesce ad aprire il file , il file bloccato , ma lo dice anche per altri

[wizard1993]

Quote:

Originariamente inviato da Gunny Highway

nn mi da nessuno virus , mi dice che nn riesce ad aprire il file , il file bloccato , ma lo dice anche per altri

quali file ti dice che sono bloccati

[Gunny Highway]

[lucas84]

Andiamo per gradi
scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
c:\windows\lantop.exe
c:\windows\toshibautility.exe
c:\windows\system32\aux.efs

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente.

Al riavvio, apri il registro di sistema e portati fino alla chiave segnata in rosso
HKLM\
Software\
Microsoft\
Windows NT\
CurrentVersion\
Winlogon
Clicca sulla cartellina Winlogon, nel pannello di destra vedrai il valore Userinit
Selezionalo, clicca con il destro e seleziona modifica, assicurati che il valore sia: c:\windows\system32\userinit.exe, virgola compresa, se è diverso, modificalo in quel modo.

Scarica questi 2 removal tool sul desktop

1°
http://www.prevx.com/gromozon.asp (Clicca sul bottone verde "Download gromozon removal tool")

2°
http://securityresponse.symantec.com...FixLinkopt.exe


Esegui il primo tool, ti chiederà di riavviare, tu riavvia, una volta riavviato il pc partirà la scansione, attendi la fine della scansione e riavvia il pc in modalità provvisoria.
(Per avviare in modalità provvisoria, premi + volte il tasto F8 quando vedi le prime scritte bianche del riavvio, attendi e vedrai un menù, da questo menù, scegli l'opzione "Avvia in modalità provvisoria, una finestra apparirà clicca su Si, adesso, entrerai in windows con il tuo account, quando entri in windows, la grafica è diversa, non ti preoccupare è normale)
una volta dentro esegui il secondo removal tool,attendi la fine della scansione e riavvia il pc normalmente

Gentilmente postami questi 2 logs:
1-C:\gromozon_removal.txt
2-FixLinkopt.log <---- questo log lo trovi nella directory dove hai eseguito il tool FixLinkopt.exe, se l'hai eseguito dal desktop lo troverai li.

Ciao

PS:Fatto tutto riesegui una reinstallazione(senza sponsor)del messanger plus

[Gunny Highway]

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.


Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group

Trojan.Linkoptimizer has not been found on your computer




ok???

[lucas84]

HKEY_LOCAL_MACHINE


Ciao

[Gunny Highway]

Quote:

Originariamente inviato da Gunny Highway

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.


Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group

Trojan.Linkoptimizer has not been found on your computer




ok???

si scusa avevo sbagliato ,questi sono i log che mi hai chiesto

[lucas84]

Quote:

Originariamente inviato da Gunny Highway

si scusa avevo sbagliato ,questi sono i log che mi hai chiesto

ok
Scarica SystemScan
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile il file report.txt.
Vai su www.easy-share.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo.

Grazie

Ciao

[Gunny Highway]

Quote:

Originariamente inviato da lucas84

ok
Scarica SystemScan
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile il file report.txt.
Vai su www.easy-share.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo.

Grazie

Ciao

download

[lucas84]

Ciao, usa avenger con le stesse modalità di prima, ma utilizza lo script che ti metto sotto

Folders to delete:
C:\documents and settings\DnvqtIu
C:\documents and settings\zWEvKK

Files to delete:
c:\windows\lantop.exe
c:\windows\ibmhlp.exe

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | lantop
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run |ibmhlp


Fai riavviare il pc, al riavvio dimmi se hai ancora problemi, inoltre ti consiglio di dare una pulita ai files temporanei con software quali ccleaner, ciao