Finalmente, dopo giorni di duro lavoro, l'abbiamo finito :)

TOOL RIMOZIONE ROOTKIT LINKOPTIMIZER/GROMOZON (http://www.prevx.com/gromozon.asp)
PRESS RELEASE (http://www.marketwire.com/mw/release_html_b1?release_id=159395)

Comunicate qui eventuali problemi o se tutto è andato alla perfezione ;)

Pensavo fosse qualcosa di + tecnologico :) :D

Pensavo fosse qualcosa di + tecnologico :) :D

Il caffe ancora non lo fa in effetti :D

cavolo che falso positivo Disabling rootkit file: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

Ottimo ragazzi mi ha eliminato " Trojan.Win32.RootKit.G " perfetto, finalmente computer pulito!!! grazie!!!

Armada.exe loaded into memory
Gromozon rootkit not found - scanning for other components...Unexpected Error (0x03) - Skipping rootkit file deletion

cavolo che falso positivo Disabling rootkit file: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

ma mica ho capito ancora se sei contento che gromozon venga eliminato o vuoi che rimanga ;) :D Non è che ti ricordo qualcuno di sgradito? :D

Scherzo :D Strano, provvederemo a sistemarlo immediatamente ;) Certo è che Kaspersky non è stata particolarmente sveglia a mettere il file lì in quella chiave ;)

Sei tu che hai chiesto di testarlo,io quello sto facendo,mi lascierai molte ore libere,quindi non posso essere che contento :D

Infatti non ho detto niente su ciò che comunichi, ma sul come lo comunichi ;) :D

Cmq grazie mille per le segnalazioni :)

Vabbe ti sto scrivendo velocemente,ecco perchè,sto disinstallando kaspersky,esegui qualche files,riavvio e faccio partite il tool,ciao

Ragazzi e normale che dopo aver fatto la procedura indicata nod32 mi stia trovando dei virus che cancella o mette in quarantena?
grazie
ciao

Può darsi dato che il tool modifica i permessi di alcuni files :D ,quindi se prima non poteva accedere adesso può,ciao

Ragazzi e normale che dopo aver fatto la procedura indicata nod32 mi stia trovando dei virus che cancella o mette in quarantena?
grazie
ciao

si possibile

Eliminato il rootkit ci possono essere alcune varianti che nod32 individua con l'euristica

Siete dei grandi!!!

:sofico:

Tra poco ti faccio sapere come è andata,sempre che ti interessi :D

Tra poco ti faccio sapere come è andata,sempre che ti interessi :D

certo che mi interessa :D basta che sia costruttivo e non distruttivo :D

Esco un pò, torno tra una mezz'oretta...devo rilassarmi un attimino :D

ti dico che si tratta propio di quello della symantec, infatti crea la cartella Linkoptimizer in programmi con dentro la dll,fino ad adesso non ha individuato il rootkit deve ancora finire

se non lo trova mandami il sample al solito indirizzo email

ora esco veramente :D a tra poco

Pare che non lo trova,alcune info date da gmer
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
uvll1.exe =Percorso
qgau1.exe =Percorso
rsky2.exe =Percorso

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
{DA39029C-D291-A968-3FF4-D0990D5CB5FC}C:\Programmi\LinkOptimizer\LinkOptimizer.dll = C:\Programmi\LinkOptimizer\LinkOptimizer.dll

Armada.exe loaded into memory
Gromozon rootkit not found - scanning for other components...Unexpected Error (0x03) - Skipping rootkit file deletion
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon Removed!



Ciao :)

e io ho formattato 2 giorni fa x colpa di sto virus..... :doh:





:stordita:

Armada.exe loaded into memory
Gromozon rootkit not found - scanning for other components...Unexpected Error (0x03) - Skipping rootkit file deletion
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon Removed!



Ciao :)

come ti dissi, mandami il sample che facciamo prima ;) :)

Stanotte te lo mando,adesso dovrei uscire,è interessante la dll :stordita:
:)

siiiiiii! grandi ha funzionato!
Appena avviato mi dice che il rootkit non è presente sul PC, e poi mi dice di riavviare.
In effetti erò già riuscito ad eliminare (non so come) il programma avviato dal servizio randomizzato, e gli altri prog in file comuni/system.
Mancava solo il livello kernel e ....ehm ero rassegnato alla formattazione...

Grazie ancora so che non sto segnalando niente ma grazie.

RAGAZZI AIUTATEMI NOD32 CONTINUA A DARMI COME VIRUS QUESTO FILE

c:\_cleaned.tmp ogni volta che vado su c si attiva come faccio????

AIUTATEMI

GRAZIE

QUESTO IL RISULTATO DI ARMADA
Armada.exe loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\system32\com2.mnm
\\?\C:\WINDOWS\system32\com2.mnm
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
C:\_cleaned.tmp
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Removing protected file: \\?\C:\Programmi\File comuni\Services\pNdo.exe
Removing directory: C:\Documents and Settings\\ggMd


Trojan.Gromozon Removed!

Cosa ti dice Nod32 precisamente? su quale file?

puoi venire su msn? parliamo meglio
mi dice questo:
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
01/09/2006 21.10.15 AMON file C:\_cleaned.tmp Win32/Agent.NDD cavallo di troia XXXX-6A43BB867C\Administrator Evento occorso durante il tentativo di accesso al file da parte di un'applicazione: C:\WINDOWS\Explorer.EXE.

Launching Scan
Removing rootkit file...
Scanning Windows Directory, this may take a few minutes...
>>>>>>>C:\WINDOWS\fppxh1.dll is infected with Malcode 2

cosa significa?

cosa significa?

che hai l'adware LinkOptimizer ;)

scusa non sono pratica...è buono? é__è

no, ma l'hai rimosso ora :D

:p meno male...non ero sicura di averlo rimosso da sola...grazie ^__^
ehm...un'ultima cosa...è normale che mi resta la finestrella del removal tool?

in che senso?

la finestra di prevx aperta sul desktop...non riesco a chiuderla

ma ha finito la scansione?

^^' non lo so...ma se mi dici così...probabile che non l'abbia finita...comunque non mi da più nulla...allora aspetto... :stordita:

Ti ha scritto Trojan.Gromozon removed o sta ancora qua

Launching Scan
Removing rootkit file...
Scanning Windows Directory, this may take a few minutes...
>>>>>>>C:\WINDOWS\fppxh1.dll is infected with Malcode 2

?

sta ancora là :D
guarda se sono l'unica sfigata che non riesce a togliere questo malware o come si chiama :muro:

:eek:

Ma l'hard disk sta lavorando? cioè vedi che la luce dell'hard disk lavora?

si si :fagiano: questo mi rincuora...o no :confused:
troppo lento?

non c'hai un hard disk, c'hai un Boeing 747 :D

in effetti è lentino il computer...me lo dicono...non so perchè :D
non è che si è bloccato però? :cry: comincio a preoccuparmi...
si vede da task manager se lavora l' hd?

non senti se sta lavorando? vedi la luce dell'hard disk?

sembrava bloccato...la lucetta gialla che mi indicava che stava lavorando si era fermata...così ho cliccato di nuovo sul rootkit removal tool...mi ha ripreso a scansionare ma non da più quel file su window...ora però l'hd vedo bene che lavora......boh

Armada.exe loaded into memory
Gromozon rootkit not found - scanning for other components...Unexpected Error (0x03) - Skipping rootkit file deletion

Scusa l'ho visto ora questo :D:D:D

Significa che il rootkit non è presente :)

Grazie x il vostro contributo !!
Io ho eliminato i files verdi crittografati su \\FileComuni\\System
con il tool della ESET poi su consiglio di Breakdown ho inserito questo script su "Avenger"

Files to delete:
F:\WINDOWS\gevui1.dll
F:\WINDOWS\system32\cmpbtb2.dll

registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Il risultato è che ho ancora una cartella di account "random" e il linkoptimizer in installazione applicazioni che se vado ad eliminarla mi porta su una pagina web vuota con un pulsante con scritto uninstall


Ecco il log di avenger:



//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 1813


Error: could not initiate system shutdown.
Error code: 1813


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lptbrwpe

*******************

Script file located at: \??\F:\WINDOWS\System32\vaufgtdk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:

File F:\WINDOWS\gevui1.dll deleted successfully.
File F:\WINDOWS\system32\cmpbtb2.dll deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xklxrwdn

*******************

Script file located at: \??\F:\Documents and Settings\mloeweky.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:



File F:\WINDOWS\gevui1.dll not found!
Deletion of file F:\WINDOWS\gevui1.dll failed!

Could not process line:
F:\WINDOWS\gevui1.dll
Status: 0xc0000034



File F:\WINDOWS\system32\cmpbtb2.dll not found!
Deletion of file F:\WINDOWS\system32\cmpbtb2.dll failed!

Could not process line:
F:\WINDOWS\system32\cmpbtb2.dll
Status: 0xc0000034

Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

non per fare il cavernicolo che arriva per ultimo :old:, ma il tool rimuove il rootkit, e rende possibile l'eliminazione dei vari file sparsi tra servizi, BHO, etc..? o qualcos'altro?

grazieee :stordita:

Finalmente, dopo giorni di duro lavoro, l'abbiamo finito :)

TOOL RIMOZIONE ROOTKIT LINKOPTIMIZER/GROMOZON (http://www.prevx.com/gromozon.asp)
PRESS RELEASE (http://www.marketwire.com/mw/release_html_b1?release_id=159395)

Comunicate qui eventuali problemi o se tutto è andato alla perfezione ;)

Ciao eraser,

voglio ringraziarti anche qua per l'operato. ;)

non per fare il cavernicolo che arriva per ultimo :old:, ma il tool rimuove il rootkit, e rende possibile l'eliminazione dei vari file sparsi tra servizi, BHO, etc..? o qualcos'altro?

grazieee :stordita:

Il tool elimina rootkit, bho, clsid e file EFS del servizio lanciato

Il tool elimina rootkit, bho, clsid e file EFS del servizio lanciato

Marco, ti segnalo un piccolo problema, che potresti trasmettere allo sviluppatore

Eseguito il remover su un computer pulito, con FAT32 (quindi niente EFS)
Alla fine della scansione, tra le altre cose, il remover segnala

"Scanning EFS services...
Trojan.Gromozon removed!"

Magari, per la prossima release, sarebbe opportuno evitare di segnalare operazioni che in realta' non sono pertinenti o non avvengono. Vedi tu :)

ciao,
Paolo.

segnalo che a me la voce "connection services" è ancora presente in installazioni/applicazioni.

Che faccio la rimuovo manualmente?

Ho fatto girare il programma e mi ha rimosso Grozmon, cmq ragazzi ci sono file con i nomi a casaccio criptati in C:\Programmi\File Comuni\Microsoft Shared (me ne sono accorto da NOD32 che nn riesce a fare la scansione)... Idem c'è una directory sospetta dentro "Documents and Settings", si chiama NetworkSystem o qualcosa del genere.

Marco, ti segnalo un piccolo problema, che potresti trasmettere allo sviluppatore

Eseguito il remover su un computer pulito, con FAT32 (quindi niente EFS)
Alla fine della scansione, tra le altre cose, il remover segnala

"Scanning EFS services...
Trojan.Gromozon removed!"

Magari, per la prossima release, sarebbe opportuno evitare di segnalare operazioni che in realta' non sono pertinenti o non avvengono. Vedi tu :)

ciao,
Paolo.

Vedi Paolo,

Abbiamo ritenuto importante ora rilasciare un tool che rimuovesse senza problemi il rootkit, anche "tralasciando" alcuni particolari che in realtà ci sono, tra cui quello che mi hai detto tu :)

Stiamo lavorando alla versione successiva con alcune migliorie (i sorgenti li ho anche io ma le modifiche vanno segnalate alla persona addetta alla compilazione :))

Ciao

Marco

Ho fatto girare il programma e mi ha rimosso Grozmon, cmq ragazzi ci sono file con i nomi a casaccio criptati in C:\Programmi\File Comuni\Microsoft Shared (me ne sono accorto da NOD32 che nn riesce a fare la scansione)... Idem c'è una directory sospetta dentro "Documents and Settings", si chiama NetworkSystem o qualcosa del genere.

Sì, alcuni files EFS rimangono, sebbene inattivi. Prossima versione avrà anche questa miglioria :)

Ho fatto girare il programma e mi ha rimosso Grozmon, cmq ragazzi ci sono file con i nomi a casaccio criptati in C:\Programmi\File Comuni\Microsoft Shared (me ne sono accorto da NOD32 che nn riesce a fare la scansione)... Idem c'è una directory sospetta dentro "Documents and Settings", si chiama NetworkSystem o qualcosa del genere.

leggi risposta qui sopra :)

Sì, alcuni files EFS rimangono, sebbene inattivi. Prossima versione avrà anche questa miglioria :)

Perfetto, nel frattempo grazie per questo tool :cool: ;)

Vedi Paolo,

Abbiamo ritenuto importante ora rilasciare un tool che rimuovesse senza problemi il rootkit, anche "tralasciando" alcuni particolari che in realtà ci sono, tra cui quello che mi hai detto tu :)

Stiamo lavorando alla versione successiva con alcune migliorie (i sorgenti li ho anche io ma le modifiche vanno segnalate alla persona addetta alla compilazione :))


Per completezza e per evitare fraintendimenti: non era una critica :) Solo un suggerimento costruttivo per "la persona addetta alla compilazione", che presumo sia l'autore del programma.

Sto gia' suggerendo l'uso di questo programma a chi ha problemi con Gromozon... solo che mi piacerebbe ottenere un report un po' piu' chiaro, utile per stabilire se si sono verificati dei problemi. Se c'e' tempo e voglia di farlo, suggerirei anche di creare un file di rapporto, che elenchi le azioni intraprese.

ciao,
Paolo.

Non proprio, chi compila non è l'autore del programma. Come ti dicevo, siamo in quattro ad avere i sorgenti ;) Non c'è un unico autore. Il lavoro di gruppo fornisce molto piu rispetto al lavoro singolo :)

No no ma il tuo suggerimento è corretto, so che non era una critica :)

Discuteremo tutto al piu presto!

Ciao

Marco

Non proprio, chi compila non è l'autore del programma. Come ti dicevo, siamo in quattro ad avere i sorgenti ;) Non c'è un unico autore.


Ah... OK :) Intendi dire che il programma è stato sviluppato da quattro persone diverse?


No no ma il tuo suggerimento è corretto, so che non era una critica :)

Discuteremo tutto al piu presto!


Ho preferito essere chiaro :) La comunicazione via Internet ha spesso il noto difetto e limite di non trasmettere il reale atteggiamento delle persone.
Il mio, tanto per ribadirlo, è - ovviamente - di collaborazione e apprezzamento per il lavoro svolto da te e dagli altri del team di Prevx.

ciao,
Paolo.

La comunicazione via Internet ha spesso il noto difetto e limite di non trasmettere il reale atteggiamento delle persone.


mamma se è vero :muro: Certe volte con alcune persone ci si litiga perché "sembrava così ma invece"...il limite delle chat :)

grande marco,era ora :D

Il merito è dell'intero team di ricerca Prevx :)

I miei complimenti a tutto il team per questo tool eccezionale!!!!!!!!!!!!!!!!!!!!!

:sbavvv: :cincin: :D

segnalo che a me la voce "connection services" è ancora presente in installazioni/applicazioni.

Che faccio la rimuovo manualmente?
idem anche x me

ciao


scusate non so se parlate anche del mio problema

io hol preso un trojan che si chiama link optimizer il norton mi ha detto nessuna azione intrapresa cosa vuol dire?

adesso mi dice che non ho piu' nulla nel pc

potete dirmi sempre che parliamo della stessa cosa

1 che problemi da questo trojan
2 se il norton mi dice che non ho nulla vuol dire che me l'ha debellato?

3 come faccio a sapere se c'e' ancora

4 ma il norton se trova un virus poi se non lo elimina te l'ho dovrebbe notificare no?

4 vi devo fare una domanda stupida ma devo, un virus o un trojan puo' creare problemi a exe file musicali video se capita per dire in c e in c ho della musica, i file musicali possono corrompersi?

ciao e scusate ancora

Abbiamo aggiornato il tool con alcuni fix :)

Ma se uno volesse fare una bella discussione tecnica sull'argomento, su come agisce questo malware, su cosa effettivamente fa il remover, sulle evoluzioni del malware stesso, ecc. dove potrebbe rivolgersi? In questi gg mi ci sono un pò divertito :p , ora vorrei confrontare e condividere un pò il lavoro svolto..

saluti!

Ma se uno volesse fare una bella discussione tecnica sull'argomento, su come agisce questo malware, su cosa effettivamente fa il remover, sulle evoluzioni del malware stesso, ecc. dove potrebbe rivolgersi? In questi gg mi ci sono un pò divertito :p , ora vorrei confrontare e condividere un pò il lavoro svolto..

saluti!

http://www.pcalsicuro.com/gromozon.pdf

http://www.pcalsicuro.com/gromozon.pdf

Quello me lo sono letto subito, e già che siamo in tema, ti faccio i complimenti per il lavoro di ricerca svolto. Anzi, proprio adesso l'ho riscaricato e ho visto gli aggiornamenti che hai inserito alla fine, in particolare quello sulla "red pill". Ecco: quelli sono gli aspetti tecnici di cui mi piacerebbe discutere, cose di quel tipo.. Ad esempio posso aggiungere che la versione che ho per le mani sfrutta un vecchio trucco anti softice, che controlla la presenza di filemon e regmon, che utilizza un sacco di file stile scatole cinesi che ti fanno perdere un sacco di tempo e che si cancellano una volta eseguito il loro lavoro, che questi file utilizzano più di un metodo per compilare le loro IAT, code injection, e altri trucchi interessanti, anche se fino ad ora di rootkit nemmeno l'ombra..
E' su questo terreno che vorrei discutere un pò.. :)

ciao eraser, prima di tutto GRAZIE!! Non pensare che stia esagerando, ma tu e il tuo team spero accetterete i miei piu' sentiti ringraziamenti, non solo per aver sistemato il mio pc e quello di altri, ma anche e soprattutto per aver rilasciato un tool del genere cosi' in fretta e gratuitamente. Quindi, grazie per la generosita'.

Volevo segnalarti una cosa: dopo la scansione con il tool, nell'elenco degli utenti (click dx su risorse del computer -> gestione -> users) e' presente un utente con privilegi di admin dal nome strano ("dWawzqsWhy"). Io non conoscendolo l'ho disabilitato. Vorrei sapere se e' l'utente nascosto creato dal malware e, se si, segnalare il fatto che il vostro tool non lo ha rimosso.

Ancora mille grazie, ora vado a curiosare nel vostro sito che non conoscevo
M_/_N

Abbiamo aggiornato il tool con alcuni fix :)
L'ho provato,ma non rimuove alcune varianti,ciao :)

basta che fai sapere ;) Sapere solo che non rimuove alcune varianti senza sapere quali non è di grandissimo aiuto :) :D Comunque, se penso che siano quelle che conosco, c'abbiamo lavorato stanotte ed è in beta testing :)

Pensi bene :D ,ho letto che avete aggiornato il cleaner,pensavo per la rimozione delle altri varianti,ciao

Pensi bene :D ,ho letto che avete aggiornato il cleaner,pensavo per la rimozione delle altri varianti,ciao

si purtroppo subito dopo che abbiamo aggiornato il tool per alcuni fix ci è arrivata la segnalazione di alcune varianti che non rimuoviamo :) Abbiamo provveduto stanotte e tra qualche ora lo pubblichiamo

Aggiungete un motore euristico :stordita: :stordita: :eek:

Aggiungete un motore euristico :stordita: :stordita: :eek:

è gia presente un motore euristico, e funziona anche molto bene ;) i files mancati sono stati per un bug nell'architettura del programma. Comunque ti pregherei di mandarmi i sample ;)

e chi me li da? :D adesso abbiamo riaperto il forum :),ciao

pensavo li avessi :) ok come non detto

Ciao ;)

Tutto quello che avevo ti è stato spedito :) ,purtroppo, il fermo forzato del forum non è stato di aiuto,come ti ho detto,il forum è aperto aspettiamo solo gli utenti,solo in questo modo possiamo avere i files e mandarteli :)

Scusate la domanda "stupida" come si fa per sapere se si è infettati da Gromozon?

Riscusatemi, ho eseguito il Removal Tool LinkOptimizer Gromozon e mi ha detto che non ha trovato nulla e che il sistema è pulito. Grazie e scusate ancora.

Ciao a tutti!!!

Qualcuno sa come rimuovere il servizio che il virus crea? Ho provato ad eliminare la chiave dal registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecKvc
Ma mi dice errore durante l'eliminazione....

Ciao a tutti!!!

Qualcuno sa come rimuovere il servizio che il virus crea? Ho provato ad eliminare la chiave dal registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecKvc
Ma mi dice errore durante l'eliminazione....

Da prompt dei comandi esegui sc delete nomeservizio

Non proprio, chi compila non è l'autore del programma. Come ti dicevo, siamo in quattro ad avere i sorgenti ;) Non c'è un unico autore. Il lavoro di gruppo fornisce molto piu rispetto al lavoro singolo :)

No no ma il tuo suggerimento è corretto, so che non era una critica :)

Discuteremo tutto al piu presto!

Ciao

Marco

Ciao e grazie per l'ottimo tool.

Una domanda:

ma come avete fatto a togliere il rootkit dalla modalita' normale di windows (non provvisoria), quando nessun altro antivirus e antispyware vi riesce, neppure partendo da un cd-live di linux?

byezzz

Al tool si potrebbe aggiungere il backup dei files eliminati,magari zippati con una pass. che sapete solo voi,alla fine il tool prende questo archivio e ve lo invia,altrimenti lo fa l'utente,in questo modo,potete migliorare il tool avendo molti files a disposizione :)

SI MI HA ELIMINATO DELLA ROBA MA MI E' RIMASTO ANCORA UN FILE STRANO IN "C:\Programmi\File comuni\Microsoft Shared\VFSY.exe" SAPRESTE DIRMI COSA SIA? :(

SI MI HA ELIMINATO DELLA ROBA MA MI E' RIMASTO ANCORA UN FILE STRANO IN "C:\Programmi\File comuni\Microsoft Shared\VFSY.exe" SAPRESTE DIRMI COSA SIA? :(

E' un file eseguibile, probabilmente verde perchè criptato, utilizzato come servizio.. prova a cancellarlo a mano, se non si cancella, puoi controllare in services.msc se è presente il servizio corrispondente a quel file. Se c'è cancellalo da prompr dei comandi con sc delete nomeservizio. Una volta cancellato riavvia e a quel punto il file sarà cancellabile.

comunque questo tool toglie tutto il gusto... :D insomma, finalmente si lavorava con qualche programma diverso da hijackthis, più complesso..... :stordita:

:banned:

comunque questo tool toglie tutto il gusto... :D insomma, finalmente si lavorava con qualche programma diverso da hijackthis, più complesso..... :stordita:

:banned:
beh....è un tool dedicato :fagiano:

Ciao a tutti ho 2 problemi:

1) Ho usato il tool, mi ha rimosso i virus ma mi ha cancellato parte dei menu nella voce avvio tipo accessori ecc. che ho dovuto ripristanare a mano e parte di office che ho dovuto reinstallare e riattivare.

2) Mi è rimasto in c:un file sospetto _cleaned.tmp

Ho lanciato comunque gmer ma non ci sono file + sospetti nel dicsco.

Che devo fare secondo voi.

Grazie anticipatamente.
Pietro

Da prompt dei comandi esegui sc delete nomeservizio

Ciao a tutti
Questo è il mio primo post ma, a parte le presentazioni ci tenevo a
ringraziarvi.
Son due settimane che sto combattendo contro questo maledetto trojan
e manualmente credevo di aver ripulito tutto, persisteva solo un servizio
creato dal maledetto UpdDlf sotto un utente fittizio.
Ho fatto girare il tool e in realtà ha trovato ancora altro da ripulire.
La situazione ora è ...
Disabling rootkit file: C:\:zapotew.bmp
Resetting file permissions...
Clearing attributes...
Impossibile trovare il file - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon Removed!

Mi era rimasto ancora il servizio attivo a cui non avevo accesso, e non riuscivo a chiudere, ma con questa risposta spero di aver finalmente finito.

Una sola domanda, avendo dato l'sc delete, c'è la possibilità che il servizio al restart riappaia (e nel caso che fare per rendere la cancellazione definitiva) oppure sto bene così?

Ciao e grazie

Una sola domanda, avendo dato l'sc delete, c'è la possibilità che il servizio al restart riappaia (e nel caso che fare per rendere la cancellazione definitiva) oppure sto bene così?

Ciao e grazie

Una volta eliminato non si ricrea e non riparte a meno di non riprendere l'infezione ex novo da qualche sito.

ciao, avevo postato su windows e directx per comportamenti strani del pc. Si trattava del trojan link optimizer, su questa sezione ho trovato il tool di removal, l'ho lanciato ma mi dice che nn sono infetto.. però..

http://img236.imageshack.us/img236/1369/1gb7.jpg

che è sintomo di infezione..anche ewido mi dice che sono pulito..che fare?

avevo già eliminato gli utenti dai nomi impronunciabili da windows, mi rimangono i tre file nel pc. Ho fatto, come scritto pochi post sopra, di deletare i servizi tramite il comando "sc delete nomeservizio" ma i file incriminati ancora non si lasciano cancellare. Proverò in modalità provvisoria..

La mia cpu ringrazia, il processo smc.exe mi occupava in oscillazione dal 10 al 50%, l'explorer si mangiava a dismisura la memoria per non parlare degli svchost :muro: ....ottimo davvero!!!

ciao, avevo postato su windows e directx per comportamenti strani del pc. Si trattava del trojan link optimizer, su questa sezione ho trovato il tool di removal, l'ho lanciato ma mi dice che nn sono infetto.. però..

http://img236.imageshack.us/img236/1369/1gb7.jpg

che è sintomo di infezione..anche ewido mi dice che sono pulito..che fare?

avevo già eliminato gli utenti dai nomi impronunciabili da windows, mi rimangono i tre file nel pc. Ho fatto, come scritto pochi post sopra, di deletare i servizi tramite il comando "sc delete nomeservizio" ma i file incriminati ancora non si lasciano cancellare. Proverò in modalità provvisoria..

Se sono files di colore verde e la dll e l'exe del trojan io li ho rimossi manualmente con avenger

Quello me lo sono letto subito, e già che siamo in tema, ti faccio i complimenti per il lavoro di ricerca svolto. Anzi, proprio adesso l'ho riscaricato e ho visto gli aggiornamenti che hai inserito alla fine, in particolare quello sulla "red pill". Ecco: quelli sono gli aspetti tecnici di cui mi piacerebbe discutere, cose di quel tipo.. Ad esempio posso aggiungere che la versione che ho per le mani sfrutta un vecchio trucco anti softice, che controlla la presenza di filemon e regmon, che utilizza un sacco di file stile scatole cinesi che ti fanno perdere un sacco di tempo e che si cancellano una volta eseguito il loro lavoro, che questi file utilizzano più di un metodo per compilare le loro IAT, code injection, e altri trucchi interessanti, anche se fino ad ora di rootkit nemmeno l'ombra..
E' su questo terreno che vorrei discutere un pò.. :)
Scusate il ritardo con cui quoto, e scusate la scarsa dimestichezza con il forum. Consentitemi brevissimi saluti, ma sono molto stanco. Non dormo da settimane (sono scarso!) e questo lo invio non perchè sono gia alzato, ma perche non mi coricherò e sto andando a lavoro.

Sono alle prese appunto con l'impossibilità di lanciare regmon.
Avevo già usato il tool e cancellato l'utente ed il servizio random, oltre al com5.exe, com6.bvu, xlixg1.dll.
cosa fare adesso?

Ho usato anche http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html mi restituisce (accedendo ai processi)
a) Failed to set privileg SeDebugPrivilege. You may not have sufficient access rights.
Non tuti i privilegi menzionati sono assegnati al chiamante.
b) Could not initialize Toolhelp.Pleas restart and try again.
Accesso negato.

Apparentemente non ho altri segni, ma SENTO che non sono ancora libero (al contrario di quello che dice Armadalog

Un saluto e ringraziamento a chi spenderà un po' di tempo per aiutarmi (ed anche agli altri!!!)
Clemente

Scusate il ritardo con cui quoto, e scusate la scarsa dimestichezza con il forum. Consentitemi brevissimi saluti, ma sono molto stanco. Non dormo da settimane (sono scarso!) e questo lo invio non perchè sono gia alzato, ma perche non mi coricherò e sto andando a lavoro.

Sono alle prese appunto con l'impossibilità di lanciare regmon.
Avevo già usato il tool e cancellato l'utente ed il servizio random, oltre al com5.exe, com6.bvu, xlixg1.dll.
cosa fare adesso?

Ho usato anche http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html mi restituisce (accedendo ai processi)
a) Failed to set privileg SeDebugPrivilege. You may not have sufficient access rights.
Non tuti i privilegi menzionati sono assegnati al chiamante.
b) Could not initialize Toolhelp.Pleas restart and try again.
Accesso negato.

Apparentemente non ho altri segni, ma SENTO che non sono ancora libero (al contrario di quello che dice Armadalog

Un saluto e ringraziamento a chi spenderà un po' di tempo per aiutarmi (ed anche agli altri!!!)
Clemente

Visto che mi hai quotato, mi sento chiamato in causa.. :D Allora, prima di tutto controlla i servizi (services.msc) e vedi se ci sono nomi casuali con altri nomi casuali nel campo connessione. Se li trovi prendi nota dei file a cui puntano, che si troveranno in una sottocartella dei file comuni, e cancellali normalmente se possibile, oppure con il tool di NOD32 per la rimozione di Agent. Poi elimina i servizi con il comando sc delete nomeservizio.
Per controllare ulteriormente, fai una passata con rootkitrevealer o gmer e posta i log qua, o forse è meglio sul thread su linkoptimizer dove ce ne sono già molti, anche se mi pare di capire che i file del rootkit li hai già cancellati tu, quindi in qualche modo li hai individuati.
Per quanto riguarda il debug privilege, esegui secpol.msc, e dentro regole locali (o qualcosa del genere :)), assegnazione diritti utenti, cerca la voce che riguarda il debug e aggiungici il nome dell'utente che utilizzi o comunque degli utenti o gruppi a cui vuoi riassegnare quel privilegio.
Infine, se risulterà che il tool della Prevx non ti ha trovato qualcosa, comunicalo qua e magari tieni da parte i file, in questo modo quel tool potrà essere ulteriormente perfezionato. I dettagli casomai te li fornirà Eraser. ;)

Saluti!

Mi sposto :sob: su aiuto sono infetto, cosa faccio.
Mi ero permesso di inserirmi :muro: in questo thread perchè :incazzed: stanco e dopo lungo navigare e MOLTI :friend: aiuti ricevuti :ave: e l'illusione :cincin: con i miei salvatori di essermi :yeah: salvato, con tool che non rivelano più nulla, ma la presenza di :Puke: STRANEZZE, mi è rimasta la sensazione che qualcosa non va ed ho continuato a :wtf: cercare imbattendomi (purtroppo tardivamente) in questo forum (durante le ricerche iniziali lo avevo scartato per il nome :grrr: HARDWARE) che, mi pare, ospiti fra i maggiori :sofico: esperti di GROMOZON tool.
In più una delle stranezze (che avevo :doh: ottimisticamente attribuito a DANNI residui e non ad comportamenti attivi di malware TUTTORA a bordo) era il blocco a regmon che ho visto citato.
:ops: Mi sono, quindi tuffato, sì per avere aiuto, ma, anche, per :mano: passare nuovi dettagli e, quindi, essere d'aiuto a chi certamente ne sa più di me, ma, senza indizi dal campo, potrebbe avere difficoltà a :mc: progredire.
Posterò i log altrove, anche se penso non serva a granchè (penso che i vari RootkitRevealer Gmer, a meno di nuove releases che ignoro siano OUT e ci voglia qualcosa di nuovo)
Se posso :nonio: , un'ultima cosa:
Poichè aveger non riusciva a creare la chiave dummy (H_KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs ), l'ho creata a mano riuscendoci (cancellabile, modificabile etc.). Al riavvio, però, era sostituita dalla stringa RootKit_File, a sua volta cancellabile e modificabile (replicato più volte)

Un saluto...
e io speriamo che me la cavo

PS: anche se in modo "Criptico" avevo dichiarato di aver usato il tool della Prevx con log "pulito" e non so che file postare qui.
Ancora ciao

@giannicp

Visti i log possiamo fare le prime considerazioni, prima non so cosa dirti.. magari postali nel thread di linkoptimizer, visto che i sintomi sembrano quelli.

intanto, OTTIMO LAVORO!!! ho pulito un PC in pochi secondi mentre a mano la settimana scorsa ci ho messo una giornata di lavoro...

ho già cercato all'interno della discussione e non mi sembra di aver trovato nulla a riguardo:
volevo sapere se il tool rimuove anche i file strani creati dal worm (tipo lpt*.*, com*.* ecc.) in caso di FAT32, o i file dagli ADS nel caso di NTFS...
perché su un PC che ho ripulito son partito con il CD di boot di kaspersky (creato con bartPE) e sono riuscito a cancellare il file mediante la sintassi
del \\.\c:\percorso\file.ext
mentre su un altro la stessa operazione mi da "accesso negato" come risultato...

grassie mille :fagiano:
ciao ciao

ok sul nuovo PC infetto (quello sul quale non riesco a cancellare il file com5.yha) il tool non va :cry:
sia modalità normale che provvisoria (windows 2000), si blocca: avvisa di disattivare l'antivirus e poi niente, se vado in task manager mi dice che il programma non risponde... (nessun segno di attività dell'HD...)
lo avvierei dal CD di bartPE, ma lì mi analizza il registro di bartPE e ovviamente quello risulta pulito...
qualche idea???

cioè? lo lanci, ti avverte di disattivare l'antivirus e poi niente? nessun segnale? :confused:

esatto... neanche il refresh dello schermo se é per quello: la parte della finestra coperta dall'alert che riguarda l'antivirus rimane grigia...
so che é perché il rootkit é in funzione e rallenta il PC, ma fa lo stesso anche in provvisoria... :cry:
su un altro PC ancora ho risolto almeno i rallentamenti cancellando il file com5.ext e poi ho ripulito con ewido, ma qui non riesco a cancellarlo... :mbe:
tra l'altro non parte neanche the avenger... (quest ultimo non l'ho provato in provvisoria, xó...)

esatto... neanche il refresh dello schermo se é per quello: la parte della finestra coperta dall'alert che riguarda l'antivirus rimane grigia...
so che é perché il rootkit é in funzione e rallenta il PC, ma fa lo stesso anche in provvisoria... :cry:
su un altro PC ancora ho risolto almeno i rallentamenti cancellando il file com5.ext e poi ho ripulito con ewido, ma qui non riesco a cancellarlo... :mbe:
tra l'altro non parte neanche the avenger... (quest ultimo non l'ho provato in provvisoria, xó...)

però almeno parte giusto? si blocca immediatamente dopo che hai cliccato su scan immagino

sì... :confused:

aggiornamento:
il file system del PC incriminato é NTFS quindi forse il file da cancellare é in un ADS, ma, trovandosi in c:\winnt\system32,
come faccio a sapere in quale ADS si trova? e come lo elimino? (provato con hijackthis x lanciare l'ADS Spy ma hijachthis non parte... :cry: )
The avenger non parte neanche in modalità provvisoria e neanche dopo averne modificato l'exe con un editor esadecimale...
ora vedo con una knoppix che riesco a fare... :confused:

posso? è uscita recentemente la 1.5.0.7 di firefox... io usavo questo browser perchè bloccava il download automatico di virus, dialer e compagnia bella (tra cui li LinkOptimizer)...

oggi visitando un sito becco una delle classiche pagine tricolori che fanno riferimento a td8eau9td.com... mi incazzo ma penso... vabbè, firefox bloccherà il download avvertendomi con la solita schermata del file www.google.com.... e invece firefox scarica il virus senza dirmi nulla.... non fosse stato per avast, ora scommaterei col tool di rimozione... è successo anche ad altri?

ok sul nuovo PC infetto (quello sul quale non riesco a cancellare il file com5.yha) il tool non va :cry:
sia modalità normale che provvisoria (windows 2000), si blocca: avvisa di disattivare l'antivirus e poi niente, se vado in task manager mi dice che il programma non risponde... (nessun segno di attività dell'HD...)
lo avvierei dal CD di bartPE, ma lì mi analizza il registro di bartPE e ovviamente quello risulta pulito...
qualche idea???


Eccomi qua ho aperto anche un nuovo post, per il file in questione.

Anche io ho un pc con com5.vlb INCANCELLABILE ORAMAI....

devo provare con la sintassi \.\\com5.vlb

Con bartpe puoi accedere anche al registro del sistema su HD
;)

Con bartpe puoi accedere anche al registro del sistema su HD
;)

ho provato... mi da cmq accesso negato alla chiave che riguarda il servizio fasullo creato dal virus... :stordita:

Abbiamo aggiornato il tool con alcuni fix :)

a me il prevx ha rimosso alcuni file ma non il virus/rootkit in questione, non ha rimosso il servizio che veniva avviato e non mi ha rimosso l'utente random generato per controllare il servizio.

e ho sempre un file che si chiama com5.vlb che non si può cancellare, ho fatto l'accesso anche con linux, e non ho ottenuto niente altro che un :nonsifa: dal sistema.

qualcuno parlava di avenger gren... ecc ma non ha inserito link per scaricarli..

qualucno ha parlato di cancellare con questo metodo \.\\com5.vlb qualcuno potrebbe aiutarmi in merito GRAZIE!!!

a me il prevx ha rimosso alcuni file ma non il virus/rootkit in questione, non ha rimosso il servizio che veniva avviato e non mi ha rimosso l'utente random generato per controllare il servizio.

e ho sempre un file che si chiama com5.vlb che non si può cancellare, ho fatto l'accesso anche con linux, e non ho ottenuto niente altro che un :nonsifa: dal sistema.

qualcuno parlava di avenger gren... ecc ma non ha inserito link per scaricarli..

qualucno ha parlato di cancellare con questo metodo \.\\com5.vlb qualcuno potrebbe aiutarmi in merito GRAZIE!!!

Gmer lo trovi su www.gmer.net. Fai due log: uno per gli autostart e uno per rootkit e postali sul forum nel thread di linkoptimizer. Da lì vediamo in che condizioni è rimasto il sistema.

Gmer lo trovi su www.gmer.net. Fai due log: uno per gli autostart e uno per rootkit e postali sul forum nel thread di linkoptimizer. Da lì vediamo in che condizioni è rimasto il sistema.


in quale forum scusa? :confused:


i log con cosa devo farli?


ho fatto una scansione con GMER, ho della roba rossa, e un messaggio che mi dice che ci sono dei rootkit, però non ho minimante idea di come funzioni quel programma.

PS: dimenticavo, grazie per l'aiuto.. :-)

Allora, gmer ha varie sezioni. Vai in autostart, premi scan, quando ha finito premi copy. A quel punto inizi a scrivere il messaggio sul forum e nella finestra in cui lo stai digitando premi CTRL-V per incollare il risultato di gmer che hai copiato poco prima. Lo stesso fai con la sezione rootkit.

Il thread a cui mi riferisco è questo: http://www.hwupgrade.it/forum/showthread.php?t=1254788&goto=newpost

^^^ edit: questo thread è ancora nella sezione generica sulla sicurezza, quindi a questo punto non so quale dei sue sia più appropriato. Forse è meglio postare in questo, casomai poi decideranno i moderatori.

GMER 1.0.11.11349 - http://www.gmer.net
Rootkit 2006-09-16 18:58:42
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.11 ----

SSDT pxfsf.sys ZwAlertResumeThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwAllocateUserPhysicalPages <-- ROOTKIT !!!
SSDT pxfsf.sys ZwAllocateVirtualMemory <-- ROOTKIT !!!
SSDT pxfsf.sys ZwClose <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCompactKeys <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCompressKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateDirectoryObject <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateEvent <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateEventPair <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateIoCompletion <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateJobObject <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateMailslotFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateMutant <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateNamedPipeFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreatePort <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateProcessEx <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateSection <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateSemaphore <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateSymbolicLinkObject <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateTimer <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateToken <-- ROOTKIT !!!
SSDT pxfsf.sys ZwDeleteFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwDeleteKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwDeleteValueKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwDeviceIoControlFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwDuplicateObject <-- ROOTKIT !!!
SSDT pxfsf.sys ZwEnumerateKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwEnumerateValueKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwFreeUserPhysicalPages <-- ROOTKIT !!!
SSDT pxfsf.sys ZwFreeVirtualMemory <-- ROOTKIT !!!
SSDT pxfsf.sys ZwImpersonateAnonymousToken <-- ROOTKIT !!!
SSDT pxfsf.sys ZwImpersonateThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwLoadDriver <-- ROOTKIT !!!
SSDT pxfsf.sys ZwLoadKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwLoadKey2 <-- ROOTKIT !!!
SSDT pxfsf.sys ZwLockRegistryKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwLockVirtualMemory <-- ROOTKIT !!!
SSDT pxfsf.sys ZwMapViewOfSection <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenProcessToken <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenSection <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenThreadToken <-- ROOTKIT !!!
SSDT pxfsf.sys ZwProtectVirtualMemory <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueryInformationProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueryInformationThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueryKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueryMultipleValueKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueryOpenSubKeys <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueryValueKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueueApcThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwReadFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwReadVirtualMemory <-- ROOTKIT !!!
SSDT pxfsf.sys ZwRenameKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwReplaceKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwRestoreKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwResumeProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwResumeThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSaveKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSaveKeyEx <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSaveMergedKeys <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSetContextThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSetInformationKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSetInformationProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSetInformationThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSetSystemInformation <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSetValueKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSuspendProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSuspendThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSystemDebugControl <-- ROOTKIT !!!
SSDT pxfsf.sys ZwTerminateJobObject <-- ROOTKIT !!!
SSDT pxfsf.sys ZwTerminateProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwTerminateThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwUnloadDriver <-- ROOTKIT !!!
SSDT pxfsf.sys ZwUnloadKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwUnloadKeyEx <-- ROOTKIT !!!
SSDT pxfsf.sys ZwUnlockVirtualMemory <-- ROOTKIT !!!
SSDT pxfsf.sys ZwUnmapViewOfSection <-- ROOTKIT !!!
SSDT pxfsf.sys ZwWriteFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwWriteVirtualMemory <-- ROOTKIT !!!

Code 7D4C2DCF KeSetProfileIrql

---- Processes - GMER 1.0.11 ----

Process alg.exe (*** hidden *** ) [1964] 8214F8B0
Process winlogon.exe (*** hidden *** ) [464] 82105DA0
Process svchost.exe (*** hidden *** ) [812] 820ECDA0
Process PXAgent.exe (*** hidden *** ) [1520] 82328870
Process MsMpEng.exe (*** hidden *** ) [764] 821756C0
Process lsass.exe (*** hidden *** ) [520] 822C7DA0
Process svchost.exe (*** hidden *** ) [956] 82272258
Process svchost.exe (*** hidden *** ) [668] 820B2958
Process services.exe (*** hidden *** ) [508] 822C3D78
Process svchost.exe (*** hidden *** ) [1676] 820B02E0
Process svchost.exe (*** hidden *** ) [728] 820C4DA0
Process McShield.exe (*** hidden *** ) [1276] 821D5D10
Process svchost.exe (*** hidden *** ) [860] 820B2508
Process MpfService.exe (*** hidden *** ) [1400] 8220F350
Process MDM.EXE (*** hidden *** ) [1380] 822A7A20
Process csrss.exe (*** hidden *** ) [440] 820A4880

---- Files - GMER 1.0.11 ----

ADS ... <-- ROOTKIT !!!

---- EOF - GMER 1.0.11 ----

Eccolo.... questo è completo?

sì, adesso vediamo l'altro..

sì, adesso vediamo l'altro..


:asd:


GMER 1.0.11.11349 - http://www.gmer.net
Autostart 2006-09-16 19:59:26
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon@DLLName = WgaLogon.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
McDetect.exe /*McAfee WSC Integration*/@ = c:\programmi\mcafee.com\agent\mcdetect.exe
McShield /*McAfee.com McShield*/@ = c:\PROGRA~1\mcafee.com\vso\mcshield.exe
McTskshd.exe /*McAfee Task Scheduler*/@ = c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE"
MpfService /*McAfee Personal Firewall Service*/@ = C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
nVzAd /*nVzAd*/@ = "C:\Programmi\File comuni\System\dgfmVK.exe" /*file not found*/
PREVXAgent /*Prevx Agent*/@ = "C:\Programmi\Prevx1\PXAgent.exe" -f
ScsiPort@ = %SystemRoot%\system32\drivers\scsiport.sys
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
viritsvclite /*Virit eXplorer Lite*/@ = C:\VEXPLITE\viritsvc.exe
WinDefend /*Windows Defender Service*/@ = "C:\Programmi\Windows Defender\MsMpEng.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@C-Media MixerMixer.exe /startup = Mixer.exe /startup
@VSOCheckTask"C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask = "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
@VirusScan OnlineC:\Programmi\McAfee.com\VSO\mcvsshld.exe = C:\Programmi\McAfee.com\VSO\mcvsshld.exe
@OASClntC:\Programmi\McAfee.com\VSO\oasclnt.exe = C:\Programmi\McAfee.com\VSO\oasclnt.exe
@MCAgentExec:\PROGRA~1\mcafee.com\agent\mcagent.exe = c:\PROGRA~1\mcafee.com\agent\mcagent.exe
@MCUpdateExec:\PROGRA~1\mcafee.com\agent\mcupdate.exe = c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
@MPFExeC:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe = C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
@Windows Defender"C:\Programmi\Windows Defender\MSASCui.exe" -hide = "C:\Programmi\Windows Defender\MSASCui.exe" -hide
@UnlockerAssistant"C:\Programmi\Unlocker\UnlockerAssistant.exe" = "C:\Programmi\Unlocker\UnlockerAssistant.exe"
@PrevxOne"C:\Programmi\Prevx1\PXConsole.exe" = "C:\Programmi\Prevx1\PXConsole.exe"
@VIRIT LITE MONITORC:\VEXPLITE\MONLITE.EXE = C:\VEXPLITE\MONLITE.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} = C:\PROGRA~1\WIFD1F~1\MpShHook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/(null) =
@{32683183-48a0-441b-a342-7c2a440a9478} /*Media Band*/(null) =
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{00020D75-0000-0000-C000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{C81DCBCA-8AE2-41FC-9C39-78B160393210} /*RhinoShExt*/C:\WINDOWS\system32\RhinoShExt.dll = C:\WINDOWS\system32\RhinoShExt.dll
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Previous Versions Property Page*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Previous Versions*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/C:\WINDOWS\System32\extmgr.dll = C:\WINDOWS\System32\extmgr.dll
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{A4DF5659-0801-4A60-9607-1C48695EFDA9} /*Cartella di caricamento Share-to-Web*/C:\Programmi\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL = C:\Programmi\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL
@{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} /*UnlockerShellExtension*/C:\Programmi\Unlocker\UnlockerCOM.dll = C:\Programmi\Unlocker\UnlockerCOM.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
RhinoShExt@{C81DCBCA-8AE2-41FC-9C39-78B160393210} = C:\WINDOWS\system32\RhinoShExt.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers@{CFC7205E-2792-4378-9591-3879CC6C9022} = c:\progra~1\mcafee.com\vso\mcvsshl.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
UnlockerShellExtension@{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} = C:\Programmi\Unlocker\UnlockerCOM.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers@{CFC7205E-2792-4378-9591-3879CC6C9022} = c:\progra~1\mcafee.com\vso\mcvsshl.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{55EA1964-F5E4-4D6A-B9B2-125B37655FCB}C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll = C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\programmi\google\googletoolbar2.dll = c:\programmi\google\googletoolbar2.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\System32\sstext3d.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/webhp?sourceid=navclient&hl=it&ie=UTF-8&rls=GGLG,GGLG:2006-21,GGLG:it = http://www.google.it/webhp?sourceid=navclient&hl=it&ie=UTF-8&rls=GGLG,GGLG:2006-21,GGLG:it
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\MSITSS.DLL
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\System32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{D9CD4670-435A-4973-8AC0-1F5A87C73632} /*Connessione rete senza fili 2*/ >>>
@IPAddress192.168.1.7 = 192.168.1.7
@NameServer192.168.1.1 = 192.168.1.1
@DefaultGateway192.168.1.1 = 192.168.1.1
@Domain =

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = Adobe Reader Speed Launch.lnk

---- EOF - GMER 1.0.11 ----

@groot
Ad una occhiata veloce ho notato soltanto questo:

nVzAd /*nVzAd*/@ = "C:\Programmi\File comuni\System\dgfmVK.exe" /*file not found*/

sei riuscito a cancellare il file ma non riesci ad eliminare il servizio? In tal caso da prompt dei comandi digita sc delete nvzad
Riguardo al file che non riesci a cancellare, dovrebbe essere innocuo, quindi per adesso può restare anche lì. Se vuoi tentare comunque, descrivi precisamente in che cartella si trova, se riesci a vederlo entrando nella cartella da risorse del computer, ecc.

@groot
Ad una occhiata veloce ho notato soltanto questo:

nVzAd /*nVzAd*/@ = "C:\Programmi\File comuni\System\dgfmVK.exe" /*file not found*/

sei riuscito a cancellare il file ma non riesci ad eliminare il servizio? In tal caso da prompt dei comandi digita sc delete nvzad
Riguardo al file che non riesci a cancellare, dovrebbe essere innocuo, quindi per adesso può restare anche lì. Se vuoi tentare comunque, descrivi precisamente in che cartella si trova, se riesci a vederlo entrando nella cartella da risorse del computer, ecc.

Il servizio è rimosso ma ogni volta si ripresenta.
Anche se ho eliminato il file.

mi rimane un file che viene segnalato come infetto da Spy-Agent.bb da McAfee, tale com5.vlb che non è POSSIBILE in alcun modo cancellarlo.

E' probabilmente collegato a qualche altro file che lo blinda. Trovarlo è dura.

qualucno ha parlato di cancellare con questo metodo \.\\com5.vlb qualcuno potrebbe aiutarmi in merito GRAZIE!!!

Da prompt dei comandi digiti

del \.\\[percorso]\com5.vlb

es se il file si trova in c:\windows\com5.vlb


del \.\\c:\windows\com5.vlb

@giannicp

Visti i log possiamo fare le prime considerazioni, prima non so cosa dirti.. magari postali nel thread di linkoptimizer, visto che i sintomi sembrano quelli.

Non vorrei sbagliare di nuovo, ma quel thread mi risulta chiuso dal 12/9, per cui posto qua.
Il mio OS: XP Home Ed. SP2, i miei drives: 2HD Fat32
Ripristino configurazione disattivato e java disinstallato

Armada.exe loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\system32\com6.bvu
\\?\C:\WINDOWS\system32\com6.bvu
Resetting file permissions...
Clearing attributes...
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\xlixg1.dll
>>>Error: File C:\WINDOWS\xlixg1.dll could not be removed - it will be removed on the next reboot.
Scanning: C:\Programmi\File comuni


Trojan.Gromozon Removed!
(adesso il log dice:
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS


Trojan.Gromozon does not exist - your system is clean.)
/////////////////////////////////////////////////////////////////////////////////////
Successivamente ho rimosso con avenger
C:\Programmi\File comuni\System\com5.exe

ma
Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034.

Ho provato ad immettere a mano la stringa ...\CurrentVersion\Windows|AppInit_DLLs e ci riuscivo, ma, al riavvio, trovavo al suo posto il NOME "Rootkit_File" (Replicato più volte)
DUBBIO: è il rotkit che mi fa fesso o e MaAfee che "pulisce"?

Ho eliminato l'utente strano e connessi (cartelle servizi voci nel registro)MANUALMENTE.

Gmer (credo!) è ok, ma, se scelgo show all (non posso postarlo: è enorme) mi seppellisce di Rootkit (gli SSDT ed i servizi SENZA files da eseguire) ecco un PICCOLO estratto

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-17 02:12:24
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.10 ----

SSDT sptd.sys ZwCreateKey <-- ROOTKIT !!!
SSDT sptd.sys ZwEnumerateKey <-- ROOTKIT !!!
SSDT sptd.sys ZwEnumerateValueKey <-- ROOTKIT !!!
SSDT sptd.sys ZwOpenKey <-- ROOTKIT !!!
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwOpenProcess <-- ROOTKIT !!!
SSDT sptd.sys ZwQueryKey <-- ROOTKIT !!!
SSDT sptd.sys ZwQueryValueKey <-- ROOTKIT !!!
SSDT sptd.sys ZwSetValueKey <-- ROOTKIT !!!
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess <-- ROOTKIT !!!
---- Services - GMER 1.0.10 ----

Service [DISABLED] Abiosdsk <-- ROOTKIT !!!
Service [DISABLED] abp480n5 <-- ROOTKIT !!!
Service [DISABLED] ACPIEC <-- ROOTKIT !!!
Service [DISABLED] adpu160m <-- ROOTKIT !!!
Service [DISABLED] Aha154x <-- ROOTKIT !!!
Service [DISABLED] aic78u2 <-- ROOTKIT !!!
Service [DISABLED] aic78xx <-- ROOTKIT !!!
Service [DISABLED] AliIde <-- ROOTKIT !!!
Service [DISABLED] amsint <-- ROOTKIT !!!
Service [DISABLED] asc <-- ROOTKIT !!!
Service [DISABLED] asc3350p <-- ROOTKIT !!!
Service [DISABLED] asc3550 <-- ROOTKIT !!!
Service [DISABLED] Atdisk <-- ROOTKIT !!!
Service [SYSTEM] Beep <-- ROOTKIT !!!
Service [DISABLED] cbidf2k <-- ROOTKIT !!!
Service [DISABLED] cd20xrnt <-- ROOTKIT !!!
Service [SYSTEM] Cdaudio <-- ROOTKIT !!!
Service [DISABLED] Cdfs <-- ROOTKIT !!!
Service [SYSTEM] Changer <-- ROOTKIT !!!
Service [DISABLED] CmdIde <-- ROOTKIT !!!
Service [DISABLED] Cpqarray <-- ROOTKIT !!!
Service [DISABLED] dac2w2k <-- ROOTKIT !!!
Service [DISABLED] dac960nt <-- ROOTKIT !!!
Service [DISABLED] dpti2o <-- ROOTKIT !!!
Service [DISABLED] Fastfat <-- ROOTKIT !!!
Service [SYSTEM] FileDisk <-- ROOTKIT !!!
Service [SYSTEM] Fips <-- ROOTKIT !!!
Service [SYSTEM] Fs_Rec <-- ROOTKIT !!!
Service [DISABLED] hpn <-- ROOTKIT !!!
Service [SYSTEM] i2omgmt <-- ROOTKIT !!!
Service [DISABLED] i2omp <-- ROOTKIT !!!
Service [SYSTEM] InCDrec <-- ROOTKIT !!!
Service [DISABLED] ini910u <-- ROOTKIT !!!
Service [DISABLED] IntelIde <-- ROOTKIT !!!
Service KSecDD <-- ROOTKIT !!!
Service [SYSTEM] lbrtfdc <-- ROOTKIT !!!
Service [SYSTEM] mnmdd <-- ROOTKIT !!!
Service [MANUAL] Modem <-- ROOTKIT !!!
Service MountMgr <-- ROOTKIT !!!
Service [DISABLED] mraid35x <-- ROOTKIT !!!
Service [SYSTEM] Msfs <-- ROOTKIT !!!
Service [BOOT] Mup <-- ROOTKIT !!!
Service [BOOT] NDIS <-- ROOTKIT !!!
Service [MANUAL] NDProxy <-- ROOTKIT !!!
Service [SYSTEM] Npfs <-- ROOTKIT !!!
Service [DISABLED] Ntfs <-- ROOTKIT !!!
Service [SYSTEM] Null <-- ROOTKIT !!!
Service [BOOT] PartMgr <-- ROOTKIT !!!
Service [AUTO] ParVdm <-- ROOTKIT !!!
Service [SYSTEM] PCIDump <-- ROOTKIT !!!
Service [DISABLED] PCIIde <-- ROOTKIT !!!
Service [DISABLED] Pcmcia <-- ROOTKIT !!!
Service [MANUAL] PDCOMP <-- ROOTKIT !!!
Service [MANUAL] PDFRAME <-- ROOTKIT !!!
Service [MANUAL] PDRELI <-- ROOTKIT !!!
Service [MANUAL] PDRFRAME <-- ROOTKIT !!!
Service [DISABLED] perc2 <-- ROOTKIT !!!
Service [DISABLED] perc2hib <-- ROOTKIT !!!
Service [DISABLED] ql1080 <-- ROOTKIT !!!
Service [DISABLED] Ql10wnt <-- ROOTKIT !!!
Service [DISABLED] ql12160 <-- ROOTKIT !!!
Service [DISABLED] ql1240 <-- ROOTKIT !!!
Service [DISABLED] ql1280 <-- ROOTKIT !!!
Service [MANUAL] RDPWD <-- ROOTKIT !!!
Service [SYSTEM] Sfloppy <-- ROOTKIT !!!
Service [DISABLED] Simbad <-- ROOTKIT !!!
Service [DISABLED] Sparrow <-- ROOTKIT !!!
Service [DISABLED] sym_hi <-- ROOTKIT !!!
Service [DISABLED] sym_u3 <-- ROOTKIT !!!
Service [DISABLED] symc810 <-- ROOTKIT !!!
Service [DISABLED] symc8xx <-- ROOTKIT !!!
Service [MANUAL] TDPIPE <-- ROOTKIT !!!
Service [MANUAL] TDTCP <-- ROOTKIT !!!
Service [DISABLED] TosIde <-- ROOTKIT !!!
Service [DISABLED] Udfs <-- ROOTKIT !!!
Service [DISABLED] ultra <-- ROOTKIT !!!
Service [BOOT] VolSnap <-- ROOTKIT !!!
Service [MANUAL] WDICA <-- ROOTKIT !!!
Service [MANUAL] Winsock <-- ROOTKIT !!!


[B]Capita anche a voi? Avete anche voi TANTI servizi VUOTI?

NON posso eseguire Regmon (already running on this system)
NON posso eseguire il tool Sophos
Sophos Anti-Rootkit Version 1.0 (c) 2006 Sophos Plc
Started logging on 17/09/2006 at 2.46.01
Warning: Failed to set privilege SeDebugPrivilege. You may not have
sufficient access rights.
Non tutti i privilegi menzionati sono assegnati al chiamante.
Warning: Could not initialize Toolhelp. Please restart and try again.
Accesso negato.
Stopped logging on 17/09/2006 at 2.46.01

Ho letto di NTRights, ma non so se è bene usarlo adesso (il PC è pulito?) e come (su quali voci)

OK Avenger, GMER, RootkitRevealer.

[B]RootkitRevealer.

HKLM\S-1-5-21-481920901-3577517646-4231418846-1005\RemoteAccess\InternetProfile 21/02/2006 23.25 5 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg 05/09/2006 5.14 0 bytes Access is denied.


Seguono i due GMER
GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-09-16 16:32:41
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ >>>
AtiExtEvent@DLLName = Ati2evxx.dll
WgaLogon@DLLName = WgaLogon.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Ati HotKey Poller@ = %SystemRoot%\system32\Ati2evxx.exe
ATI Smart /*ATI Smart*/@ = C:\WINDOWS\system32\ati2sgag.exe
ewido anti-spyware 4.0 guard /*ewido anti-spyware 4.0 guard*/@ = C:\Programmi\ewido anti-spyware 4.0\guard.exe
Fax /*Fax*/@ = %systemroot%\system32\fxssvc.exe
InCDsrv /*InCD Helper*/@ = C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
LexBceS /*LexBce Server*/@ = C:\WINDOWS\system32\LEXBCES.EXE
McDetect.exe /*McAfee WSC Integration*/@ = c:\programmi\mcafee.com\agent\mcdetect.exe
McShield /*McAfee.com McShield*/@ = c:\PROGRA~1\mcafee.com\vso\mcshield.exe
McTskshd.exe /*McAfee Task Scheduler*/@ = c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe"
MpfService /*McAfee Personal Firewall Service*/@ = C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
ScsiPort@ = %SystemRoot%\system32\drivers\scsiport.sys
SDhelper /*PC Tools Spyware Doctor*/@ = C:\Programmi\Spyware Doctor\sdhelp.exe
SimpTcp /*Servizi semplici TCP/IP*/@ = %SystemRoot%\System32\tcpsvcs.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
StarWindService /*StarWind iSCSI Service*/@ = C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CARPServicecarpserv.exe = carpserv.exe
@ATIPTAC:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe = C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
@Lexmark X5100 Series"C:\Programmi\Lexmark X5100 Series\lxbabmgr.exe" = "C:\Programmi\Lexmark X5100 Series\lxbabmgr.exe"
@Nokia Tray ApplicationC:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe = C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
@VSOCheckTask"C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask = "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
@VirusScan OnlineC:\Programmi\McAfee.com\VSO\mcvsshld.exe = C:\Programmi\McAfee.com\VSO\mcvsshld.exe
@MCAgentExec:\PROGRA~1\mcafee.com\agent\mcagent.exe = c:\PROGRA~1\mcafee.com\agent\mcagent.exe
@MCUpdateExec:\PROGRA~1\mcafee.com\agent\mcupdate.exe = c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
@MPFExeC:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE = C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
@WinampAgentC:\Programmi\Winamp\winampa.exe = C:\Programmi\Winamp\winampa.exe
@Adobe Photo Downloader"C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" = "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
@NWEReboot /*file not found*/ = /*file not found*/
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@InCDC:\Programmi\Nero\Nero 7\InCD\InCD.exe = C:\Programmi\Nero\Nero 7\InCD\InCD.exe
@Acrobat Assistant 7.0"C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" = "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
@ISUSPM StartupC:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup = C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
@ISUSScheduler"C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start = "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
@DAEMON Tools"C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033 = "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
@OASClntC:\Programmi\McAfee.com\VSO\oasclnt.exe = C:\Programmi\McAfee.com\VSO\oasclnt.exe
@iTunesHelper"C:\Programmi\iTunes\iTunesHelper.exe" = "C:\Programmi\iTunes\iTunesHelper.exe"
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@LexPPS.exeC:\WINDOWS\system32\lexpps.exe = C:\WINDOWS\system32\lexpps.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@H/PC Connection Agent"C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE" = "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
@BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe" = "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
@ctfmon.exeC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@Spyware Doctor"C:\Programmi\Spyware Doctor\swdoctor.exe" /Q = "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad@UPnPMonitor = C:\WINDOWS\system32\upnpui.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{57B86673-276A-48B2-BAE7-C6DBB3020EB8} = C:\Programmi\ewido anti-spyware 4.0\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{32683183-48a0-441b-a342-7c2a440a9478} /*Media Band*/(null) =
@{e57ce731-33e8-4c51-8354-bb4de9d215d1} /*Periferiche Plug and Play universali*/C:\WINDOWS\system32\upnpui.dll = C:\WINDOWS\system32\upnpui.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Previous Versions Property Page*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Previous Versions*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/C:\WINDOWS\System32\extmgr.dll = C:\WINDOWS\System32\extmgr.dll
@{00020D75-0000-0000-C000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79307-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@InCDShellExt extension /*{CAE3251E-9B15-4810-B268-852AD9792A59}*/(null) =
@{acb4a560-3606-11d3-aef4-00104bd0f92d} /*KodakShellExtension*/C:\Programmi\File comuni\Kodak\ifscore\KodakShX.dll = C:\Programmi\File comuni\Kodak\ifscore\KodakShX.dll
@{B327765E-D724-4347-8B16-78AE18552FC3} /*NeroDigitalIconHandler*/C:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll = C:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll
@{7F1CF152-04F8-453A-B34C-E609530A9DC8} /*NeroDigitalPropSheetHandler*/C:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll = C:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll
@{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} /*Adobe.Acrobat.ContextMenu*/C:\Programmi\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll = C:\Programmi\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll
@{32020A01-506E-484D-A2A8-BE3CF17601C3} /*AlcoholShellEx*/C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll = C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll
@{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} /*iTunes*/C:\Programmi\iTunes\iTunesMiniPlayer.dll = C:\Programmi\iTunes\iTunesMiniPlayer.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
Adobe.Acrobat.ContextMenu@{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} = C:\Programmi\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers >>>
@{CFC7205E-2792-4378-9591-3879CC6C9022}c:\progra~1\mcafee.com\vso\mcvsshl.dll = c:\progra~1\mcafee.com\vso\mcvsshl.dll
@{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208}C:\Programmi\Nero\Nero 7\Nero BackItUp\NBShell.dll = C:\Programmi\Nero\Nero 7\Nero BackItUp\NBShell.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers >>>
@{CFC7205E-2792-4378-9591-3879CC6C9022}c:\progra~1\mcafee.com\vso\mcvsshl.dll = c:\progra~1\mcafee.com\vso\mcvsshl.dll
@{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208}C:\Programmi\Nero\Nero 7\Nero BackItUp\NBShell.dll = C:\Programmi\Nero\Nero 7\Nero BackItUp\NBShell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{31FF080D-12A3-439A-A2EF-4BA95A3148E8}C:\Programmi\GetRight\xx2gr.dll = C:\Programmi\GetRight\xx2gr.dll
@{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll = C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\programmi\google\googletoolbar2.dll = c:\programmi\google\googletoolbar2.dll
@{AE7CD045-E861-484f-8273-0445EE161910}C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll = C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
@{B56A7D7D-6927-48C8-A975-17DF180C71AC}C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll = C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\System32\scrnsave.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.wooow.it = http://www.wooow.it
@Start Page =
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.wooow.it/ = http://www.wooow.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
mctp@CLSID = C:\Programmi\Microsoft ActiveSync\aatp.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\msitss.dll
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\System32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{70E801FD-19EB-4F19-B1A1-CB9F05DF7698} /*Rete Firewire*/ >>>
@IPAddress192.168.0.1 = 192.168.0.1
@NameServer =
@DefaultGateway =
@Domain =

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Kodak software updater.lnk = Kodak software updater.lnk
WinZip Quick Pick.lnk = WinZip Quick Pick.lnk
Kodak EasyShare software.lnk = Kodak EasyShare software.lnk
Avvio veloce di Adobe Reader.lnk = Avvio veloce di Adobe Reader.lnk
Alice ti aiuta.lnk = Alice ti aiuta.lnk
Adobe Acrobat Speed Launcher.lnk = Adobe Acrobat Speed Launcher.lnk

---- EOF - GMER 1.0.10 ----

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-16 16:19:53
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT sptd.sys ZwCreateKey
SSDT sptd.sys ZwEnumerateKey
SSDT sptd.sys ZwEnumerateValueKey
SSDT sptd.sys ZwOpenKey
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwOpenProcess
SSDT sptd.sys ZwQueryKey
SSDT sptd.sys ZwQueryValueKey
SSDT sptd.sys ZwSetValueKey
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess

---- Devices - GMER 1.0.10 ----

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE 82F9DC78
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CREATE 82F9EA40
Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_CREATE 82F9EA40
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE 82D080E8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_NAMED_PIPE 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLOSEIRP_MJ_READ 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_WRITE 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_INFORMATION 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_INFORMATION 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_EA 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_EA 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FLUSH_BUFFERS 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_VOLUME_INFORMATION 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_VOLUME_INFORMATION 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DIRECTORY_CONTROL 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FILE_SYSTEM_CONTROL 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CONTROL 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_INTERNAL_DEVICE_CONTROL 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SHUTDOWN 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_LOCK_CONTROL 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLEANUP 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_MAILSLOT 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_SECURITY 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_SECURITY 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_POWER 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SYSTEM_CONTROL 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CHANGE 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_QUOTA 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_QUOTA 82CB96A8
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_PNP 82CB96A8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE 82D080E8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CREATE 82D080E8
Device \Driver\Cdrom \Device\CdRom3 IRP_MJ_CREATE 82D080E8
Device \Driver\Cdrom \Device\CdRom4 IRP_MJ_CREATE 82D080E8
Device \Driver\Cdrom \Device\CdRom5 IRP_MJ_CREATE 82D080E8
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CREATE 82C72350
Device \Driver\Cdrom \Device\CdRom6 IRP_MJ_CREATE 82D080E8
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_CREATE 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_CREATE_NAMED_PIPE 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_CLOSEIRP_MJ_READ 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_WRITE 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_QUERY_INFORMATION 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_SET_INFORMATION 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_QUERY_EA 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_SET_EA 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_FLUSH_BUFFERS 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_QUERY_VOLUME_INFORMATION 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_SET_VOLUME_INFORMATION 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_DIRECTORY_CONTROL 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_FILE_SYSTEM_CONTROL 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_DEVICE_CONTROL 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_INTERNAL_DEVICE_CONTROL 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_SHUTDOWN 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_LOCK_CONTROL 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_CLEANUP 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_CREATE_MAILSLOT 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_QUERY_SECURITY 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_SET_SECURITY 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_POWER 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_SYSTEM_CONTROL 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_DEVICE_CHANGE 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_QUERY_QUOTA 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_SET_QUOTA 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_PNP 82CD1B88
Device \FileSystem\InCDFs \Device\InCDFsComm IRP_MJ_PNP_POWER 82CD1B88
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CREATE 82C72350
Device \Driver\00000052 \Device\0000004d IRP_MJ_SYSTEM_CONTROL [F8550EA8] sptd.sys
Device \Driver\00000052 \Device\0000004d IRP_MJ_DEVICE_CHANGE [F8564A70] sptd.sys
Device \Driver\00000052 \Device\0000004d IRP_MJ_PNP_POWER [F855D728] sptd.sys
Device \Driver\00000052 \Device\0000004e IRP_MJ_SYSTEM_CONTROL [F8550EA8] sptd.sys
Device \Driver\00000052 \Device\0000004e IRP_MJ_DEVICE_CHANGE [F8564A70] sptd.sys
Device \Driver\00000052 \Device\0000004e IRP_MJ_PNP_POWER [F855D728] sptd.sys
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_CREATE 82F9DEB0
Device \Driver\Disk \Device\Harddisk1\DR1 IRP_MJ_CREATE 82F9DEB0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_NAMED_PIPE 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLOSEIRP_MJ_READ 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_WRITE 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_INFORMATION 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_INFORMATION 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_EA 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_EA 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FLUSH_BUFFERS 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_VOLUME_INFORMATION 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_VOLUME_INFORMATION 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DIRECTORY_CONTROL 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FILE_SYSTEM_CONTROL 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CONTROL 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_INTERNAL_DEVICE_CONTROL 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SHUTDOWN 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_LOCK_CONTROL 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLEANUP 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_MAILSLOT 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_SECURITY 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_SECURITY 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_POWER 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SYSTEM_CONTROL 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CHANGE 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_QUOTA 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_QUOTA 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_PNP 82C04350
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_PNP_POWER 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_NAMED_PIPE 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLOSEIRP_MJ_READ 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_WRITE 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_INFORMATION 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_INFORMATION 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_EA 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_EA 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FLUSH_BUFFERS 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_VOLUME_INFORMATION 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_VOLUME_INFORMATION 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DIRECTORY_CONTROL 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FILE_SYSTEM_CONTROL 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CONTROL 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_INTERNAL_DEVICE_CONTROL 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SHUTDOWN 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_LOCK_CONTROL 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLEANUP 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_MAILSLOT 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_SECURITY 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_SECURITY 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_POWER 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SYSTEM_CONTROL 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CHANGE 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_QUOTA 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_QUOTA 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_PNP 82C04350
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_PNP_POWER 82C04350
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CREATE 82D1AA28
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CREATE_NAMED_PIPE 82D1AA28
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CLOSEIRP_MJ_READ 82D1AA28
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_WRITE 82D1AA28
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_INFORMATION 82D1AA28
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_SET_INFORMATION 82D1AA28
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_EA 82D1AA28
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CREATE 82F9EA40
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CREATE 82CA2BA8
Device \Driver\vaxscsi \Device\Scsi\vaxscsi1 IRP_MJ_CREATE 82D70908
Device \Driver\imagedrv \Device\Scsi\imagedrv1Port2Path0Target1Lun0 IRP_MJ_CREATE 82F9D0E8
Device \Driver\vaxscsi \Device\Scsi\vaxscsi1Port3Path0Target0Lun0 IRP_MJ_CREATE 82D70908
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target1Lun0 IRP_MJ_CREATE 82A680E8
Device \Driver\imagedrv \Device\Scsi\imagedrv1Port2Path0Target0Lun0 IRP_MJ_CREATE 82F9D0E8
Device \Driver\imagedrv \Device\Scsi\imagedrv1 IRP_MJ_CREATE 82F9D0E8
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0 IRP_MJ_CREATE 82A680E8
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_CREATE 82A680E8
Device \FileSystem\Fastfat \Fat IRP_MJ_CREATE 82F9DC78
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_CREATE 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_CREATE_NAMED_PIPE 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_CLOSEIRP_MJ_READ 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_WRITE 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_QUERY_INFORMATION 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_SET_INFORMATION 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_QUERY_EA 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_SET_EA 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_FLUSH_BUFFERS 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_QUERY_VOLUME_INFORMATION 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_SET_VOLUME_INFORMATION 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_DIRECTORY_CONTROL 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_FILE_SYSTEM_CONTROL 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_DEVICE_CONTROL 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_INTERNAL_DEVICE_CONTROL 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_SHUTDOWN 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_LOCK_CONTROL 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_CLEANUP 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_CREATE_MAILSLOT 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_QUERY_SECURITY 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_SET_SECURITY 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_POWER 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_SYSTEM_CONTROL 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_DEVICE_CHANGE 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_QUERY_QUOTA 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_SET_QUOTA 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_PNP 82CD1B88
Device \FileSystem\InCDFs \GLOBAL??\BsUDF IRP_MJ_PNP_POWER 82CD1B88
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CREATE 82C05350

---- EOF - GMER 1.0.10 ----

ed ecco HJT

Logfile of HijackThis v1.99.1
Scan saved at 23.26.11, on 16/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
c:\programmi\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
C:\Programmi\McAfee.com\VSO\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\McAfee.com\VSO\oasclnt.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programmi\iPod\bin\iPodService.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\FILECO~1\Nokia\Services\SERVIC~1.EXE
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\PROGRA~1\MSNGAM~1\Windows\zclientm.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\Explorer.EXE
C:\hijackthis\Ried.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wooow.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wooow.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\Programmi\TextAloud\TAForIE.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programmi\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programmi\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [OASClnt] C:\Programmi\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Kodak software updater.lnk = C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download with GetRight Pro - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Pro Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.wooow.it
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.it/static/download/pixacodndupload.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {5B461C2E-763A-4F47-9809-55827667E821} (MGDomConnector Class) - http://www.vestelitaly.it/Magic93Scripts/MGBCCOM9.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://download.ppstream.com/bin/powerplayer.cab
O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - http://amiuptodate.mcafee.com/vsc/bin/1,0,1,0/McUpdatePortal.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129414846250
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {BDD2F926-8158-4F62-9E0D-B3B75FD1F07F} (McObjectFactory Class) - http://download.mcafee.com/molbin/shared/McMySec/en-us/1,0,0,2/mcmysec.cab
O16 - DPF: {E61135DF-716D-49A7-B29B-8287A1CD072C} (WidelookX Control) - http://quattroruote.immanens.com/it/widelook/widelookX.cab
O16 - DPF: {E991BDE0-9816-4094-853E-6BDB60F0342D} (Get_ActiveX Control) - http://apps.corel.com/nos_dl_manager/plugin/IENetOpPlugin.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4851/mcfscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programmi\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Professional 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Professional 2005\RpcSandraSrv.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

PRECISO: NON ho (credo) files o cartelle strani
vado LENTO e tendo ad avere processi che crescono
la connessione mi sembra CONDIVISA ed in TaskManager non visualizzo i Byte in uscita sulla scheda ethernet, mentre li vedi sulla scheda adsl.
Come si vede da HJT ho gia fatto online con successo i vari bitdefender e kaspersky.
Spero di aver messo tutto, ed attendo risposte.
Grazie a tutti
Che devo fare :help: ?
Ancora saluti (e scusate se ho sbagliato :banned: qualcosa, ma è tardi e nelle ore e giornate precedenti ho combattuto con l'acqua che il Buon Dio ha scaraventato in terra)

Il servizio è rimosso ma ogni volta si ripresenta.
Anche se ho eliminato il file.

mi rimane un file che viene segnalato come infetto da Spy-Agent.bb da McAfee, tale com5.vlb che non è POSSIBILE in alcun modo cancellarlo.

Ma anche adesso ti si ripresenta il servizio? Se prima del riavvio, ti assicuri che nella lista dei servizi (esegui services.msc) non compaia più alcun servizo dal nome casuale e con nome casuale nella colonna connessione, non dovrebbero comparirne più.

@ giannicp

dai log non noto niente di strano, sembra tutto a posto.. la maggior parte delle voci sono di daemon tools, e di altri programmi legittimi.
Potrebbe anche essermi sfuggito qualcosa :) comunque lo guarderanno anche altri dal momento che è qua.
Per rimettere il debug privilege esegui secpol.msc, cerca assegnazione diritti utenti, e nella voce che riguarda il debug aggiungi gli utenti a cui vuoi assegnare tale privilegio.

@ giannicp

dai log non noto niente di strano, sembra tutto a posto.. la maggior parte delle voci sono di daemon tools, e di altri programmi legittimi.
Potrebbe anche essermi sfuggito qualcosa :) comunque lo guarderanno anche altri dal momento che è qua.
Per rimettere il debug privilege esegui secpol.msc, cerca assegnazione diritti utenti, e nella voce che riguarda il debug aggiungi gli utenti a cui vuoi assegnare tale privilegio.

:cry: secpol.msc :cry: non esiste! (XP Home Edition SP2)
Anche da mmc non trovo "Criteri di protezione locali".
E' da un po' che sapevo di questa assenza, ma pensavo :doh: che fosse una carenza di sistema (presente SOLO in XP Pro). Fà parte delle conseguenze dei diritti "abbassati"? Devo mettere mano all'installazione di componenti di Windows?

:muro: E l'impossibilità a lanciare Regmon?
:muro: E l'impossibilità ad impostare una nuova HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs?
:muro: E tutti i rootkit in GMER?

Soluzioni? :muro: :mc: :confused: :help: :doh:

Saluti e buona Domenica (almeno a voi :) )

facendo una scansione online con norton mi sono stati rilevati un trojan.linkoptimizer e due downloader.trojan.
ho provveduto a eliminare tutti i file infetti, ho scaricato e seguito le procedure per eliminare gromozon (che aveva creato un utente)...ho fatto di tutto, ora gli antivirus dicono che il mio pc è ok, che non ci sono virus, ma il pc non va ancora bene, è ancora lentissimo e la funzione "trova" non va , appena inizio la ricerca "non risponde". :muro: :muro: :muro:
non so più cosa fare e non sono un'esperta di informatica.
ho passato hijackthis e gmer (rootkit e autostart) e questi sono i risultati:

hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 19.04.56, on 15/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Apps\Powercinema\PCMService.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\QuickTime\qttask.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\FreeLan 802.11g Wireless 125 Mbps USB 2.0 Adapter\WlanUtl.exe
C:\Programmi\Avast Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Avast Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\DOCUME~1\manuvola\IMPOST~1\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe
C:\DOCUME~1\manuvola\IMPOST~1\Temp\Directory temporanea 2 per hijackthis.zip\HijackThis.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-b...&key=SEARCH
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\it.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PBITV2 - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} - C:\WINDOWS\system32\pbitv2.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FreeLan 802.11g WLAN Utility.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programmi\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O15 - Trusted Zone: *.energy-factor.com
O15 - Trusted Zone: *.hardcorefantasyland.com
O15 - Trusted Zone: *.hardfootballbabes.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?lin...amp;clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/res...can8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microso...b?1158184263015
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - AppInit_DLLs: prova.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Avast Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Avast Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner - C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe


questo invece è gmer
rootkit
GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-16 11:42:29
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwOpenProcess
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess

---- Devices - GMER 1.0.10 ----

Device \FileSystem\Fastfat \Fat IRP_MJ_CREATE EF987C8A

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\catalog.wci
File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log
File C:\System Volume Information\_restore{98DF0744-E9D0-4D5D-BAFF-085C137ADB1B}

---- EOF - GMER 1.0.10 ----


autostart
GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-09-16 11:43:33
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\ >>>
Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,
Windows@AppInit_DLLs = prova.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
aswUpdSv /*avast! iAVS4 Control Service*/@ = "C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe"
avast! Antivirus /*avast! Antivirus*/@ = "C:\Programmi\Alwil Software\Avast4\ashServ.exe"
avast! Mail Scanner /*avast! Mail Scanner*/@ = "C:\Programmi\Avast Alwil Software\Avast4\ashMaiSv.exe" /service
avast! Web Scanner /*avast! Web Scanner*/@ = "C:\Programmi\Avast Alwil Software\Avast4\ashWebSv.exe" /service
C-DillaSrv /*C-DillaSrv*/@ = C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
CiSvc /*Servizio di indicizzazione*/@ = %SystemRoot%\system32\cisvc.exe
ewido anti-spyware 4.0 guard /*ewido anti-spyware 4.0 guard*/@ = C:\Programmi\ewido anti-spyware 4.0\guard.exe
SLService /*SmartLinkService*/@ = slserv.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
viritsvclite /*Virit eXplorer Lite*/@ = C:\VEXPLITE\viritsvc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@PHIME2002ASyncC:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC = C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
@PHIME2002AC:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName = C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
@SynTPLprC:\Programmi\Synaptics\SynTP\SynTPLpr.exe = C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
@SynTPEnhC:\Programmi\Synaptics\SynTP\SynTPEnh.exe = C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
@VTTraypVTtrayp.exe = VTtrayp.exe
@VTTimerVTTimer.exe = VTTimer.exe
@PCMService"c:\Apps\Powercinema\PCMService.exe" = "c:\Apps\Powercinema\PCMService.exe"
@TkBellExe"C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot = "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
@avast!C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@UserFaultCheck%systemroot%\system32\dumprep 0 -u = %systemroot%\system32\dumprep 0 -u
@VIRIT LITE MONITORC:\VEXPLITE\MONLITE.EXE = C:\VEXPLITE\MONLITE.EXE
@SunJavaUpdateSchedC:\Programmi\Java\jre1.5.0_06\bin\jusched.exe = C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
RunOnceEx@ = /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WINDOWS\service32.exe /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{57B86673-276A-48B2-BAE7-C6DBB3020EB8} = C:\Programmi\ewido anti-spyware 4.0\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{2F603045-309F-11CF-9774-0020AFD0CFF6} /*Synaptics Control Panel*/C:\Programmi\Synaptics\SynTP\SynTPCpl.dll = C:\Programmi\Synaptics\SynTP\SynTPCpl.dll
@{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} /*Shell Extensions for RealOne Player*/C:\Programmi\Real\RealPlayer\rpshell.dll = C:\Programmi\Real\RealPlayer\rpshell.dll
@{DEE12703-6333-4D4E-8F34-738C4DCC2E04} /*RecordNow! SendToExt*/C:\Apps\RecordNow\shlext.dll = C:\Apps\RecordNow\shlext.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Web Folders*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{00020D75-0000-0000-C000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Alwil Software\Avast4\ashShell.dll = C:\Programmi\Alwil Software\Avast4\ashShell.dll
@{acb4a560-3606-11d3-aef4-00104bd0f92d} /*KodakShellExtension*/C:\Programmi\File comuni\Kodak\ifscore\KodakShX.dll = C:\Programmi\File comuni\Kodak\ifscore\KodakShX.dll
@{23170F69-40C1-278A-1000-000100020000} /*7-Zip Shell Extension*/C:\Programmi\7-Zip\7-zip.dll = C:\Programmi\7-Zip\7-zip.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
7-Zip@{23170F69-40C1-278A-1000-000100020000} = C:\Programmi\7-Zip\7-zip.dll
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
7-Zip@{23170F69-40C1-278A-1000-000100020000} = C:\Programmi\7-Zip\7-zip.dll
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D}C:\WINDOWS\system32\pbitv2.dll /*file not found*/ = C:\WINDOWS\system32\pbitv2.dll /*file not found*/
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll = C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\system32\logon.scr

HKLM\Software\Microsoft\Internet Explorer\Plugins\Extension\ >>>
.fpx@Location = C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll /*file not found*/
.ivr@Location = C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll /*file not found*/

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLfile://C:\APPS\IE\offline\it.htm = file://C:\APPS\IE\offline\it.htm
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout :blank = about :blank
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Avvio veloce di Adobe Reader.lnk = Avvio veloce di Adobe Reader.lnk
FreeLan 802.11g WLAN Utility.lnk = FreeLan 802.11g WLAN Utility.lnk

---- EOF - GMER 1.0.10 ----

Ma anche adesso ti si ripresenta il servizio? Se prima del riavvio, ti assicuri che nella lista dei servizi (esegui services.msc) non compaia più alcun servizo dal nome casuale e con nome casuale nella colonna connessione, non dovrebbero comparirne più.

Purtroppo ricompare...

Non riesco a avviare il tool di rimozione F-Secure, perchè mi dice che c'è qualcosa che lo blocca.

Da prompt dei comandi digiti

del \.\\[percorso]\com5.vlb

es se il file si trova in c:\windows\com5.vlb


del \.\\c:\windows\com5.vlb


Provo a cancellarlo e faccio sapere ..... del \.\\C:\windows\system32\com5.vlb
ESITO NEGATIVO non si cancella.

Avenger dove si scarica?
http://swandog46.geekstogo.com/avenger.zip

PS: inoltre in installazione ho la voce ConnectionServices..... lo conoscete vero?

:cry: secpol.msc :cry: non esiste! (XP Home Edition SP2)
Anche da mmc non trovo "Criteri di protezione locali".
E' da un po' che sapevo di questa assenza, ma pensavo :doh: che fosse una carenza di sistema (presente SOLO in XP Pro). Fà parte delle conseguenze dei diritti "abbassati"? Devo mettere mano all'installazione di componenti di Windows?

:muro: E l'impossibilità a lanciare Regmon?
:muro: E l'impossibilità ad impostare una nuova HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs?
:muro: E tutti i rootkit in GMER?

Soluzioni? :muro: :mc: :confused: :help: :doh:

Saluti e buona Domenica (almeno a voi :) )

No, su HOME è normale, sono io che non avevo afferrato che avevi la home :) Fai pure così allora: ntrights.exe -u tuonomeutente +r SeDebugPrivilege
Gmer definisce quei servizi rootkit su tutti i pc.
La questione della chiave non me la so spiegare, potrebbe essere l'antivirus, ma la cosa va approfondita, magari cercando su google. Perchè dal resto non si evince altro che possa causare quel comportamento.
Il problema di regmon potrebbe essere dovuto al debug privilege, anche se dal messaggio di errore restituito non sembrerebbe. Casomai riavvia dopo aver settato il debug privilege.

Purtroppo ricompare...

Allora sarà una variante del virus diversa. Quelle che conosco io :) utilizzano il servizio stesso per creare i nuovi servizi col nome diverso ad ogni riavvio.
Cmq vediamo meglio: vai dentro file comuni\services \microsoft shared e \system e guarda quanti nomi casuali (magari anche verdi se utilizzi NTFS) hai.. prova a cancellarli direttamente e vedi quanti non si riescono a cancellare..

Allora sarà una variante del virus diversa. Quelle che conosco io :) utilizzano il servizio stesso per creare i nuovi servizi col nome diverso ad ogni riavvio.
Cmq vediamo meglio: vai dentro file comuni\services \microsoft shared e \system e guarda quanti nomi casuali (magari anche verdi se utilizzi NTFS) hai.. prova a cancellarli direttamente e vedi quanti non si riescono a cancellare..

Faccio la prova e dò il responso! :O
il percorso completo delle directori?

si è una variante, anche cattiva. :mad:

download
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
Per rimozione file com5.vlb Riuscita.

Sto piano piano togliendo tutto, ma è veramente infettato questo pc... ora ho da eliminare connectionServices....

:D grazie.

facendo una scansione online con norton mi sono stati rilevati un trojan.linkoptimizer e due downloader.trojan.
ho provveduto a eliminare tutti i file infetti, ho scaricato e seguito le procedure per eliminare gromozon (che aveva creato un utente)...ho fatto di tutto, ora gli antivirus dicono che il mio pc è ok, che non ci sono virus, ma il pc non va ancora bene, è ancora lentissimo e la funzione "trova" non va , appena inizio la ricerca "non risponde". :muro: :muro: :muro:
non so più cosa fare e non sono un'esperta di informatica.
ho passato hijackthis e gmer (rootkit e autostart) e questi sono i risultati:


Segni di infezioni attive non ne vedo.. ci sono solo alcune tracce che però sono inattive e non possono rallentare il pc in alcun modo. Puoi togliere con hijackthis:

O2 - BHO: PBITV2 - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} - C:\WINDOWS\system32\pbitv2.dll (file missing)
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O15 - Trusted Zone: *.energy-factor.com
O15 - Trusted Zone: *.hardcorefantasyland.com
O15 - Trusted Zone: *.hardfootballbabes.com

Per quanto riguarda il rallentamento, non è che magari ultimamente hai installato più antivirus contemporaneamente? Hai sempre utilizzato ewido avast e virit e il pc andava bene?
Prova.dll ce lo hai messo tu in appinit? :)
Infine per quanto riguarda la funzione trova, (ti riferisci a quella dello start menu? immagino), non saprei cosa dirti al momento. Si blocca cercando file sul computer locale e poi non si sblocca più? Devi usare ctrl alt canc?

Per far partire BLACKLIGHT ROOTKIT Elimnator, della F.Secure ho utilizzato Look2me.destroyer.

ora parte anche il tool beta della F.secure http://www.f-secure.com/blacklight

Segni di infezioni attive non ne vedo.. ci sono solo alcune tracce che però sono inattive e non possono rallentare il pc in alcun modo. Puoi togliere con hijackthis:

O2 - BHO: PBITV2 - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} - C:\WINDOWS\system32\pbitv2.dll (file missing)
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O15 - Trusted Zone: *.energy-factor.com
O15 - Trusted Zone: *.hardcorefantasyland.com
O15 - Trusted Zone: *.hardfootballbabes.com

Per quanto riguarda il rallentamento, non è che magari ultimamente hai installato più antivirus contemporaneamente? Hai sempre utilizzato ewido avast e virit e il pc andava bene?
Prova.dll ce lo hai messo tu in appinit? :)
Infine per quanto riguarda la funzione trova, (ti riferisci a quella dello start menu? immagino), non saprei cosa dirti al momento. Si blocca cercando file sul computer locale e poi non si sblocca più? Devi usare ctrl alt canc?

grazie, ora ci provo.
effettivamente prima avevo solo avast.
oggi però cercando di collegarmi su questo sito ho visto che sotto nella finestra cercava un altro indirizzo...un po' sospetto.
per la funzione trova, si è quella di start. nel 90% dei casi devo ammazzarla con ctrl alt canc, nel restante 10%, dopo circa 30/40 minuti, avvia la ricerca.
prova.dll ...mi sa che era la dll del virus, poi seguendo una delle innumerevoli procedure, me l'hanno fatta rinominare per vedere se cambiava nome all'avvio o meno (non cambiando il nome, teoricamente il virus è debellato...)

Consiglio anche il download di questo.

http://www.siteadvisor.com/download

No, su HOME è normale, sono io che non avevo afferrato che avevi la home :) Fai pure così allora: ntrights.exe -u tuonomeutente +r SeDebugPrivilege
Gmer definisce quei servizi rootkit su tutti i pc.
La questione della chiave non me la so spiegare, potrebbe essere l'antivirus, ma la cosa va approfondita, magari cercando su google. Perchè dal resto non si evince altro che possa causare quel comportamento.
Il problema di regmon potrebbe essere dovuto al debug privilege, anche se dal messaggio di errore restituito non sembrerebbe. Casomai riavvia dopo aver settato il debug privilege.

FATTO
Regmon non parte :muro:
il tool di sophos non si lamenta più :D
GMER tra i servizi BOOT mi rileva Armada_Cleaner :confused: Forse impedisce la creazione della chiave AppInit_DLLs (ma questa chiave non serve a nessun altro?!?!?)

Ho provato ad installare sul mio XP Home SP2 (vedi qui http://www.astwinds.com/astuces/secpolxphome.html ) secpol.msc , perchè credo debba correggere MOLTI problemi di diritti.

Ad esempio, frugando fra le autorizzazioni di alcune chiavi del registro (anche usando un'utility sysinternals AccessEnum), ho trovato chiavi alle quali l'amministratore non può accedere ("HKEY_LOCAL_MACHINE\SECURITY\*" "Accesso negato.")
Oppure con permessi ad utenti (S-1-5-21.....) diversi da me.
Sulle stesse chiavi, in regedit, alla richiesta di autorizzazioni, mi compare un box con le varie testine degli utenti (system administrators etc); Ritrovo S-1-5-21..... affianco ad una testina appena tratteggiata ed un punto interrogativo ROSSO.
Ho seguito la procedura ho anche messo una dll inglese, ma sempre niente.
Non sò se il problema viene dalle lingue diverse dal SO o da ulteriori blocchi di diritti.

Microsoft Management Console
Nome:<Sconosciuto>
CLSID:{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}

Poi compare la struttura della consolle con, nella metà destra, cerchio rosso e croce bianca:
Creazione snap-in non riuscita
Qualcuno, se pensa che si possa riuscire, mi posta wsecedit.dll e secpol.msc ITALIANI? Ovvero, c'è un sistema per ripristinare i privilegi ai livelli standard in modo automatico (ci sono dei valori standard o default?)

Ho continuato qui perchè penso che queste alterazioni :mc: provengano dall'infezione e possano riscontrarsi amche negli altri. Se :banned: sbaglio avvisatemi che mi sposto (dove?)
Un salutone

FATTO
Regmon non parte :muro:
il tool di sophos non si lamenta più :D
GMER tra i servizi BOOT mi rileva Armada_Cleaner :confused: Forse impedisce la creazione della chiave AppInit_DLLs (ma questa chiave non serve a nessun altro?!?!?)

Ho provato ad installare sul mio XP Home SP2 (vedi qui http://www.astwinds.com/astuces/secpolxphome.html ) secpol.msc , perchè credo debba correggere MOLTI problemi di diritti.

Ad esempio, frugando fra le autorizzazioni di alcune chiavi del registro (anche usando un'utility sysinternals AccessEnum), ho trovato chiavi alle quali l'amministratore non può accedere ("HKEY_LOCAL_MACHINE\SECURITY\*" "Accesso negato.")
Oppure con permessi ad utenti (S-1-5-21.....) diversi da me.
Sulle stesse chiavi, in regedit, alla richiesta di autorizzazioni, mi compare un box con le varie testine degli utenti (system administrators etc); Ritrovo S-1-5-21..... affianco ad una testina appena tratteggiata ed un punto interrogativo ROSSO.
Ho seguito la procedura ho anche messo una dll inglese, ma sempre niente.
Non sò se il problema viene dalle lingue diverse dal SO o da ulteriori blocchi di diritti.

Microsoft Management Console
Nome:<Sconosciuto>
CLSID:{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}

Poi compare la struttura della consolle con, nella metà destra, cerchio rosso e croce bianca:
Creazione snap-in non riuscita
Qualcuno, se pensa che si possa riuscire, mi posta wsecedit.dll e secpol.msc ITALIANI? Ovvero, c'è un sistema per ripristinare i privilegi ai livelli standard in modo automatico (ci sono dei valori standard o default?)

Ho continuato qui perchè penso che queste alterazioni :mc: provengano dall'infezione e possano riscontrarsi amche negli altri. Se :banned: sbaglio avvisatemi che mi sposto (dove?)
Un salutone


Allora, la cosa curiosa rimane il regmon. Stai usando l'ultima versione? Non si sa mai.. Armada Cleaner ha a che fare con il tool di rimozione gromozon della Prevx, ma non so se sia incluso anche in altri prodotti che hai installato. Potrebbe essere benissimo come dici tu, magari andrebbe verificato se esso debba restare sempre caricato o se non sia rimasto in avvio automatico per errore. Per quanto riguarda le altre domande, e soprattutto l'installazione di secpol.msc su xp home, prova a chiedere nella sezione windows del forum. Io purtroppo non so aiutarti perchè non ho mai provato a fare tale operazione.

ciao... vi spiego ke mi è successo: praticamente, il mio pc andava strano, si blokkava,lento ecc ecc....... la sett scorsa faccio un antivirus e mi trova il linkoptimazer (se si scrive così),mi dice ke lo cancella e riavvio ma il pc nn va ankora bene allora ho provato cn altri 4 tra antivirus ed anti spy cn il "nulla" come risultato! poi guardo questo forum e decido di scaricare il software GROMOZON lo faccio partire,mi trova il file infetto e dopo poco fa 4/5 skermate di dos...........finisce e mi ritrovo cn il pc vuoto oltre a una ventina di programmi(avevo 40gb solo di film di cui nn si ha + traccia oltre al resto) e con un utente in +....... cosa devo fare????? helppppppppppppppppppppppp!!! grazie
p.s. il pc nn va ancora bene!! :-(((

FATTO
Regmon non parte :muro:
il tool di sophos non si lamenta più :D
GMER tra i servizi BOOT mi rileva Armada_Cleaner :confused: Forse impedisce la creazione della chiave AppInit_DLLs (ma questa chiave non serve a nessun altro?!?!?)

Ho provato ad installare sul mio XP Home SP2 (vedi qui http://www.astwinds.com/astuces/secpolxphome.html ) secpol.msc , perchè credo debba correggere MOLTI problemi di diritti.

Ad esempio, frugando fra le autorizzazioni di alcune chiavi del registro (anche usando un'utility sysinternals AccessEnum), ho trovato chiavi alle quali l'amministratore non può accedere ("HKEY_LOCAL_MACHINE\SECURITY\*" "Accesso negato.")
Oppure con permessi ad utenti (S-1-5-21.....) diversi da me.
Sulle stesse chiavi, in regedit, alla richiesta di autorizzazioni, mi compare un box con le varie testine degli utenti (system administrators etc); Ritrovo S-1-5-21..... affianco ad una testina appena tratteggiata ed un punto interrogativo ROSSO.
Ho seguito la procedura ho anche messo una dll inglese, ma sempre niente.
Non sò se il problema viene dalle lingue diverse dal SO o da ulteriori blocchi di diritti.

Microsoft Management Console
Nome:<Sconosciuto>
CLSID:{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}

Poi compare la struttura della consolle con, nella metà destra, cerchio rosso e croce bianca:
Creazione snap-in non riuscita
Qualcuno, se pensa che si possa riuscire, mi posta wsecedit.dll e secpol.msc ITALIANI? Ovvero, c'è un sistema per ripristinare i privilegi ai livelli standard in modo automatico (ci sono dei valori standard o default?)

Ho continuato qui perchè penso che queste alterazioni :mc: provengano dall'infezione e possano riscontrarsi amche negli altri. Se :banned: sbaglio avvisatemi che mi sposto (dove?)
Un salutone


In definitiva ora che problema hai?

ciao... vi spiego ke mi è successo: praticamente, il mio pc andava strano, si blokkava,lento ecc ecc....... la sett scorsa faccio un antivirus e mi trova il linkoptimazer (se si scrive così),mi dice ke lo cancella e riavvio ma il pc nn va ankora bene allora ho provato cn altri 4 tra antivirus ed anti spy cn il "nulla" come risultato! poi guardo questo forum e decido di scaricare il software GROMOZON lo faccio partire,mi trova il file infetto e dopo poco fa 4/5 skermate di dos...........finisce e mi ritrovo cn il pc vuoto oltre a una ventina di programmi(avevo 40gb solo di film di cui nn si ha + traccia oltre al resto) e con un utente in +....... cosa devo fare????? helppppppppppppppppppppppp!!! grazie
p.s. il pc nn va ancora bene!! :-(((

Come primo post non è male.
Ti consiglio per facilitare la lettura degli utenti che leggono di utilizzare il vocabolario italiano e non i kkk .... sett nn cn sk e varie abbreviazioni ......

Inoltre, nelle precedenti pagine c'è già una serie di aiuti per ovviare al tuo problema, quindi leggi, pensa e esegui i passi precedenti se hai problemi noi (almeno io) siamo qua a disposizione per aiutarti.

Ciao.

ok, provvederò ad usare il vocabolario italiano, scusate..... adesso mi rileggo tutte le pagine precedenti, spero di riuscirci, intanto grazie!!

Come primo post non è male.
Ti consiglio per facilitare la lettura degli utenti che leggono di utilizzare il vocabolario italiano e non i kkk .... sett nn cn sk e varie abbreviazioni ......

Inoltre, nelle precedenti pagine c'è già una serie di aiuti per ovviare al tuo problema, quindi leggi, pensa e esegui i passi precedenti se hai problemi noi (almeno io) siamo qua a disposizione per aiutarti.

Ciao.
ho provato ad eseguire services.mscd ed ho trovato il "servizio sporco" ma non riesco a cancellarlo ed il file a cui fa riferimento non c'è! in compenso l utente che si era creato,dopo averlo cancellato,non riappare più!
ho fatto anche la scansione con gmer ma non ci capisco nulla!
e volevo sapere una cosa ma se alla fine riuscissi ad aggiustare il guasto, ho possibilità di recuperare i dati che prima eran sul pc?? grazie

certo che puoi, la rimozione del LinkOptimizer è utile soprattutto perchè evita il format

per l'interpretazione del log gmer, postalo sul forum

certo che puoi, la rimozione del LinkOptimizer è utile soprattutto perchè evita il format

per l'interpretazione del log gmer, postalo sul forum

GMER 1.0.11.11384 - http://www.gmer.net
Rootkit 2006-09-28 14:59:22
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.11 ----

SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwClose
SSDT FF9A4E18 ZwConnectPort
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateProcessEx
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateSymbolicLinkObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDeleteValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwDuplicateObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwFlushKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwInitializeRegistry
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwLoadKey2
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwNotifyChangeKey
SSDT kl1.sys ZwOpenFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwOpenSection
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryMultipleValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQuerySystemInformation
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwQueryValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwReplaceKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwRestoreKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwResumeThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSaveKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetContextThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationFile
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetInformationProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetSecurityObject
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSetValueKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwSuspendThread
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwTerminateProcess
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwUnloadKey
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys ZwWriteVirtualMemory
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[284]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[285]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[286]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[287]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[288]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[289]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[290]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[291]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[292]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[293]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[294]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[295]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys SSDT[296]

Code \??\C:\WINDOWS\system32\drivers\klif.sys FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys IoIsOperationSynchronous

---- Devices - GMER 1.0.11 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 812F9808
Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 812F9808
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_CREATE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_CLOSE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_READ 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_WRITE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_FLUSH_BUFFERS 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_INTERNAL_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_SHUTDOWN 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_POWER 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_SYSTEM_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_PNP 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_CREATE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_CLOSE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_READ 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_WRITE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_FLUSH_BUFFERS 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_INTERNAL_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_SHUTDOWN 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_POWER 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_SYSTEM_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_PNP 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_CREATE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_CLOSE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_READ 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_WRITE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_FLUSH_BUFFERS 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_INTERNAL_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_SHUTDOWN 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_POWER 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_SYSTEM_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_PNP 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_CREATE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_CLOSE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_READ 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_WRITE 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_FLUSH_BUFFERS 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_INTERNAL_DEVICE_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_SHUTDOWN 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_POWER 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_SYSTEM_CONTROL 812F9EB0
Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_PNP 812F9EB0
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CREATE 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_READ 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_WRITE 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_FLUSH_BUFFERS 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_DEVICE_CONTROL 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_INTERNAL_DEVICE_CONTROL 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_SHUTDOWN 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CLEANUP 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_POWER 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_SYSTEM_CONTROL 812F90E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_PNP 812F90E8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLOSE FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_READ FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_WRITE FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FLUSH_BUFFERS FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CONTROL FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_INTERNAL_DEVICE_CONTROL FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SHUTDOWN FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_POWER FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SYSTEM_CONTROL FFA8A620
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP FFA8A620
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_NAMED_PIPE FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLOSE FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_READ FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_WRITE FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_INFORMATION FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_INFORMATION FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_EA FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_EA FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FLUSH_BUFFERS FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_VOLUME_INFORMATION FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_VOLUME_INFORMATION FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DIRECTORY_CONTROL FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_FILE_SYSTEM_CONTROL FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CONTROL FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_INTERNAL_DEVICE_CONTROL FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SHUTDOWN FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_LOCK_CONTROL FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CLEANUP FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_CREATE_MAILSLOT FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_SECURITY FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_SECURITY FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_POWER FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SYSTEM_CONTROL FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_DEVICE_CHANGE FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_QUERY_QUOTA FF9AF268
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_SET_QUOTA FF9AF268
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLOSE FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_READ FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_WRITE FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FLUSH_BUFFERS FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CONTROL FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_INTERNAL_DEVICE_CONTROL FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SHUTDOWN FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_POWER FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SYSTEM_CONTROL FFA8A620
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_PNP FFA8A620
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 IRP_MJ_INTERNAL_DEVICE_CONTROL [F96FBA6C] sfsync04.sys
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL [F96FBA6C] sfsync04.sys
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL [F96FBA6C] sfsync04.sys
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_INTERNAL_DEVICE_CONTROL [F96FBA6C] sfsync04.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CREATE FF9A21B0
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CLOSE FF9A21B0
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_DEVICE_CONTROL FF9A21B0
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_INTERNAL_DEVICE_CONTROL FF9A21B0
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_CLEANUP FF9A21B0
Device \Driver\NetBT \Device\NetBt_Wins_Export IRP_MJ_PNP FF9A21B0
Device \Driver\NetBT \Device\NetBT_Tcpip_{58147D04-410C-4737-80A4-38FA24CE1FD8} IRP_MJ_CREATE FF9A21B0
Device \Driver\NetBT \Device\NetBT_Tcpip_{58147D04-410C-4737-80A4-38FA24CE1FD8} IRP_MJ_CLOSE FF9A21B0
Device \Driver\NetBT \Device\NetBT_Tcpip_{58147D04-410C-4737-80A4-38FA24CE1FD8} IRP_MJ_DEVICE_CONTROL FF9A21B0
Device \Driver\NetBT \Device\NetBT_Tcpip_{58147D04-410C-4737-80A4-38FA24CE1FD8} IRP_MJ_INTERNAL_DEVICE_CONTROL FF9A21B0
Device \Driver\NetBT \Device\NetBT_Tcpip_{58147D04-410C-4737-80A4-38FA24CE1FD8} IRP_MJ_CLEANUP FF9A21B0
Device \Driver\NetBT \Device\NetBT_Tcpip_{58147D04-410C-4737-80A4-38FA24CE1FD8} IRP_MJ_PNP FF9A21B0
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CREATE FF9A21B0
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CLOSE FF9A21B0
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_DEVICE_CONTROL FF9A21B0
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_INTERNAL_DEVICE_CONTROL FF9A21B0
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_CLEANUP FF9A21B0
Device \Driver\NetBT \Device\NetbiosSmb IRP_MJ_PNP FF9A21B0
Device \Driver\00000104 \Device\0000004e IRP_MJ_POWER [F976FEA8] sptd.sys
Device \Driver\00000104 \Device\0000004e IRP_MJ_SYSTEM_CONTROL [F9783A70] sptd.sys
Device \Driver\00000104 \Device\0000004e IRP_MJ_PNP [F977C728] sptd.sys
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_CREATE 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_CLOSE 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_READ 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_WRITE 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_FLUSH_BUFFERS 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_DEVICE_CONTROL 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_INTERNAL_DEVICE_CONTROL 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_SHUTDOWN 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_POWER 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_SYSTEM_CONTROL 812F9A40
Device \Driver\Disk \Device\Harddisk0\DR0 IRP_MJ_PNP 812F9A40
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_NAMED_PIPE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLOSE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_READ FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_WRITE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_EA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_EA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FLUSH_BUFFERS FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_VOLUME_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_VOLUME_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DIRECTORY_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_FILE_SYSTEM_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_INTERNAL_DEVICE_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SHUTDOWN FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_LOCK_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CLEANUP FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_CREATE_MAILSLOT FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_SECURITY FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_SECURITY FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_POWER FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SYSTEM_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_DEVICE_CHANGE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_QUERY_QUOTA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_SET_QUOTA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_PNP FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_NAMED_PIPE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLOSE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_READ FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_WRITE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_EA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_EA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FLUSH_BUFFERS FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_VOLUME_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_VOLUME_INFORMATION FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DIRECTORY_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_FILE_SYSTEM_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_INTERNAL_DEVICE_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SHUTDOWN FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_LOCK_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CLEANUP FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_CREATE_MAILSLOT FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_SECURITY FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_SECURITY FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_POWER FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SYSTEM_CONTROL FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_DEVICE_CHANGE FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_QUERY_QUOTA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_SET_QUOTA FF99E9C0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_PNP FF99E9C0
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CREATE FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CREATE_NAMED_PIPE FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CLOSE FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_READ FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_WRITE FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_INFORMATION FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_SET_INFORMATION FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_FLUSH_BUFFERS FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_VOLUME_INFORMATION FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_DIRECTORY_CONTROL FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_FILE_SYSTEM_CONTROL FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_CLEANUP FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_QUERY_SECURITY FF9D1420
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_SET_SECURITY FF9D1420
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CREATE 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_READ 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_WRITE 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_FLUSH_BUFFERS 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_DEVICE_CONTROL 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_INTERNAL_DEVICE_CONTROL 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_SHUTDOWN 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_CLEANUP 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_POWER 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_SYSTEM_CONTROL 812F90E8
Device \Driver\Ftdisk \Device\FtControl IRP_MJ_PNP 812F90E8
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CREATE FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CLOSE FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_READ FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_WRITE FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_QUERY_INFORMATION FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_SET_INFORMATION FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_QUERY_VOLUME_INFORMATION FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_DIRECTORY_CONTROL FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_FILE_SYSTEM_CONTROL FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CLEANUP FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_CREATE_MAILSLOT FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_QUERY_SECURITY FF9D1A08
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_SET_SECURITY FF9D1A08
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_CREATE FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_CLOSE FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_DEVICE_CONTROL FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL [F96FBA6C] sfsync04.sys
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_POWER FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_SYSTEM_CONTROL FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 IRP_MJ_PNP FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_CREATE FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_CLOSE FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_DEVICE_CONTROL FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_INTERNAL_DEVICE_CONTROL [F96FBA6C] sfsync04.sys
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_POWER FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_SYSTEM_CONTROL FFA672A0
Device \Driver\dtscsi \Device\Scsi\dtscsi1 IRP_MJ_PNP FFA672A0
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CREATE 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLOSE 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_READ 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_INFORMATION 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SET_INFORMATION 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_VOLUME_INFORMATION 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DIRECTORY_CONTROL 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_FILE_SYSTEM_CONTROL 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DEVICE_CONTROL 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SHUTDOWN 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_LOCK_CONTROL 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLEANUP 8117C8D8
Device \FileSystem\Cdfs \Cdfs IRP_MJ_PNP 8117C8D8

---- Threads - GMER 1.0.11 ----

Thread 4:172 FFBD0F48
Thread 4:176 FFB0BA70
Thread 4:180 FFB0BA70
Thread 4:444 FFBD0F48
Thread 4:580 FFBD0F48

---- Processes - GMER 1.0.11 ----

Process C:\WINDOWS\service32.exe (*** hidden *** ) 588

---- Registry - GMER 1.0.11 ----

Reg \Registry\MACHINE\SOFTWARE\45CHL7AM1J
Reg \Registry\MACHINE\SOFTWARE\45CHL7AM1J@45CHL7AM1J 0x01 0x00 0x00 0x51 ...
Reg \Registry\MACHINE\SOFTWARE\45CHL7AM1J@45CHL7AM1J 0x01 0x00 0x00 0x51 ...

---- Files - GMER 1.0.11 ----

ADS ...

---- EOF - GMER 1.0.11 ----

GMER 1.0.11.11384 - http://www.gmer.net
Autostart 2006-09-28 15:02:12
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon@DLLName = C:\WINDOWS\system32\klogon.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AVP /*Kaspersky Anti-Virus 6.0*/@ = "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
SrvYrq /*SrvYrq*/@ = "C:\Programmi\File comuni\System\OWAf.exe" /*file not found*/
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@ApointC:\Programmi\Apoint2K\Apoint.exe = C:\Programmi\Apoint2K\Apoint.exe
@kav"C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" = "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
@ /*file not found*/ = /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WINDOWS\service32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@MSMSGS = "C:\Programmi\Messenger\msmsgs.exe" /background

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} /*iTunes*/C:\Programmi\iTunes\iTunesMiniPlayer.dll = C:\Programmi\iTunes\iTunesMiniPlayer.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll = C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll
@{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3} /*Immagini Logitech*/C:\Programmi\Logitech\Video\Namespc2.dll = C:\Programmi\Logitech\Video\Namespc2.dll
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E0BD38EB-C8EC-11D2-B274-B493B003B125} /*East-Tec Eraser Context Menu Shell Extension*/C:\PROGRA~1\EAST-T~1\ETCONT~1.DLL = C:\PROGRA~1\EAST-T~1\ETCONT~1.DLL
@{85E0B171-04FA-11D1-B7DA-00A0C90348D6} /*Web Anti-Virus*/C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll = C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
East-TecEraser@{E0BD38EB-C8EC-11D2-B274-B493B003B125} = C:\PROGRA~1\EAST-T~1\ETCONT~1.DLL
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
East-TecEraser@{E0BD38EB-C8EC-11D2-B274-B493B003B125} = C:\PROGRA~1\EAST-T~1\ETCONT~1.DLL
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx = C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
@{14D1A72D-8705-11D8-B120-0040F46CB696}C:\Documents and Settings\mm\92710219.dll /*file not found*/ = C:\Documents and Settings\mm\92710219.dll /*file not found*/

HKLM\Software\Microsoft\Internet Explorer\Plugins\Extension\.pdf@Location = C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main@Start Page = http://www.google.it/

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000002@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000003@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000004@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll
000000000005@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011@PackedCatalogItem = C:\Programmi\NetLimiter\nl_lsp.dll

---- EOF - GMER 1.0.11 ----

GMER 1.0.11.11384 - http://www.gmer.net
Autostart 2006-09-28 15:02:12
Windows 5.1.2600 Service Pack 2


HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@1 = C:\WINDOWS\service32.exe
---

Va tolto questo. Per eliminarlo puoi prima eliminare il processo corrispondente con gmer.exe (dentro processes lo selezioni e poi fai kill process). A quel punto service32.exe dovrebbe essere normalmente cancellabile. C'è anche una .dll che fa parte del malware, nella stessa cartella, ma il nome può cambiare. Comunque questa .dll dovrebbe essere eliminabile con i normali antivirus, una volta tolto l'.exe.

Va tolto questo. Per eliminarlo puoi prima eliminare il processo corrispondente con gmer.exe (dentro processes lo selezioni e poi fai kill process). A quel punto service32.exe dovrebbe essere normalmente cancellabile. C'è anche una .dll che fa parte del malware, nella stessa cartella, ma il nome può cambiare. Comunque questa .dll dovrebbe essere eliminabile con i normali antivirus, una volta tolto l'.exe.


e se non riesci a cancellare il file c'è un programma creato appositamente AGVPFIX.ZIP
da scaricare.

posso? è uscita recentemente la 1.5.0.7 di firefox... io usavo questo browser perchè bloccava il download automatico di virus, dialer e compagnia bella (tra cui li LinkOptimizer)...

oggi visitando un sito becco una delle classiche pagine tricolori che fanno riferimento a td8eau9td.com... mi incazzo ma penso... vabbè, firefox bloccherà il download avvertendomi con la solita schermata del file www.google.com.... e invece firefox scarica il virus senza dirmi nulla.... non fosse stato per avast, ora scommaterei col tool di rimozione... è successo anche ad altri?

per favore qualche comento su questo, anch'io ho firefox 1.5.0.7... posso stare tranquillo o devo preoccuparmi?

grazie
M_/_N

per favore qualche comento su questo, anch'io ho firefox 1.5.0.7... posso stare tranquillo o devo preoccuparmi?

grazie
M_/_N

Con internet non si può mai stare stranquilli. :O

Con internet non si può mai stare stranquilli. :O

si ok d'accordo, ma al di la' delle ovvieta', il problema posto da quell'utente riguardo a firefox mi ha fatto pensare: ero rimasto al fatto che con ff veniva richiesto se scaricare o meno il virus e che questa cosa non era aggirabile, ora sembra che anche con ff, non solo con internet explorer, alcuni software si installino senza il consenso esplicito dell'utente. e' cosi' o no? perche' se e' cosi' allora la sicurezza di ff viene messa in discussione. La cosa che mi stupisce e' che questo utente non ha avuto commenti, mentre la questoine mi pare rilevante.

M_/_N

si ok d'accordo, ma al di la' delle ovvieta', il problema posto da quell'utente riguardo a firefox mi ha fatto pensare: ero rimasto al fatto che con ff veniva richiesto se scaricare o meno il virus e che questa cosa non era aggirabile, ora sembra che anche con ff, non solo con internet explorer, alcuni software si installino senza il consenso esplicito dell'utente. e' cosi' o no? perche' se e' cosi' allora la sicurezza di ff viene messa in discussione. La cosa che mi stupisce e' che questo utente non ha avuto commenti, mentre la questoine mi pare rilevante.

M_/_N


Per scaricarlo potresti anche scaricarlo ma poi se non hai cambiato le impostazioni non prte l'esecuzione....

Per scaricarlo potresti anche scaricarlo ma poi se non hai cambiato le impostazioni non prte l'esecuzione....

1. di quali impostazioni parli?
2. ok, ma anche sul sito di ff la mozilla foundation vantava il discorso che l'utente per scaricare software DEVE obbligatoriamente premere il tasto OK (pressione consentita dopo un ritardo di 4 secondi)...
3. ah, ma aspetta... vuoi dire che il messaggio per scaricare www.google.com e' relativo a un download normale e non di una extension? (beh, si, di una extension non se ne farebbero niente a livello di danni)... quindi se io imposto ff per scaricare senza chiedere (ma e' possibile??) allora e' ovvio che sono scoperto... e' questo che vuoi dire?

M_/_N

1. di quali impostazioni parli?
2. ok, ma anche sul sito di ff la mozilla foundation vantava il discorso che l'utente per scaricare software DEVE obbligatoriamente premere il tasto OK (pressione consentita dopo un ritardo di 4 secondi)...
3. ah, ma aspetta... vuoi dire che il messaggio per scaricare www.google.com e' relativo a un download normale e non di una extension? (beh, si, di una extension non se ne farebbero niente a livello di danni)... quindi se io imposto ff per scaricare senza chiedere (ma e' possibile??) allora e' ovvio che sono scoperto... e' questo che vuoi dire?

M_/_N


Le estensioni sono pericolose, possono esserlo.

Prova a scaricare un file, e vedi cosa ti domanda

vai qua: http://www.filehippo.com/download_konfabulator/

http://www.filehippo.com/img/down3.gif
Download
Latest Version

..e clicca sulla freccia.

Scarica il file exe
poi su apri
a quel punto compare l'alert "se sei sicuro di aprire un file eseguibile"....

si si, ok. quindi quello che diceva l'utente che ho citato e' perfettamente normale... nulla di strano.

avevo pensato chissa' cosa :-)

M_/_N

Ciao a tutti !
Ho letto lo splendido lavoro di Eraser, ma purtroppo per me era gia' troppo tardi...
Premetto che ho Win XP SP1 e la patch di Microsoft KB912919 non si installa (forse bloccata dal trojan ?) poiche' mi appare una piccola finestra intitolata "KB912919 Setup Error" che dice: "Setup cannot update your Windows XP files because the language installed on your system is different from the update language."
Inizialmente RootkitRevealer aveva dato questi risultati:
HKLM\S-1-5-21-507921405-813497703-725345543-1003\RemoteAccess\InternetProfile 09/07/06 12.06 13 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 22/08/06 17.07 66 bytes Windows API length not consistent with raw hive data.
C:\Programmi\Norton AntiVirus\Savrt\0826NAV~.TMP 30/09/06 0.44 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\drivers\etc\lmhosts 30/09/06 0.41 0 bytes Hidden from Windows API.
C:\WINDOWS\system32\lpt9.eua 30/09/06 0.26 126.84 KB Hidden from Windows API.
C:\WINDOWS\wwgwi1.dll 20/08/06 20.56 63.16 KB Hidden from Windows API.
C:\WINDOWS\wwgwi1.upd 22/08/06 10.54 61.37 KB Hidden from Windows API.

Ho scaricato allora il tool di rimozione prevx ma inizialmente diceva Gromozon rootkit not found. Il tool ha continuato comunque a cercare altre componenti ed ha individuato solo il file wwgwi1.dll e lo ha rimosso (non ricordo se e' stato necessario il riavvio x la rimozione...).

Purtroppo come un vero deficiente ho riavviato il PC...
Ho rifatto la scansione con Rootkit Revealer e mi dava risulatati quasi totalmente diversi e comunque senza trovare + (credo) nulla di anomalo, ecco il primo risultato di RootkitRevealer dopo l'utilizzo del tool di rimozione Gromozon di Prevx e il riavvio:
HKLM\S-1-5-21-507921405-813497703-725345543-1003\RemoteAccess\InternetProfile 09/07/06 12.06 13 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 01/10/06 9.30 80 bytes Data mismatch between Windows API and raw hive data.
C:\Programmi\Norton AntiVirus\Savrt\0279NAV~.TMP 30/09/06 22.38 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\Norton AntiVirus\Savrt\0392NAV~.TMP 01/10/06 9.36 0 bytes Hidden from Windows API.
C:\Programmi\Norton AntiVirus\Savrt\0784NAV~.TMP 01/10/06 9.49 0 bytes Hidden from Windows API.
C:\Programmi\Norton AntiVirus\Savrt\0940NAV~.TMP 30/09/06 22.21 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 01/10/06 9.28 64.00 KB Visible in Windows API, but not in MFT or directory index.
____________________________________________________________

Riavvio il PC ed ecco un nuovo differente log di RootkitRevealer:
HKLM\S-1-5-21-507921405-813497703-725345543-1003\RemoteAccess\InternetProfile 09/07/06 12.06 13 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 01/10/06 9.30 80 bytes Data mismatch between Windows API and raw hive data.
C:\Programmi\Norton AntiVirus\Savrt\0279NAV~.TMP 30/09/06 22.38 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\Norton AntiVirus\Savrt\0392NAV~.TMP 01/10/06 9.36 0 bytes Hidden from Windows API.
C:\Programmi\Norton AntiVirus\Savrt\0784NAV~.TMP 01/10/06 9.49 0 bytes Hidden from Windows API.
C:\Programmi\Norton AntiVirus\Savrt\0940NAV~.TMP 30/09/06 22.21 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 01/10/06 9.28 64.00 KB Visible in Windows API, but not in MFT or directory index.
______________________________________________________________
Rifaccio l'operazione dopo un nuovo riavvio di Win XP ed ecco il nuovo log di RootkitRevealer:
HKLM\S-1-5-21-507921405-813497703-725345543-1003\RemoteAccess\InternetProfile 09/07/06 12.06 13 bytes Data mismatch between Windows API and raw hive data.
C:\Programmi\Norton AntiVirus\Savrt\0392NAV~.TMP 01/10/06 9.54 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\Norton AntiVirus\Savrt\0395NAV~.TMP 01/10/06 10.08 0 bytes Hidden from Windows API.
C:\Programmi\Norton AntiVirus\Savrt\0784NAV~.TMP 01/10/06 9.49 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Programmi\Norton AntiVirus\Savrt\0849NAV~.TMP 01/10/06 10.21 0 bytes Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 01/10/06 10.00 64.00 KB Visible in Windows API, but not in MFT or directory index.
______________________________________________________________
Nel frattempo mi accorgo che in C: e' presente una cartella di nome $WIN_NT$.~BT (ma nessun file interno ad essa sembra infetto... contiene anche una cartella denominata system32....) e sempre in C: uno strano file "_cleaned.tmp" provo ad eliminarlo ma e' bloccato, addirittura anche in safe mode. Ho aggiornato Norton AV2006 e dopo aver cliccato col tasto destro del mouse sul file _cleaned.tmp, Norton l'ha rilevato e mi ha chiesto di riavviare per poterlo rimuovere...
Una volta rimosso _cleaned.tmp, Norton ha scoperto anche SonyJet.exe nella cartella \Windows\System32, anche questo bloccato, quindi stessa operazione (riavvio e rimozione riuscita...).

Ho poi utilizzatto CCleaner e dato una ripulita a tutto...

Nonostante cio' quando la connessione e' attiva, Zone Alarm Pro mi informa che A Generic Host Process For Win32 Services cerca di connettersi a Internet 255.255.255.255:DHCP...

Se nego l'accesso navigo tranquillamente senza problemi, anche se spesso ricevo attacchi di livello medio soprattutto sulle porte TCP 4662 e UDP 4672 da svariati indirizzi IP...

Se pero' consento l'accesso per la connessione a Generic Host Processor for Win32 Services 255.255.255.255:DHCP, dopo qualche minuto Zone Alarm mi informa che A Generic Host Process For Win32 Services sta cercando di agire come server )Applicazione: svchost.exe - IP di origine 0.0.0.0:Port 1026). Se consento anche questo dopo un po' il firewall mi blocca una intrusione tipo questa: Il firewall ha bloccato l'accesso al computer
(UDP Port 1026) da 202.97.238.204 (UDP Port 53586)
Programma: Generic Host Process for Win32

Se fatto cio' chiudo la connessione e mi riconnetto (con SVCHOST in ascolto sulla porta 1026) gli attacchi sulle porte TCP 4662 e UDP 4672 diventano incredibilmente numerosi (almeno 2 al secondo!!!...)

Devo precisare che prima di usare il tool Prevx, prima di aggiornare Java runtime..., prima di eliminare "_cleaned.tmp (in c:)" e SonyJet.exe (in system32) e prima di usare CCleaner, Svchost tentava di connettersi all'indirizzo 239.255.255.250:Port 1900,
...ora invece questo non SEMBRA piu' succedere, in ogni caso ad ogni riavvio del pc e connessione avviata Zone Alarm continua ad avvisarmi che "A Generic Host Process For Win32 Services cerca di connettersi a Internet 255.255.255.255:DHCP " (E' normale ?)

Ho poi sospettato che qualche malware modificasse qualcosa in RootkitRevealer, altrimenti non si spiegherebbe come mai i risultati di questo tool anti-rootkit cambiano così spesso, ecco l'ultimo log di RootritRevealer:
HKLM\S-1-5-21-507921405-813497703-725345543-1003\RemoteAccess\InternetProfile 09/07/06 12.06 13 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ParseAutoexec 01/10/06 16.18 5 bytes Data mismatch between Windows API and raw hive data.
C:\Programmi\Norton AntiVirus\Savrt\0162NAV~.TMP 01/10/06 16.40 0 bytes Hidden from Windows API.

Sono sicuro che queste voci cambieranno nuovamente al prossimo riavvio o cmq scompariranno :-(....


Ecco una scansione con HiJackThis che mi trova un certo file MH.exe collegato in qualche modo a Sysinternals.com

O23 - Service: MH - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\MH.exe

...Ovviamente fatta una ricerca del file con la funzione standard di Windows il file MH.exe non viene rilevato....

Ecco il log Hijackthis completo:

Logfile of HijackThis v1.99.1
Scan saved at 8.03.02, on 02/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\PestPatrol\PPControl.exe
C:\Programmi\PestPatrol\PPMemCheck.exe
C:\Programmi\PestPatrol\CookiePatrol.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\inKline Global\PC Booster\PCBooster.exe
C:\WINDOWS\TPPALDR.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\FILECO~1\SYMANT~1\SECURI~1\NSCSRVCE.EXE
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Downloads\test23.exe (NESSUN PROBLEMA, test23.exe e' HIJACKTHIS CHE HO RINOMINATO...)
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {B96BEF41-A0C5-22F8-1B13-1F07E91FF16F} - (no file)
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [QuickTime Task] "G:\-ARCHIVIO-\ARCHIVIO PROGRAMMI\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmi\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmi\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmi\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PC Booster] C:\Programmi\inKline Global\PC Booster\PCBooster.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152448856417
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152627447263
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MH - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\MH.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: SecSqd - Unknown owner - C:\Programmi\File comuni\System\esK.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ho anche notato che oltre alla patch di Microsoft non si installa nemmeno PREVX1 pur avendo disattivato tutti gli anti-virus (NOD32 e NAV 2006) e gli anti spyware...

Ho fatto una scansione online con Bitdefender e Kaspersky, ma niente...

Qualcuno puo' aiutarmi ?

*****AGGIORNAMENTO*****
Ho notato che a connessione avvenuta ricevo attacchi da svariati IP tutti diretti sulla stessa porta, nell'ultimo caso sulla 27673 UDP ma anche TCP...
Come e' possibile che una serie differente di IP (almeno 40 in 5 minuti) puntino sulla stessa porta ?
E' possibile che svchost o un altro processo comunichi all'esterno il mio IP (dinamico) e la porta/e da attaccare ?
In minima parte veniva attaccata anche la porta 1026 UDP e la 1027 UDP.
La 1026 e' guardacaso proprio quella su cui svchost rimaneva in ascolto quando abilitavo zone alarm a farlo agire come server...
Intanto scrivo a Prevx x capire come mai Prevx1 non puo' essere attivato dopo l'installazione... Ciao

Premetto che ho Win XP SP1 e la patch di Microsoft KB912919 non si installa


bèh la partenza sarebbe installare xp2 e tutto il resto ;)


però ....

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {B96BEF41-A0C5-22F8-1B13-1F07E91FF16F} - (no file)
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [QuickTime Task] "G:\-ARCHIVIO-\ARCHIVIO PROGRAMMI\Quick Time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmi\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmi\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmi\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PC Booster] C:\Programmi\inKline Global\PC Booster\PCBooster.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/pa...can_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/res...can8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windows...b?1152448856417
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microso...b?1152627447263
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MH - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\MH.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: SecSqd - Unknown owner - C:\Programmi\File comuni\System\esK.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

elimina tutto quello che non ti serve e che non è necessario al sistema. vedo molte voci.... sarebbe interessante che tu ti creassi un WIN su USB, con Clam antivirus ad esempio ... per un scansione del HD.

Ciao groot, ti ringrazio. La penna usb che ho a disposizione e' troppo piccola per contenere windows e non posso passare a win SP2 in quanto si tratta di un vecchio PC che mi e' stato venduto con licenza del sistema operativo di qualche mese... Ora e' scaduta e non mi conviene rinnovarla per l'uso che ne faccio..... Sul PC con Win XP Service pack 2 in effetti non ho mai avuto problemi... Ciao e grazie ancora !!! ;-)

@schumi

Ti dò alcune risposte generiche al tuo dettagliato post, non tratterò punto per punto..
Partiamo da rootkitrevealer. Per come è fatto quel programma, non tutti i risultati che fornisce sono da collegarsi obbligatoriamente a rootkit. Rootkittrev infatti segnala la presenza di incongruenze nel sistema che possono indicare attività di rootkit, ma possono altrettanto essere dovute ad operazioni che avvengono durante la scansione, dovute al lecito funzionamento di qualche applicazione, o del sistema operativo stesso. Ovviamente da scansione a scansione le operazioni rilevate possono variare, e per questo ottieni risultati sempre diversi.

Per quanto riguarda le connessioni che ricevi: quelle sulle porte 4662 e 4672 sono dovute ad emule: ti ritrovi un ip che prima di te qualcuno stava utilizzando con emule e i clienti cercano di ricontattarlo. Quelle sulla 1026 sono dovute probabilmente a messenger spam, quei messaggi pubblicitari che ti ritrovi automaticamente sul desktop in una finestra con il solo pulsante ok per chiuderla. In generale non mi sembra ci sia niente di particolarmente sospetto.

Il file legato a sysinternals è il servizio di cui fa uso rootkitrevealer per funzionare: di norma deve essere presente solo mentre il programma è in esecuzione, se rimane anche dopo sarà rimasto per errore.

Il rootkit all'inizio lo avevi veramente, ma il programma della prevx per Gromozon dovrebbe averlo eliminato.

Spero di averti chiarito un pò di dubbi.. ciao!!

Grazie 1000 bReAkDoWn !!!
Mi hai davvero chiarito molti dubbi e sono molto + tranquillo...

Volevo solo dire che sulla porta 1026 ricevo gli attacchi con messenger disattivato e senza alcun web browser aperto....

Per le porte 4662 e 4672 e' chiarissimo, ma per gli attacchi ricevuti da circa 40 IP differenti sulla stessa porta 27673 UDP e TCP ? Come e' possibile che tutti questi 40 e passa indirizzi IP puntassero sulla mia porta UDP 27673 e TCP 27673 ? Potrebbe essere anche che qualcuno abbia utilizzato il mio IP con emule con la porta UDP e/o TCP 27673 anziche' la classica 4662 ?

E' possibile che ci sia qualche processo che comunica il mio IP ed eventualmente una determinata porta da attaccare ?

Ciao e grazie ancora !!

Grazie 1000 bReAkDoWn !!!
Mi hai davvero chiarito molti dubbi e sono molto + tranquillo...

Volevo solo dire che sulla porta 1026 ricevo gli attacchi con messenger disattivato e senza alcun web browser aperto....

Per le porte 4662 e 4672 e' chiarissimo, ma per gli attacchi ricevuti da circa 40 IP differenti sulla stessa porta 27673 UDP e TCP ? Come e' possibile che tutti questi 40 e passa indirizzi IP puntassero sulla mia porta UDP 27673 e TCP 27673 ? Potrebbe essere anche che qualcuno abbia utilizzato il mio IP con emule con la porta UDP e/o TCP 27673 anziche' la classica 4662 ?

E' possibile che ci sia qualche processo che comunica il mio IP ed eventualmente una determinata porta da attaccare ?

Ciao e grazie ancora !!

emule può fare richieste su più porte, in ogni caso.

Grazie 1000 bReAkDoWn !!!
Mi hai davvero chiarito molti dubbi e sono molto + tranquillo...

Volevo solo dire che sulla porta 1026 ricevo gli attacchi con messenger disattivato e senza alcun web browser aperto....

Per le porte 4662 e 4672 e' chiarissimo, ma per gli attacchi ricevuti da circa 40 IP differenti sulla stessa porta 27673 UDP e TCP ? Come e' possibile che tutti questi 40 e passa indirizzi IP puntassero sulla mia porta UDP 27673 e TCP 27673 ? Potrebbe essere anche che qualcuno abbia utilizzato il mio IP con emule con la porta UDP e/o TCP 27673 anziche' la classica 4662 ?

E' possibile che ci sia qualche processo che comunica il mio IP ed eventualmente una determinata porta da attaccare ?

Ciao e grazie ancora !!

Per messenger non intendo il programma messenger per chattare e comunicare, ma intendo un servizio interno di windows che mostra dei messaggi direttamente sul desktop. Chi lancia questi messaggi lo fa su grandi intervalli di indirizzi ip, fra cui quelli del tuo provider. Così tu ricevi il tentativo di recapitare il messaggio indipendentemente dalle applicazioni che puoi avere aperte sul pc. Poi se non hai firewall che lo bloccano e se il servizio messenger è attivo, vedrai il messaggio vero e proprio comparire sul desktop. Altrimenti non vedrai niente, ma il tentativo di connessione al tuo pc arriverà comunque e verrà intercettato dal firewall.

Come ti diceva anche groot, è possibile che qualcuno abbia usato emule con porte non standard, questo potrebbe spiegare il così alto numero di connessioni.

Quello che dici tu, cioè che un trojan apra delle porte a cui connettersi, è possibile, ma nel tuo caso mi pare molto improbabile. Non ci sono sintomi evidenti.

Ciao!

Grazie bReAkDoWn, Grazie Groot ! Allora dovrebbe essere tutto OK ! Perfetto !
L'unico problema rimane Prevx1 che non si attiva dopo l'installazione e la patch di Microsoft che non si installa. Spero che il supporto di Prevx mi risponda presto..
Per Microsoft ci rinuncio, non credo mi risponderanno...

Ciao !!

In minima parte veniva attaccata anche la porta 1026 UDP e la 1027 UDP.
La 1026 e' guardacaso proprio quella su cui svchost rimaneva in ascolto quando abilitavo zone alarm a farlo agire come server...
Intanto scrivo a Prevx x capire come mai Prevx1 non puo' essere attivato dopo l'installazione... Ciao

Hai fatto un po' di casino, dal log di Hijackthis si evince che tu abbia installato nel tuo pc il Nod32, il Norton Internet Security e pure Zone alarm o sbaglio? Mai installare piu' versioni di un antivirus su un'installazione del sistema operativo, il sistema si puo' piantare. Poi, se non applichi tutti gli aggiornamenti (ma anche se li applichi, questo e' il bello della microsoft) di protezione, tutti i firewall del mondo (a parte quelli hardware) non ti serviranno a nulla, se il sistema non e' patchato, virus come il sasser ecc. entrano al volo.

Vai qui:

http://it.trendmicro-europe.com/global/file_downloads/common/pattern/opr/lpt811.zip

scaricalo e scompattalo in una cartella e poi nella cartella creata, scaricaci quest'altro file:

http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com

vai in modalita' provvisoria e fai una scansione completa, i virus che hai dovrebbe toglierli, prima pero' disabilita il "ripristino configurazione di sistema", scarica pure il Gmer e Icesword che ti consentono di rimuovere file (o solo identificarli) che normalmente Windows ed altri applicativi specifici non riescono a cancellare, come i servizi fittizi che crea il link optimizer/Gromozon.

byezzz

Ciao groot, ti ringrazio. La penna usb che ho a disposizione e' troppo piccola per contenere windows e non posso passare a win SP2 in quanto si tratta di un vecchio PC che mi e' stato venduto con licenza del sistema operativo di qualche mese... Ora e' scaduta e non mi conviene rinnovarla per l'uso che ne faccio..... Sul PC con Win XP Service pack 2 in effetti non ho mai avuto problemi... Ciao e grazie ancora !!! ;-)

Questo cosa significa?? :O

CIOE?

Ciao raga, ho usato il programmino però ho ancora il file _cleaned.tmp e non riesco a rimuoverlo... come faccio?

I miei log:

GMER 1.0.11.11390 - http://www.gmer.net
Rootkit 2006-10-04 13:53:40
Windows 5.0.2195 Service Pack 4


---- System - GMER 1.0.11 ----

SSDT a347bus.sys ZwClose
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwConnectPort
SSDT a347bus.sys ZwCreateKey
SSDT a347bus.sys ZwCreatePagingFile
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwCreatePort
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwCreateSection
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwCreateThread
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwDeleteKey
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwDeleteValueKey
SSDT a347bus.sys ZwEnumerateKey
SSDT a347bus.sys ZwEnumerateValueKey
SSDT a347bus.sys ZwOpenFile
SSDT a347bus.sys ZwOpenKey
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwOpenProcess
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwOpenSection
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwOpenThread
SSDT a347bus.sys ZwQueryKey
SSDT a347bus.sys ZwQueryValueKey
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwSetContextThread
SSDT a347bus.sys ZwSetSystemPowerState
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwSetValueKey
SSDT \SystemRoot\System32\DRIVERS\cmdmon.sys ZwTerminateProcess

---- Devices - GMER 1.0.11 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 85D97770
Device \FileSystem\Rdbss \Device\FsWrap IRP_MJ_READ 84E9D950
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE_NAMED_PIPE 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLOSE 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_READ 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_WRITE 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_INFORMATION 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_INFORMATION 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_EA 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_EA 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FLUSH_BUFFERS 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_VOLUME_INFORMATION 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_VOLUME_INFORMATION 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DIRECTORY_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FILE_SYSTEM_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_INTERNAL_DEVICE_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SHUTDOWN 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_LOCK_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLEANUP 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE_MAILSLOT 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_SECURITY 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_SECURITY 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_POWER 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SYSTEM_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CHANGE 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_QUOTA 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_QUOTA 85AFE848
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP 85AFE848
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_CREATE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_CREATE_NAMED_PIPE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_CLOSE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_READ 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_WRITE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_QUERY_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_SET_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_QUERY_EA 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_SET_EA 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_FLUSH_BUFFERS 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_QUERY_VOLUME_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_SET_VOLUME_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_DIRECTORY_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_FILE_SYSTEM_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_DEVICE_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_INTERNAL_DEVICE_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_SHUTDOWN 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_LOCK_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_CLEANUP 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_CREATE_MAILSLOT 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_QUERY_SECURITY 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_SET_SECURITY 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_POWER 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_SYSTEM_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_DEVICE_CHANGE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_QUERY_QUOTA 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_SET_QUOTA 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 IRP_MJ_PNP 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE_NAMED_PIPE 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLOSE 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_READ 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_WRITE 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_EA 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_EA 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_FLUSH_BUFFERS 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_VOLUME_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_VOLUME_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DIRECTORY_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_FILE_SYSTEM_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SHUTDOWN 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_LOCK_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLEANUP 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE_MAILSLOT 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_SECURITY 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_SECURITY 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_POWER 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SYSTEM_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CHANGE 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_QUOTA 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_QUOTA 85AFF568
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_PNP 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE_NAMED_PIPE 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLOSE 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_READ 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_WRITE 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_EA 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_EA 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_FLUSH_BUFFERS 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_VOLUME_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_VOLUME_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DIRECTORY_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_FILE_SYSTEM_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SHUTDOWN 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_LOCK_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLEANUP 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE_MAILSLOT 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_SECURITY 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_SECURITY 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_POWER 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SYSTEM_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CHANGE 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_QUOTA 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_QUOTA 85AFF568
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_PNP 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_CREATE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_CREATE_NAMED_PIPE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_CLOSE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_READ 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_WRITE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_QUERY_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_SET_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_QUERY_EA 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_SET_EA 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_FLUSH_BUFFERS 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_QUERY_VOLUME_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_SET_VOLUME_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_DIRECTORY_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_FILE_SYSTEM_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_DEVICE_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_INTERNAL_DEVICE_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_SHUTDOWN 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_LOCK_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_CLEANUP 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_CREATE_MAILSLOT 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_QUERY_SECURITY 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_SET_SECURITY 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_POWER 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_SYSTEM_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_DEVICE_CHANGE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_QUERY_QUOTA 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_SET_QUOTA 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-c IRP_MJ_PNP 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_CREATE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_CREATE_NAMED_PIPE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_CLOSE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_READ 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_WRITE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_QUERY_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_SET_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_QUERY_EA 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_SET_EA 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_FLUSH_BUFFERS 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_QUERY_VOLUME_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_SET_VOLUME_INFORMATION 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_DIRECTORY_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_FILE_SYSTEM_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_DEVICE_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_INTERNAL_DEVICE_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_SHUTDOWN 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_LOCK_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_CLEANUP 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_CREATE_MAILSLOT 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_QUERY_SECURITY 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_SET_SECURITY 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_POWER 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_SYSTEM_CONTROL 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_DEVICE_CHANGE 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_QUERY_QUOTA 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_SET_QUOTA 85AFF568
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-14 IRP_MJ_PNP 85AFF568
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE_NAMED_PIPE 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLOSE 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_READ 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_WRITE 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_INFORMATION 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_INFORMATION 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_EA 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_EA 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FLUSH_BUFFERS 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_VOLUME_INFORMATION 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_VOLUME_INFORMATION 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DIRECTORY_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FILE_SYSTEM_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_INTERNAL_DEVICE_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SHUTDOWN 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_LOCK_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLEANUP 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE_MAILSLOT 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_SECURITY 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_SECURITY 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_POWER 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SYSTEM_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CHANGE 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_QUOTA 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_QUOTA 85AFE848
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_PNP 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CREATE 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CREATE_NAMED_PIPE 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CLOSE 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_READ 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_WRITE 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_INFORMATION 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_INFORMATION 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_EA 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_EA 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_FLUSH_BUFFERS 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_VOLUME_INFORMATION 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_VOLUME_INFORMATION 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_DIRECTORY_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_FILE_SYSTEM_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_DEVICE_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_INTERNAL_DEVICE_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SHUTDOWN 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_LOCK_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CLEANUP 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CREATE_MAILSLOT 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_SECURITY 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_SECURITY 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_POWER 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SYSTEM_CONTROL 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_DEVICE_CHANGE 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_QUOTA 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_QUOTA 85AFE848
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_PNP 85AFE848
Device \FileSystem\Srv \Device\LanmanServer IRP_MJ_READ 84C7ADF0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver IRP_MJ_READ 84D9FFB0
Device \FileSystem\MRxSmb \Device\LanmanRedirector IRP_MJ_READ 84D9FFB0
Device \FileSystem\Npfs \Device\NamedPipe IRP_MJ_READ 84E65770
Device \FileSystem\Msfs \Device\Mailslot IRP_MJ_READ 84E68790
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CREATE 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CREATE_NAMED_PIPE 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CLOSE 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_READ 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_WRITE 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_INFORMATION 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_INFORMATION 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_EA 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_EA 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_FLUSH_BUFFERS 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_VOLUME_INFORMATION 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_VOLUME_INFORMATION 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_DIRECTORY_CONTROL 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_FILE_SYSTEM_CONTROL 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_DEVICE_CONTROL 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_INTERNAL_DEVICE_CONTROL 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SHUTDOWN 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_LOCK_CONTROL 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CLEANUP 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_CREATE_MAILSLOT 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_SECURITY 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_SECURITY 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_POWER 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SYSTEM_CONTROL 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_DEVICE_CHANGE 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_QUERY_QUOTA 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_SET_QUOTA 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1 IRP_MJ_PNP 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_CREATE 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_CREATE_NAMED_PIPE 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_CLOSE 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_READ 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_WRITE 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_QUERY_INFORMATION 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SET_INFORMATION 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_QUERY_EA 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SET_EA 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_FLUSH_BUFFERS 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_QUERY_VOLUME_INFORMATION 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SET_VOLUME_INFORMATION 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_DIRECTORY_CONTROL 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_FILE_SYSTEM_CONTROL 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_DEVICE_CONTROL 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SHUTDOWN 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_LOCK_CONTROL 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_CLEANUP 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_CREATE_MAILSLOT 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_QUERY_SECURITY 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SET_SECURITY 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_POWER 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SYSTEM_CONTROL 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_DEVICE_CHANGE 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_QUERY_QUOTA 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_SET_QUOTA 85A3F3C8
Device \Driver\a347scsi \Device\Scsi\a347scsi1Port3Path0Target0Lun0 IRP_MJ_PNP 85A3F3C8
Device \FileSystem\Fastfat \Fat IRP_MJ_READ 85CB4130
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer IRP_MJ_READ 84E9D710
Device \FileSystem\Fs_Rec \FileSystem\FatRecognizer IRP_MJ_READ 84E9D710
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer IRP_MJ_READ 84E9D710
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer IRP_MJ_READ 84E9D710
Device \FileSystem\Cdfs \Cdfs IRP_MJ_READ 848CDC70

---- Modules - GMER 1.0.11 ----

Module _________ BFF5B000

---- Files - GMER 1.0.11 ----

ADS H:\Documenti\Immagini\Alboz.bmp:Q30lsldxJoudresxAaaqpcawXc
ADS H:\Documenti\Immagini\Alboz.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS H:\Documenti\Immagini\dolittle.bmp:Q30lsldxJoudresxAaaqpcawXc
ADS H:\Documenti\Immagini\dolittle.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS H:\Documenti\Immagini\dolittle_1.bmp:Q30lsldxJoudresxAaaqpcawXc
ADS H:\Documenti\Immagini\dolittle_1.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS H:\Documenti\Immagini\dolittle_1t.bmp:Q30lsldxJoudresxAaaqpcawXc
ADS H:\Documenti\Immagini\dolittle_1t.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS H:\Documenti\Immagini\dolittle_2t.bmp:Q30lsldxJoudresxAaaqpcawXc
ADS H:\Documenti\Immagini\dolittle_2t.bmp:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS H:\Documenti\Immagini\Esempio.jpg:Q30lsldxJoudresxAaaqpcawXc
ADS ...

---- EOF - GMER 1.0.11 ----

GMER 1.0.11.11390 - http://www.gmer.net
Autostart 2006-10-04 13:54:16
Windows 5.0.2195 Service Pack 4


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = D:\WINNT\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ >>>
AtiExtEvent@DLLName = Ati2evxx.dll
wzcnotif@DLLName = wzcdlg.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AntiVirScheduler /*AntiVir Scheduler*/@ = D:\Programmi\AntiVir PersonalEdition Classic\sched.exe
AntiVirService /*AntiVir PersonalEdition Classic Service*/@ = D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
Ati HotKey Poller@ = %SystemRoot%\system32\Ati2evxx.exe
ATI Smart /*ATI Smart*/@ = D:\WINNT\system32\ati2sgag.exe
btwdins /*Bluetooth Service*/@ = D:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
CmdAgent /*Comodo Application Agent*/@ = D:\Programmi\Comodo\Firewall\cmdagent.exe
Diskeeper /*Diskeeper*/@ = D:\Programmi\Executive Software\Diskeeper\DkService.exe
GhostStartService /*GhostStartService*/@ = D:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
PREVXAgent /*Prevx Agent*/@ = "D:\Programmi\Prevx1\PXAgent.exe" -f
RemoteRegistry /*Servizio Registro di sistema remoto*/@ = %SystemRoot%\system32\regsvc.exe
Schedule /*Utilità di pianificazione*/@ = %SystemRoot%\system32\MSTask.exe
SiSWLSvc /*SiS WirelessLan Service*/@ = D:\Programmi\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.00\SiSWLSvc.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
StiSvc /*Still Image Service*/@ = %systemroot%\system32\stisvc.exe
SymWSC /*SymWMI Service*/@ = D:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
UpdNwo /*UpdNwo*/@ = "D:\Programmi\File comuni\System\yLSpTG.exe" /*file not found*/
WinMgmt /*Strumentazione gestione Windows*/@ = %SystemRoot%\System32\WBEM\WinMgmt.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@Synchronization Managermobsync.exe /logon = mobsync.exe /logon
@QuickTime Task"D:\Programmi\QuickTime\qttask.exe" -atboottime = "D:\Programmi\QuickTime\qttask.exe" -atboottime
@GhostStartTrayAppD:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe = D:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
@NeroFilterCheckD:\WINNT\system32\NeroCheck.exe = D:\WINNT\system32\NeroCheck.exe
@HGTXPEID:\WINNT\system32\FirstReboot.exe = D:\WINNT\system32\FirstReboot.exe
@SoundFusionRunDll32 hercplgs.cpl,BootEntryPoint = RunDll32 hercplgs.cpl,BootEntryPoint
@SSC_UserPromptD:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe = D:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
@hppwrsavD:\PROGRAMMI\SCANJET\PrecisionScanLT\hppwrsav.exe = D:\PROGRAMMI\SCANJET\PrecisionScanLT\hppwrsav.exe
@SunJavaUpdateSchedD:\Programmi\Java\jre1.5.0_06\bin\jusched.exe = D:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
@PCSuiteTrayApplicationD:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray /*file not found*/ = D:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray /*file not found*/
@DataLayerD:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe = D:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
@MessengerPlus3"D:\Programmi\MessengerPlus! 3\MsgPlus.exe" = "D:\Programmi\MessengerPlus! 3\MsgPlus.exe"
@avgnt"D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min = "D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
@ATICCC"D:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay = "D:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
@EEventManagerD:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe = D:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
@Comodo Firewall"D:\Programmi\Comodo\Firewall\CPF.exe" /background = "D:\Programmi\Comodo\Firewall\CPF.exe" /background
@PrevxOne"D:\Programmi\Prevx1\PXConsole.exe" = "D:\Programmi\Prevx1\PXConsole.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@internat.exeinternat.exe = internat.exe
@NBJ"D:\Programmi\Ahead\Nero BackItUp\nbj.exe" = "D:\Programmi\Ahead\Nero BackItUp\nbj.exe"
@MessengerPlus3"D:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart = "D:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
@Skype"D:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized = "D:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
@msnmsgr"D:\Programmi\MSN Messenger\msnmsgr.exe" /background = "D:\Programmi\MSN Messenger\msnmsgr.exe" /background

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{41E300E0-78B6-11ce-849B-444553540000} /*Estensione CPL PlusPack*/plustab.dll = plustab.dll
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{8BEBB290-52D0-11D0-B7F4-00C04FD706EC} /*Anteprima*/D:\WINNT\System32\thumbvw.dll = D:\WINNT\System32\thumbvw.dll
@{EAB841A0-9550-11CF-8C16-00805F1408F3} /*Programma di estrazione pagine HTML in anteprima*/D:\WINNT\System32\thumbvw.dll = D:\WINNT\System32\thumbvw.dll
@{1AEB1360-5AFC-11D0-B806-00C04FD706EC} /*Programma di estrazione filtri grafici di Office in anteprima*/D:\WINNT\System32\thumbvw.dll = D:\WINNT\System32\thumbvw.dll
@{9DBD2C50-62AD-11D0-B806-00C04FD706EC} /*Summary Info Thumbnail handler (DOCFILES)*/D:\WINNT\System32\thumbvw.dll = D:\WINNT\System32\thumbvw.dll
@{500202A0-731E-11D0-B829-00C04FD706EC} /*LNK file thumbnail interface delegator*/D:\WINNT\System32\thumbvw.dll = D:\WINNT\System32\thumbvw.dll
@{fe1290f0-cfbd-11cf-a330-00aa00c16e65} /*Directory Namespace*/dsfolder.dll = dsfolder.dll
@{9E51E0D0-6E0F-11d2-9601-00C04FA31A86} /*Shell properties for a DS object*/dsfolder.dll = dsfolder.dll
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/D:\PROGRA~1\WINZIP\WZSHLSTB.DLL = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/D:\PROGRA~1\WINZIP\WZSHLSTB.DLL = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/D:\PROGRA~1\WINZIP\WZSHLSTB.DLL = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79307-84BE-11CE-9641-444553540000} /*WinZip*/D:\PROGRA~1\WINZIP\WZSHLSTB.DLL = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{57C51AF9-DEF7-11D3-A801-00C04F163490} /*Ghost Shell Extension*/D:\Programmi\Symantec\Norton Ghost 2003\GhoShExt.dll = D:\Programmi\Symantec\Norton Ghost 2003\GhoShExt.dll
@{32020A01-506E-484D-A2A8-BE3CF17601C3} /*AlcoholShellEx*/D:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll = D:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/D:\Programmi\WinRAR\rarext.dll = D:\Programmi\WinRAR\rarext.dll
@{40950107-FEA6-4d53-A65F-B2DCBA57DD58} /*Nokia Phone Browser*/D:\Programmi\Nokia\Nokia PC Suite 6\PhoneBrowser.dll = D:\Programmi\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
@{FBFE7864-D495-41f0-B7DC-4BB601CC295E} /*Contact View*/D:\Programmi\Nokia\Nokia PC Suite 6\ContactView.dll = D:\Programmi\Nokia\Nokia PC Suite 6\ContactView.dll
@{C0C4375A-5B72-4efe-929D-3B848C3A1E91} /*Message View*/D:\Programmi\Nokia\Nokia PC Suite 6\MessageView.dll = D:\Programmi\Nokia\Nokia PC Suite 6\MessageView.dll
@(null) =
@{6af09ec9-b429-11d4-a1fb-0090960218cb} /*My Bluetooth Places*/D:\WINNT\system32\btneighborhood.dll = D:\WINNT\system32\btneighborhood.dll
@{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} /*OpenOffice.org Column Handler*/"D:\Programmi\OpenOffice.org 2.0\program\shlxthdl.dll" = "D:\Programmi\OpenOffice.org 2.0\program\shlxthdl.dll"
@{087B3AE3-E237-4467-B8DB-5A38AB959AC9} /*OpenOffice.org Infotip Handler*/"D:\Programmi\OpenOffice.org 2.0\program\shlxthdl.dll" = "D:\Programmi\OpenOffice.org 2.0\program\shlxthdl.dll"
@{63542C48-9552-494A-84F7-73AA6A7C99C1} /*OpenOffice.org Property Sheet Handler*/"D:\Programmi\OpenOffice.org 2.0\program\shlxthdl.dll" = "D:\Programmi\OpenOffice.org 2.0\program\shlxthdl.dll"
@{3B092F0C-7696-40E3-A80F-68D74DA84210} /*OpenOffice.org Thumbnail Viewer*/"D:\Programmi\OpenOffice.org 2.0\program\shlxthdl.dll" = "D:\Programmi\OpenOffice.org 2.0\program\shlxthdl.dll"
@{E2E223C0-5EE1-11D3-8528-FF3E959B4437} /*GSplit Context Menu Shell Extension.*/D:\WINNT\system\GSplitExt.dll = D:\WINNT\system\GSplitExt.dll
@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} /*Shell Extension for Malware scanning*/D:\Programmi\AntiVir PersonalEdition Classic\shlext.dll = D:\Programmi\AntiVir PersonalEdition Classic\shlext.dll
@{B8323370-FF27-11D2-97B6-204C4F4F5020} /*SmartFTP Shell Extension DLL*/D:\Programmi\SmartFTP Client 2.0\smarthook.dll = D:\Programmi\SmartFTP Client 2.0\smarthook.dll
@{5E2121EE-0300-11D4-8D3B-444553540000} /*Catalyst Context Menu extension*/D:\Programmi\ATI Technologies\ATI.ACE\atiacmxx.dll = D:\Programmi\ATI Technologies\ATI.ACE\atiacmxx.dll
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/D:\WINNT\system32\dfshim.dll = D:\WINNT\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/D:\WINNT\system32\dfshim.dll = D:\WINNT\system32\dfshim.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
GSplitMenu@{E2E223C0-5EE1-11D3-8528-FF3E959B4437} = D:\WINNT\system\GSplitExt.dll
Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = D:\Programmi\AntiVir PersonalEdition Classic\shlext.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = D:\Programmi\AntiVir PersonalEdition Classic\shlext.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = D:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}D:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx = D:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
@{55EA1964-F5E4-4D6A-B9B2-125B37655FCB}D:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll = D:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}d:\programmi\google\googletoolbar2.dll = d:\programmi\google\googletoolbar2.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.pcw.it = http://www.pcw.it
@Start Pageabout:blank = about:blank
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local PageD:\WINNT\system32\blank.htm = D:\WINNT\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
its@CLSID = D:\WINNT\System32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = D:\WINNT\System32\itss.dll
vnd.ms.radio@CLSID = D:\WINNT\system32\msdxm.ocx
widimg@CLSID = D:\WINNT\system32\btxppanel.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{5CF70C82-59F6-43DC-812D-F4C09F28A4C8} /*Connessione alla rete locale (LAN)*/ >>>
@IPAddress192.168.128.2 = 192.168.128.2
@NameServer =
@DefaultGateway =
@Domain =

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001@LibraryPath = %SystemRoot%\System32\rnr20.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000002@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000003@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000006@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000007@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000008@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000009@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000010@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000011@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000012@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000013@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000014@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000015@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000016@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000017@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000018@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000019@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000020@PackedCatalogItem = %SystemRoot%\system32\msafd.dll
000000000021@PackedCatalogItem = %SystemRoot%\system32\msafd.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000022@PackedCatalogItem = %SystemRoot%\system32\msafd.dll

D:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
BTTray.lnk = BTTray.lnk
Wireless Configuration Utility HW.32.lnk = Wireless Configuration Utility HW.32.lnk

---- EOF - GMER 1.0.11 ----

Ciao raga, ho usato il programmino però ho ancora il file _cleaned.tmp e non riesco a rimuoverlo... come faccio?

utilizza questo se sai già qual'è il file.

http://www.nod32.it/tools/AGVPFIX.ZIP

poi dai quei log, pare tu debba rimuovere qualcosa..... usato il tool di rimozione di gromozon?
http://www.prevx.com/gromozon.asp

e questo?

http://www.f-secure.com/blacklight

:O

poi dai quei log, pare tu debba rimuovere qualcosa..... usato il tool di rimozione di gromozon?
http://www.prevx.com/gromozon.asp

e questo?

http://www.f-secure.com/blacklight

:O

Il primo l'ho già utilizzato...

[EDIT]
Ho provato anche il secondo e mi dice che non può ottenere i privilegi e che questo potrebbe essere causato da un malware... :rolleyes:

Prova ad usare il tool della Symantec contro LinkOptimizer
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Il tool della symantec non ha rilevato nulla.... :rolleyes:

Il primo l'ho già utilizzato...

[EDIT]
Ho provato anche il secondo e mi dice che non può ottenere i privilegi e che questo potrebbe essere causato da un malware... :rolleyes:

chiaro sei infetto.

http://www.hwupgrade.it/forum/showpost.php?p=14107773&postcount=169

Il tool della symantec non ha rilevato nulla.... :rolleyes:

sei troppo pieno, dovresti rimuovere i servizi nocivi e tutto quello che non va in autostart, sei capace?

sei troppo pieno, dovresti rimuovere i servizi nocivi e tutto quello che non va in autostart, sei capace?

ehm no.... :doh: :(

ehm no.... :doh: :(

start -> esegui -> sc query > c:\servizi.txt [invio]

poi prendi il file e postalo!


Prova a scaricare look2me removal:

http://www.atribune.org/content/view/28/%20target=
o
http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/Look2Me-Remover.shtml
o
http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/Killme.shtml

ehm no.... :doh: :(

Scarica The Avenger da qua http://swandog46.geekstogo.com/avenger.zip

e inserisci lo script:

Files to delete:
H:\Documenti\Immagini\Alboz.bmp
H:\Documenti\Immagini\Alboz.bmp
H:\Documenti\Immagini\dolittle.bmp
H:\Documenti\Immagini\dolittle.bmp
H:\Documenti\Immagini\dolittle_1.bmp
H:\Documenti\Immagini\dolittle_1.bmp
H:\Documenti\Immagini\dolittle_1t.bmp
H:\Documenti\Immagini\dolittle_1t.bmp
H:\Documenti\Immagini\dolittle_2t.bmp
H:\Documenti\Immagini\dolittle_2t.bmp
H:\Documenti\Immagini\Esempio.jpg

Prova anche questo tool http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html


e leggi questo mio post:
http://www.hwupgrade.it/forum/showpost.php?p=13857065&postcount=133

scusate se interrompo il discorso........ma volevo sapere se questo removed tool oltre a togliere gromozon toglie anche il linkoptimizer se uno è in infetto.........

per adesso non lo sono ma un domani...........

scusate se interrompo il discorso........ma volevo sapere se questo removed tool oltre a togliere gromozon toglie anche il linkoptimizer se uno è in infetto.........

per adesso non lo sono ma un domani...........

Controlla a colpo sicuro quello che conosce, poi fa una scansione...

Ho trovato sulla cartella C:\Documents and Settings tutta una serie di utenti con nomi del tipo Cosi : nskjg9jh5gduhgu6ewtuy erano parecchie cartelle , le ho cancellate , ma dopo qualche giorno ricompaiono e sono molte , sono tutte cartelle vuote e qualcuna con un file .ini
Adesso incuriosito dalla cosa comincio a cercare e ho trovato questo:
- Un servizio strano si chiama : LogYjl
- il file che lo comanda è : C:\WINDOWS\TEMP\31.tmp ( ma non esiste cartella vuota )
- Ha creato un Account con nome: .\WNXZHMlxTQnfRyiga
dal momento che uso AntiVir con VirGuard sempre attivo e Sygate Personal Firewall sempre attivo anche questo , ho provato molti tools e spyware ma non succede niente.
Chiedo consigli sul da fare prima di formattare
Grazie

Controlla a colpo sicuro quello che conosce, poi fa una scansione...

grazie :)

ragazzi, ho bisogno di una mano! ho un pc con windows 2000 infetto con Linkoptimizer... ho provato nell'ordine PrevxRemovalTool, Symantec FixLinkOpt, gmer, avenger, gmer versione modificata ma nessun eseguibile parte, ne' in modalita' normale ne' in mod. provvisoria. Non si avviano neanche, zero.

immagino sia il rootkit che li blocca in qualche modo, ma il problema e': che faccio? come rimuovo gromozon se tutti i tool vengono bloccati in partenza?

grazie per l'aiuto

mad_hhatter

Ho trovato sulla cartella C:\Documents and Settings tutta una serie di utenti con nomi del tipo Cosi : nskjg9jh5gduhgu6ewtuy erano parecchie cartelle , le ho cancellate , ma dopo qualche giorno ricompaiono e sono molte , sono tutte cartelle vuote e qualcuna con un file .ini
Adesso incuriosito dalla cosa comincio a cercare e ho trovato questo:
- Un servizio strano si chiama : LogYjl
- il file che lo comanda è : C:\WINDOWS\TEMP\31.tmp ( ma non esiste cartella vuota )
- Ha creato un Account con nome: .\WNXZHMlxTQnfRyiga
dal momento che uso AntiVir con VirGuard sempre attivo e Sygate Personal Firewall sempre attivo anche questo , ho provato molti tools e spyware ma non succede niente.
Chiedo consigli sul da fare prima di formattare
Grazie

eliminato l'utente?
Eliminato il file 31.tmp?

utilizzati i vari tool? elencati in precedenza?

Puoi dirmi il nome di qualche tool che pulisca per bene tutto

trovate nuove varianti del link optimizer.
non riuscite ad apire hijackthis,un qualsiasi antivirus,antispyware,firewall,forum di informatica o qualsiasi altro programma che abbia a chè fare con la sicurezza?
leggete qui:
a procedura di rimozione del rootkit è costituita da più fasi ed è complessa da eseguire manualmente.
Gli utenti della versione PROFESSIONAL possono telefonare alla TG Soft Tel. 049631748 per l'assistenza tecnica.

Prima di procedere è necessario installare VirIT eXplorer e aggiornarlo all'ultima versione (menu TOOLS->Aggiornamenti OnLine) con i diritti di Administrator. E' importante aggiornarlo, perché in questa fase viene attivato un servizio di VirIT necessario alla rimozione del rootkit.

Dopo averlo aggiornato riavviare il computer, al successivo boot sarà attivo VirIT Secuirty Monitor (nella versione Professional) o VirIT Lite Monitor (nella versione Lite) vicino all'orologio di Windows.

Aspettare almeno 2 minuti prima di procedere alla fase 1, in questo periodo il sistema di Intrusion Detection di VirIT assegnerà le autorizzazioni necessarie all'utente corrente per accedere al servizio incriminato della fase 1.

FASE 1:

In questa fase dobbiamo disabilitare un servizio creato dal malware. Il nome del servizio è casuale, cioè cambia da infezione a infezione.

Gli utenti della PROFESSIONAL possono contattare l'assistenza tecnica, la quale indicherà il nome del servizio da disabilitare.


Dal pannello di controllo, clickare su STRUMENTI DI AMMINISTRAZIONE e dopo su SERVIZI.
Ora compare la lista dei servizi, nella colonna "Connessione" troverete le voci "Sistema Locale", "Servizio di rete" e una voce insolita:

".\nome casuale".



Il "nome casule" indica il nome di un utente creato dal malware nel vostro computer.

Selezionare il servizio incriminato relativo alla connessione ".\nome casuale", clickare il tasto destro del mouse, facendo comparire il menu a tendina e selezionare PROPRIETA'.

Dalle proprietà del servizio, dovete segnarVi la cartella ed il file del servizio che trovate sotto a "PERCORSO FILE ESEGUIBILE" (questo vi servirà per cancellare i file successivamente).

Successivamente impostare il TIPO DI AVVIO: DISABILITATO (importantissimo!)
A questo punto riavviare il computer e passare alla fase 2.

Se Windows non vi permette di disabilitare il servizio incriminato, allora dovete riavviare il computer in modalità provvisoria, ed eseguire la procedura:
1) Eseguire il programma REGEDIT e selezionare il percorso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOME_DEL_SERVIZIO_INCRIMINATO
2) Modificare il valore di START da 2 a 4 relativo al servizio incriminato
3) Riavviare il computer



FASE 2:

Prima di procedere è consigliabile chiudere tutti i programmi e aggiornare VirIT all'ultima versione (menu TOOLS->Aggiornamenti OnLine).

Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica.

La fase 2 va eseguita dalla modalità normale, seguendo alla lettera tutti i passi della procedura.

1) Eseguire il programma REGEDIT e selezionare il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2) Ridurre ad icona il REGEDIT
3) Eseguire il file C:\VIRITEXP\GOVIRITEXPSVC.BAT (IMPORTANTISSIMO!!!) (per gli utenti della Lite c:\vexplite\GOVIRITEXPSVC.BAT)
4) Da VirIT eXplorer clickare sul menu TOOLS->Process Manager
5) Scrivere nel box relativo a "Terminare i thread in base all'indirizzo" il valore 2a93671a oppure il valore 3ee85b73 (oppure 2bb34c8c) a seconda della variante, e dopo clickare varie volte sul pulsante "Kill Thread"

Rootkit valore

Trojan.Win32.Rootkit.D 2a93671a

Trojan.Win32.Rootkit.E 3ee85b73

Trojan.Win32.Rootkit.F 2bb34c8c

Trojan.Win32.Rootkit.G 2a2a3889

Trojan.Win32.Rootkit.H 3e1e6857

Trojan.Win32.Rootkit.I 3e524cd7

Trojan.Win32.Rootkit.J 2a1969d5

N.B: Si consiglia di ripetere l'operazione di Kill Thread per tutti i valori indicati

6) Uscire da VirIT eXplorer Pro
7) Adesso clickare sul programma Regedit ridotto ad icona, selezionare con tasto destro il nome AppInit_DLLs clickare su MODIFICA, compare la finestra Modifica stringa, scrivere nel campo Dati valore: prova.dll e confermare
8) Premere varie volte il pulsante F5, per verificare se su AppInit_DLLs rimane scritto nella colonna DATI il valore Prova.dll, altrimenti ripetere la fase 2.
9) Adesso lasciando aperti tutti i programmi premere il pulsante RESET del computer (quello del case) per riavviarlo brutalmente (importante). Se il computer è sprovvisto di pulsante di RESET, allora togliere l'alimentazione elettrica. Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica. Non servono a niente riavviare il computer o chiudere la sessione, perché il rootkit viene eseguito di nuovo, l'unico modo è quello di "resettare" il computer.

Al successivo riavvio verificare se AppInit_DLLs è uguale a "Prova.dll"


FASE 3:
Se AppInit_DLLs è diverso da "Prova.dll" si deve ripetere la FASE 2.

Adesso eseguire VirIT eXplorer Pro/Lite e procedere alla scansione anti-virus per rimuovere il rootkit.

VirIT, molto probabilmente troverà dei file infetti che verranno rimossi.
Nel caso VirIT eXplorer Pro trovi dei file SOSPETTI segnalati come POSSIBILI VIRUS DI NUOVA GENERAZIONE, contattare TG Soft per l'assistenza (solo per i clienti della versione Professional in assistenza)..

Per i clienti della versione Professional, si consiglia di inviare il file di esecuzione automatica, da VirIT Security Monitor clickare sull'uomo spia e dopo su INVIA MAIL.

Nella FASE 1, vi è stato detto di segnarVi il percorso del file del servizio incriminato, per eliminare questo file, si deve verificare se è un file CRITTOGRAFATO.
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.

N.B.: In Windows XP HOME Edition la scheda PROTEZIONE è visibile solo dalla modalità provvisoria.

In Windows XP Professional la scheda PROTEZIONE è visibile se non è selezionato nelle OPZIONI CARTELLA la voce "Utilizza condivisione file semplice (scelta consigliata)". Per accedere alle OPZIONI CARTELLA: da RISORSE DEL COMPUTER menu STRUMENTI->OPZIONI CARTELLA->VISUALIZZAZIONE nelle IMPOSTAZIONE AVANZATE togliere il flag da "Utilizza condivisione file semplice (scelta consigliata)".

io ho fatto 30 volta la procedura della tg-soft, ma nn mi ha mai funzionato...
risolsi con gmer ce company....
ora spero solo di nn beccarmene più visto ke le nuove varianti di rootkit nn fanno aprire programmi vari e forum informatici!

io ho fatto 30 volta la procedura della tg-soft, ma nn mi ha mai funzionato...
risolsi con gmer ce company....
ora spero solo di nn beccarmene più visto ke le nuove varianti di rootkit nn fanno aprire programmi vari e forum informatici!

tra questi c'è anche hwupgrade? :O

tra questi c'è anche hwupgrade? :O
non mi ricordo, ma quelli ke parlavano di rootkit anke in italiano, nn me li faceva aprire!

tra questi c'è anche hwupgrade? :O
si leprotto :O

Segnalo un problema non da poco che mi è successo oggi. Windows 2000 con rootkit variante j. Ho lanciato il Prevxremovaltool e mi ha chiesto di riavviare il pc. Riavviato la macchina ha eseguito la rituale scansione poi ha iniziato a segnalarmi i soliti file e i soliti utenti infetti e poi il fattaccio ........ in automatico mi ha cancellato tuto quello contenuto nella cartella Desktop dell'utene administrator, compreso preferiti e impostazioni locali e mi ha cancellato altri file di sistema poi bloccandosi con errori fatali .....
Attenzione per questo problema che mi è costato 4 ore di lavoro per recuperare i deleted ....

trovate nuove varianti del link optimizer.
non riuscite ad apire hijackthis,un qualsiasi antivirus,antispyware,firewall,forum di informatica o qualsiasi altro programma che abbia a chè fare con la sicurezza?
leggete qui:
a procedura di rimozione del rootkit è costituita da più fasi ed è complessa da eseguire manualmente.
Gli utenti della versione PROFESSIONAL possono telefonare alla TG Soft Tel. 049631748 per l'assistenza tecnica.

Prima di procedere è necessario installare VirIT eXplorer e aggiornarlo all'ultima versione (menu TOOLS->Aggiornamenti OnLine) con i diritti di Administrator. E' importante aggiornarlo, perché in questa fase viene attivato un servizio di VirIT necessario alla rimozione del rootkit.

Dopo averlo aggiornato riavviare il computer, al successivo boot sarà attivo VirIT Secuirty Monitor (nella versione Professional) o VirIT Lite Monitor (nella versione Lite) vicino all'orologio di Windows.

Aspettare almeno 2 minuti prima di procedere alla fase 1, in questo periodo il sistema di Intrusion Detection di VirIT assegnerà le autorizzazioni necessarie all'utente corrente per accedere al servizio incriminato della fase 1.

FASE 1:

In questa fase dobbiamo disabilitare un servizio creato dal malware. Il nome del servizio è casuale, cioè cambia da infezione a infezione.

Gli utenti della PROFESSIONAL possono contattare l'assistenza tecnica, la quale indicherà il nome del servizio da disabilitare.


Dal pannello di controllo, clickare su STRUMENTI DI AMMINISTRAZIONE e dopo su SERVIZI.
Ora compare la lista dei servizi, nella colonna "Connessione" troverete le voci "Sistema Locale", "Servizio di rete" e una voce insolita:

".\nome casuale".



Il "nome casule" indica il nome di un utente creato dal malware nel vostro computer.

Selezionare il servizio incriminato relativo alla connessione ".\nome casuale", clickare il tasto destro del mouse, facendo comparire il menu a tendina e selezionare PROPRIETA'.

Dalle proprietà del servizio, dovete segnarVi la cartella ed il file del servizio che trovate sotto a "PERCORSO FILE ESEGUIBILE" (questo vi servirà per cancellare i file successivamente).

Successivamente impostare il TIPO DI AVVIO: DISABILITATO (importantissimo!)
A questo punto riavviare il computer e passare alla fase 2.

Se Windows non vi permette di disabilitare il servizio incriminato, allora dovete riavviare il computer in modalità provvisoria, ed eseguire la procedura:
1) Eseguire il programma REGEDIT e selezionare il percorso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOME_DEL_SERVIZIO_INCRIMINATO
2) Modificare il valore di START da 2 a 4 relativo al servizio incriminato
3) Riavviare il computer



FASE 2:

Prima di procedere è consigliabile chiudere tutti i programmi e aggiornare VirIT all'ultima versione (menu TOOLS->Aggiornamenti OnLine).

Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica.

La fase 2 va eseguita dalla modalità normale, seguendo alla lettera tutti i passi della procedura.

1) Eseguire il programma REGEDIT e selezionare il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2) Ridurre ad icona il REGEDIT
3) Eseguire il file C:\VIRITEXP\GOVIRITEXPSVC.BAT (IMPORTANTISSIMO!!!) (per gli utenti della Lite c:\vexplite\GOVIRITEXPSVC.BAT)
4) Da VirIT eXplorer clickare sul menu TOOLS->Process Manager
5) Scrivere nel box relativo a "Terminare i thread in base all'indirizzo" il valore 2a93671a oppure il valore 3ee85b73 (oppure 2bb34c8c) a seconda della variante, e dopo clickare varie volte sul pulsante "Kill Thread"

Rootkit valore

Trojan.Win32.Rootkit.D 2a93671a

Trojan.Win32.Rootkit.E 3ee85b73

Trojan.Win32.Rootkit.F 2bb34c8c

Trojan.Win32.Rootkit.G 2a2a3889

Trojan.Win32.Rootkit.H 3e1e6857

Trojan.Win32.Rootkit.I 3e524cd7

Trojan.Win32.Rootkit.J 2a1969d5

N.B: Si consiglia di ripetere l'operazione di Kill Thread per tutti i valori indicati

6) Uscire da VirIT eXplorer Pro
7) Adesso clickare sul programma Regedit ridotto ad icona, selezionare con tasto destro il nome AppInit_DLLs clickare su MODIFICA, compare la finestra Modifica stringa, scrivere nel campo Dati valore: prova.dll e confermare
8) Premere varie volte il pulsante F5, per verificare se su AppInit_DLLs rimane scritto nella colonna DATI il valore Prova.dll, altrimenti ripetere la fase 2.
9) Adesso lasciando aperti tutti i programmi premere il pulsante RESET del computer (quello del case) per riavviarlo brutalmente (importante). Se il computer è sprovvisto di pulsante di RESET, allora togliere l'alimentazione elettrica. Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica. Non servono a niente riavviare il computer o chiudere la sessione, perché il rootkit viene eseguito di nuovo, l'unico modo è quello di "resettare" il computer.

Al successivo riavvio verificare se AppInit_DLLs è uguale a "Prova.dll"


FASE 3:
Se AppInit_DLLs è diverso da "Prova.dll" si deve ripetere la FASE 2.

Adesso eseguire VirIT eXplorer Pro/Lite e procedere alla scansione anti-virus per rimuovere il rootkit.

VirIT, molto probabilmente troverà dei file infetti che verranno rimossi.
Nel caso VirIT eXplorer Pro trovi dei file SOSPETTI segnalati come POSSIBILI VIRUS DI NUOVA GENERAZIONE, contattare TG Soft per l'assistenza (solo per i clienti della versione Professional in assistenza)..

Per i clienti della versione Professional, si consiglia di inviare il file di esecuzione automatica, da VirIT Security Monitor clickare sull'uomo spia e dopo su INVIA MAIL.

Nella FASE 1, vi è stato detto di segnarVi il percorso del file del servizio incriminato, per eliminare questo file, si deve verificare se è un file CRITTOGRAFATO.
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.

N.B.: In Windows XP HOME Edition la scheda PROTEZIONE è visibile solo dalla modalità provvisoria.

In Windows XP Professional la scheda PROTEZIONE è visibile se non è selezionato nelle OPZIONI CARTELLA la voce "Utilizza condivisione file semplice (scelta consigliata)". Per accedere alle OPZIONI CARTELLA: da RISORSE DEL COMPUTER menu STRUMENTI->OPZIONI CARTELLA->VISUALIZZAZIONE nelle IMPOSTAZIONE AVANZATE togliere il flag da "Utilizza condivisione file semplice (scelta consigliata)".

Ho controllato, Pensavo di aver rimosso Gromozon /LinkOptimizer con il tool Prevx, invece ho anch'io un'altra variante. Ho visto la voce strana in Strumenti di amministrazione -> Servizi.....
La procedura e' piuttosto complicata, x ora non ho tempo di eseguirla... :-( Cmq con Zone Alarm togliendo il permesso a SVCHOST (Generic Host Process for Win32 Service) ad agire come Server dovrei navigare tranquillamente impedendo alla variante di collegarsi a strani IP....

L'altro problema e' che e' FORSE proprio questa variante che impedisce l'attivazione di Prevx1 dopo averlo installato... Infatti cliccando su START TRIAL mi compare la finestra ACTIVATION HAS FAILED.....

Ciao a tutti !!

Sei connesso ad internet quando installi il PrevX vero ? ^_^

Sei connesso ad internet quando installi il PrevX vero ? ^_^

No, sono sempre disconnesso. In ogni caso o connesso o non connesso Prevx1 non si attiva.....

Per attivare il Prevx devi essere connesso, riesci a navigare su internet normalmente ? Attenzione ai firewall.

Ho controllato, Pensavo di aver rimosso Gromozon /LinkOptimizer con il tool Prevx, invece ho anch'io un'altra variante. Ho visto la voce strana in Strumenti di amministrazione -> Servizi.....
La procedura e' piuttosto complicata, x ora non ho tempo di eseguirla... :-( Cmq con Zone Alarm togliendo il permesso a SVCHOST (Generic Host Process for Win32 Service) ad agire come Server dovrei navigare tranquillamente impedendo alla variante di collegarsi a strani IP....

L'altro problema e' che e' FORSE proprio questa variante che impedisce l'attivazione di Prevx1 dopo averlo installato... Infatti cliccando su START TRIAL mi compare la finestra ACTIVATION HAS FAILED.....

Ciao a tutti !!

Io non mi sono mai informato su ciò che che il tool di rimozione di Gromozom faccia esattamente, quindi non so in quali situazioni possa fallire o magari eseguire una rimozione parziale. Ma riferendomi al servizio che ti è rimasto, ti suggerisco di guardare nelle sue proprietà il nome del suo eseguibile, andare a cercarlo e vedere se effettivamente esista. Se esiste e non è possibile cancellarlo, prova a rinominarlo, e al prossimo avvio dovrebbe essere cancellabile. Puoi provare a rimuoverlo anche con il tool di rimozione di agent di nod32 se vuoi.
Poi potrai cancellare il servizio da prompt dei comandi con il comando sc delete nomeservizio.
Perlomeno questi passaggi funzionano con le vecchie varianti di agent/linkopt, adesso non so se qualcosa sia cambiato.
Per quanto riguarda la lunga procedura con Virit, secondo me ci sono alcuni punti dubbi, al momento non saprei esprimermi in merito nè positivamente nè negativamente.
Comunque, cercando di fare uno schema, valido perlomeno sino alle ultime varianti:

- Se rootkitrevealer o gmer si avviano e non rilevano rootkit (interpretando correttamente i risultati, magari postandoli sul forum)
- Se non ci sono servizi dai nomi casuali con altri nomi casuali nel campo connessione
- Se non ci sono BHO o programmi sconosciuti in autostart (rilevabili con hijackthis o dalla funzione autostart di gmer)

nonostante possano essere rimasti file o utenti fittizi relativi all'infezione, agent/linkoptimizer può considerarsi debellato e inattivo.

Per attivare il Prevx devi essere connesso, riesci a navigare su internet normalmente ? Attenzione ai firewall.

Ciao Violence77, AVEVI RAGIONE !!! Il problema era che non ero connesso.. Ora l'ho attivato. Non me ne ero accorto in quanto su un altro PC l'avevo attivato subito e non mi ero reso conto che l'attivazione era andata a buon fine poiche' ero on-line...........

Pero' quelli della Prevx potevano anche mettere in quella finestra un avviso sulla necessita' di una connessione attiva per l'attivazione (...sono stato una settimana bloccato................) La finestra di Prevx1 si limitava a dire che il problema poteva essere dovuto ad Anti-Virus o altri programmi attivati, nient'altro......... Io infatti disattivavo tutto, persino il firewall ma inutilemnte...

GRAZIE INFINITE... Appena posso eseguo la procedura che mi hai consigliato... in effetti la procedura con Virit, anche non essendo un esperto, non mi convince molto.........

CIAO !!

P.S.: Cmq non credo sia stato completamente debellato, oppure c'e' qualcos'altro di anomalo sul PC...
SVCHOST prova ad agire come server mettendosi in ascolto e collegandosi ad un IP che non mi sono segnato... cominciava con 214. ecc...
X fortuna Con Zone Alarm posso vietare automaticamente qualsiasi richiesta di SVCHOST in questo senso :-)

P.S.: Cmq non credo sia stato completamente debellato, oppure c'e' qualcos'altro di anomalo sul PC...
SVCHOST prova ad agire come server mettendosi in ascolto e collegandosi ad un IP che non mi sono segnato... cominciava con 214. ecc...
X fortuna Con Zone Alarm posso vietare automaticamente qualsiasi richiesta di SVCHOST in questo senso :-)

Il servizio casuale alla fine si serve proprio di un svchost (fittizio anche quello :)) per scaricare i file di cui ha bisogno per installare il malware. In ascolto non dovrebbe mettersi in quanto non fa da server, ma se cerca di collegarsi ad un sito, prova ad eliminare quel servizio e poi controlla che svchost non tenti più quel collegamento.

appena lanciato ecco il risultato

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.


mi dice di installare questo programma Prevx1 è essenziale? è a pagamento? Ho già kis2006 + ewido....

Mi scuso se sono stato assente da questo thread per lungo tempo. Sinceramente ho problemi a seguire tutte le cose che dovrei seguire, e qualcuna mi si perde per strada :)

Al momento, come penso oramai tutti se ne saranno accorti, il rootkit gromozon é stato aggiornato dal team che ne é alle spalle.

I siti bloccati al momento sono:

www.prevx.com
www.pcalsicuro.com
www.hwupgrade.it
www.suspectfile.com
www.symantec.com (ultimissima versione)

E i tool bloccati al momento risultano essere:

Prevx removal tool
Prevx
Gmer
The Avenger
Symantec LinkOptimizer removal tool (ultimissima versione)

L'unico tool che non é mai stato bloccato é il software antivirus VirIT, che peró non individua l'ultimissima versione del rootkit.

Da parte nostra abbiamo individuato come il rootkit blocca il nostro tool e abbiamo provveduto a modificare il codice. Rilasceremo il tool nei prossimi giorni.

Marco

Nel frattempo si può procedere con le procedure manuali che si trovano nei vari siti? Ne consigli qualcuna in particolare?
Grazie della disponibilità.
:ave:

Mi scuso se sono stato assente da questo thread per lungo tempo. Sinceramente ho problemi a seguire tutte le cose che dovrei seguire, e qualcuna mi si perde per strada :)

Al momento, come penso oramai tutti se ne saranno accorti, il rootkit gromozon é stato aggiornato dal team che ne é alle spalle.

I siti bloccati al momento sono:

www.prevx.com
www.pcalsicuro.com
www.hwupgrade.it
www.suspectfile.com
www.symantec.com (ultimissima versione)

E i tool bloccati al momento risultano essere:

Prevx removal tool
Prevx
Gmer
The Avenger
Symantec LinkOptimizer removal tool (ultimissima versione)

L'unico tool che non é mai stato bloccato é il software antivirus VirIT, che peró non individua l'ultimissima versione del rootkit.

Da parte nostra abbiamo individuato come il rootkit blocca il nostro tool e abbiamo provveduto a modificare il codice. Rilasceremo il tool nei prossimi giorni.

Marco
confermi che viene bloccato anche Hijackthis:)

ma...stesio che ci fa?:asd:

Ecco perche' non riuscivo a lanciare il tool sul pc della mia ragazza e non riuscivo a visitare i siti di prevx e hwupgrade.

A quando l'uscita del tool?

Io che ho risolto con il vecchio tool sono ancora a rischio di infezione?

Ciao ciao...

Ecco perche' non riuscivo a lanciare il tool sul pc della mia ragazza e non riuscivo a visitare i siti di prevx e hwupgrade.

A quando l'uscita del tool?

Io che ho risolto con il vecchio tool sono ancora a rischio di infezione?

Ciao ciao...
siamo tutti a rischio,in teoria :D

Visti gli ultimi aggiornamenti, adesso come adesso, per sapere se non siamo stati infettati da una delle varianti di Gromozon, come si deve fare?
:stordita:

Visti gli ultimi aggiornamenti, adesso come adesso, per sapere se non siamo stati infettati da una delle varianti di Gromozon, come si deve fare?
:stordita:

Ho scritto qualcosa in merito alcuni post più in alto in questo thread. Alcuni punti da verificare per stabilire se l'infezione sia attiva o meno.

Visti gli ultimi aggiornamenti, adesso come adesso, per sapere se non siamo stati infettati da una delle varianti di Gromozon, come si deve fare?
:stordita:
utilizzare il computer normalmente,se poi dovessi notare dei malfunzionamenti confronti con i sintomi tipici di questa infezione

Ottimo, io sono a posto... un mio amico invece si è preso il Grozom; l'infezione è avvenuta l'altro ieri (06/10), quindi la versione del Trojan.Win32.Rootkit presumo sia la J o la K.
1] C'è un modo per identificarla con precisione?
2] Nel attesa che esca il tool di eraser, c'è un altro modo per procedere alla rimozione di Grozom? Ho provato la procedura dei produttori di VirIT (faccio riferimento alla revisione del 7 ottobre, QUESTA (http://www.viritpro.info/articoli/rootkit_d-e.htm)) ma non mi da i risultati sperati (se vi interessa, mi si blocca al punto 8 della fase 2).
Colgo l'occasione per ringraziare tutti.
:ave:

io sono bloccato, non sò dove battere la testa....
Mi son beccato l'ultimissima versione :cry:

io sono bloccato, non sò dove battere la testa....
Mi son beccato l'ultimissima versione :cry:

Quindi tool come gmer o rootkitrevealer non ti funzionano? Hai provato? Nel tal caso postando i log possiamo darti dei suggerimenti specifici.
Edit: mi sono espresso malissimo :D Intendevo dire nel caso funzionassero possiamo ecc.ecc.

Ma come si fa a sapere la versione del rootkit che si è installata sulla macchina?
:help:

Quindi tool come gmer o rootkitrevealer non ti funzionano? Hai provato? Nel tal caso postando i log possiamo darti dei suggerimenti specifici.
Edit: mi sono espresso malissimo :D Intendevo dire nel caso funzionassero possiamo ecc.ecc.

Avg Anti-Rootkit lo rileva ma non riesce ad eliminarlo.
blbeta di F-Secure non parte - Non riesce a prendere i privilegi (SeDebugPrivilege)
FixLinkopt di symantec non parte il file di "istallazione"
IceSword non parte
Sophos rileva diversi file, mi dice che li elimina ma poi non riesce a farlo.
SpywareBlaster è inutile
SUPERAntispyware non parte il file di istallazione
gmer non parte il file di istallazione
VirIT si istalla, parte, ma non rileva nulla.
rootkitrevealer non parte il file di istallazione.

Quanto detto da Special succede anche, alcuni programmi sono gli stessi altri no, ma gli effetti sono identici.
Qualcosa sono riuscito ad eliminare ma rimangono buona parte dei sintomi, soprattutto la navigazione è impossibile ora, non riesco ad accedere a buona parte dei siti tra i preferiti.
Visto il tempo ormai speso per pulire e senza successo :cry: mi sa che provvedo a scollegare tutti i dischi, dopodichè passerò alla formattazione dell'unità C:, una volta terminata l'installazione del SO, antivirus e antispyware vary collegherò 1 disco alla volta eseguendo tutte le scansioni necessarie.

P.S: Per la formattazione, va bene la classica dal CD di avvio o è meglio una a basso livello?

Avg Anti-Rootkit lo rileva ma non riesce ad eliminarlo.
blbeta di F-Secure non parte - Non riesce a prendere i privilegi (SeDebugPrivilege)
FixLinkopt di symantec non parte il file di "istallazione"
IceSword non parte
Sophos rileva diversi file, mi dice che li elimina ma poi non riesce a farlo.
SpywareBlaster è inutile
SUPERAntispyware non parte il file di istallazione
gmer non parte il file di istallazione
VirIT si istalla, parte, ma non rileva nulla.
rootkitrevealer non parte il file di istallazione.

Che spettacolo praticamente siamo in mezzo alla ...... :incazzed: ...

Io sono riuscito a rimuovere la vecchia versione grazie al tool prevx1.
Ma e' il pc della mia ragazza che e' infettato dalla nuova e non riesco proprio a toglierlo!! :tapiro: :tapiro:

Speriamo in qualcosa di efficace nei prossimi giorni... :sperem:

Bisogna trovare il modo di far andare di nuovo i tool antirootkit come rootkitrevealer e gmer.. Così una volta individuati i file il rootkit è facilmente disattivabile.
Vedremo cosa si può fare..

Io ho notato che c'e' un processo di nome svchost.exe che stabilisce una connessione netbios quando sono collegato...
La funzione di segnalazione eventi di Prevx1 mi informa ogni 4-5 secondi in questo modo: Svchost.exe - Netbios out

Mi succede solo sul pc dove e' presente l'account fittizio .\ydhdufcngl
che ho trovato in STRUMENTI DI AMMINISTRAZIONE -> SERVIZI.
Io ho disabilitato l'avvio e disattivato l'account in questione...

Mentre installavo il service pack 2 Virit mi avvertiva che il file (non ricordo bene "svchost.exe -K netsvcs" era sospetto, ma io credevo fosse un falso positivo e non l'ho inviato inserendolo nella lista dei file buoni.

Al termine dell'installazione l'ho eliminato da quella lista (file buoni...) di Virit, ho riavviato e' fatto una scansione sia con virit che con nod32 (profonda), ma non ho trovato nulla... eppure questo connessioni netbios che vengono stabilite mi sembrano strane....

http://support.microsoft.com/kb/314056
A regola non ci dovrebbero essere problemi, a meno che non sia "camuffato" da questo processo...

Il meccanismo di infezione é tanto complicato quanto efficace: i siti, molti dei quali appunto indicizzati nei motori di ricerca italiani, contengono un JavaScript che automaticamente reindizza l’utente verso la pagina infetta. Da quel momento le vie di infezioni sono molteplici e variano da browser a browser. Se l’utente utilizza una versione di Internet Explorer pari o inferiore alla 6, la pagina infetta tenta di sfruttare alcuni exploit per caricare automaticamente nel sistema vittima l’infezione. Se i browser utilizzati sono invece Mozilla Firefox o Opera, che sono meno vulnerabili ad exploit vari, viene utilizzata una semplice tecnica di “Ingegneria Sociale”. Il browser chiede di scaricare un "file generico" che apparentemene sembra essere innoquo ma in realtà è il malware stesso.

Ho trovato su internet questa descrizione che ho modificato solo nel nome del file scaricato,l'ho messo come "file generico."

E' possibile sapere da coloro che hanno preso l'infezione come stavano messi ad aggiornamenti del S.O e possibilmente il browser internet usato per navigare ?

Grazie.

Io ho notato che c'e' un processo di nome svchost.exe che stabilisce una connessione netbios quando sono collegato...
La funzione di segnalazione eventi di Prevx1 mi informa ogni 4-5 secondi in questo modo: Svchost.exe - Netbios out

Mi succede solo sul pc dove e' presente l'account fittizio .\ydhdufcngl
che ho trovato in STRUMENTI DI AMMINISTRAZIONE -> SERVIZI.
Io ho disabilitato l'avvio e disattivato l'account in questione...

Mentre installavo il service pack 2 Virit mi avvertiva che il file (non ricordo bene "svchost.exe -K netsvcs" era sospetto, ma io credevo fosse un falso positivo e non l'ho inviato inserendolo nella lista dei file buoni.

Al termine dell'installazione l'ho eliminato da quella lista (file buoni...) di Virit, ho riavviato e' fatto una scansione sia con virit che con nod32 (profonda), ma non ho trovato nulla... eppure questo connessioni netbios che vengono stabilite mi sembrano strane....

Volevo precisare che prevx1 event mi informa in questo modo:
appena mi collego:

SVCHOST.EXE Create Server Listener
(e dopo qualche secondo: )
SVCHOST.EXE NetBIOS OUT
SVCHOST.EXE HTTP Out
SVCHOST.EXE Create File
SVCHOST.exe Del File

e va avanti con questi avvisi....

Ho Prevx1 installato su 2 PC, ma solo su 1 PC mi segnala questi comportamenti da parte di SVCHOST... Questo PC era stato infettato da Gromozon che poi ho rimosso col tool Prevx... Successivamente ho installato il Service pack 2 per Win XP PRO, ...prima non c'era neanche l'SP1...

Cmq come mai queste segnalazioni su SVCHOST sono presenti solo su un PC ?
Sull'altro PC queste segnalazioni di Prevx1 riguardanti SVCHOST.EXE non ci sono (ha sempre avuto il service pack 2... e non e' mai stato infettato da Gromozon)...

Sono pulito (scansione è risultata negativa), cosa faccio, installo qualcosa? :stordita:

Volevo precisare che prevx1 event mi informa in questo modo:
appena mi collego:

SVCHOST.EXE Create Server Listener
(e dopo qualche secondo: )
SVCHOST.EXE NetBIOS OUT
SVCHOST.EXE HTTP Out
SVCHOST.EXE Create File
SVCHOST.exe Del File

e va avanti con questi avvisi....

Ho Prevx1 installato su 2 PC, ma solo su 1 PC mi segnala questi comportamenti da parte di SVCHOST... Questo PC era stato infettato da Gromozon che poi ho rimosso col tool Prevx... Successivamente ho installato il Service pack 2 per Win XP PRO, ...prima non c'era neanche l'SP1...

Cmq come mai queste segnalazioni su SVCHOST sono presenti solo su un PC ?
Sull'altro PC queste segnalazioni di Prevx1 riguardanti SVCHOST.EXE non ci sono (ha sempre avuto il service pack 2... e non e' mai stato infettato da Gromozon)...

Ma hai eliminato il servizio di cui parlavamo alcuni post sopra?

Ciao, scusa ma non ci ho capito molto su come eliminarlo...
Mi sono limitato a disabilitare l'avvio e a disattivare quell'account...

Ho scaricato Virit lite, l'ho aggiornato ed eseguito una scansione completa, ma non mi trova nulla...

Nel manuale di tgsoft dice che Virit elimina in automatico tutte le varianti finora scoperte....

Cos'altro devo fare ?
GRAZIE !!

Ciao, scusa ma non ci ho capito molto su come eliminarlo...
Mi sono limitato a disabilitare l'avvio e a disattivare quell'account...

Ho scaricato Virit lite, l'ho aggiornato ed eseguito una scansione completa, ma non mi trova nulla...

Nel manuale di tgsoft dice che Virit elimina in automatico tutte le varianti finora scoperte....

Cos'altro devo fare ?
GRAZIE !!


:read:
Avg Anti-Rootkit lo rileva ma non riesce ad eliminarlo.
blbeta di F-Secure non parte - Non riesce a prendere i privilegi (SeDebugPrivilege)
FixLinkopt di symantec non parte il file di "istallazione"
IceSword non parte
Sophos rileva diversi file, mi dice che li elimina ma poi non riesce a farlo.
SpywareBlaster è inutile
SUPERAntispyware non parte il file di istallazione
gmer non parte il file di istallazione
VirIT si istalla, parte, ma non rileva nulla.
rootkitrevealer non parte il file di istallazione.

Virit, se ti sei preso l'ultima versione, non serve a na cippa..

Ciao, scusa ma non ci ho capito molto su come eliminarlo...
Mi sono limitato a disabilitare l'avvio e a disattivare quell'account...

Ho scaricato Virit lite, l'ho aggiornato ed eseguito una scansione completa, ma non mi trova nulla...

Nel manuale di tgsoft dice che Virit elimina in automatico tutte le varianti finora scoperte....

Cos'altro devo fare ?
GRAZIE !!
Leggi qua:
Ma riferendomi al servizio che ti è rimasto, ti suggerisco di guardare nelle sue proprietà il nome del suo eseguibile, andare a cercarlo e vedere se effettivamente esista. Se esiste e non è possibile cancellarlo, prova a rinominarlo, e al prossimo avvio dovrebbe essere cancellabile. Puoi provare a rimuoverlo anche con il tool di rimozione di agent di nod32 se vuoi.
Poi potrai cancellare il servizio da prompt dei comandi con il comando sc delete nomeservizio.
Perlomeno questi passaggi funzionano con le vecchie varianti di agent/linkopt, adesso non so se qualcosa sia cambiato.

trovate nuove varianti del link optimizer.
non riuscite ad apire hijackthis,un qualsiasi antivirus,antispyware,firewall,forum di informatica o qualsiasi altro programma che abbia a chè fare con la sicurezza?
leggete qui:
a procedura di rimozione del rootkit è costituita da più fasi ed è complessa da eseguire manualmente.
Gli utenti della versione PROFESSIONAL possono telefonare alla TG Soft Tel. 049631748 per l'assistenza tecnica.

Prima di procedere è necessario installare VirIT eXplorer e aggiornarlo all'ultima versione (menu TOOLS->Aggiornamenti OnLine) con i diritti di Administrator. E' importante aggiornarlo, perché in questa fase viene attivato un servizio di VirIT necessario alla rimozione del rootkit.

Dopo averlo aggiornato riavviare il computer, al successivo boot sarà attivo VirIT Secuirty Monitor (nella versione Professional) o VirIT Lite Monitor (nella versione Lite) vicino all'orologio di Windows.

Aspettare almeno 2 minuti prima di procedere alla fase 1, in questo periodo il sistema di Intrusion Detection di VirIT assegnerà le autorizzazioni necessarie all'utente corrente per accedere al servizio incriminato della fase 1.

FASE 1:

In questa fase dobbiamo disabilitare un servizio creato dal malware. Il nome del servizio è casuale, cioè cambia da infezione a infezione.

Gli utenti della PROFESSIONAL possono contattare l'assistenza tecnica, la quale indicherà il nome del servizio da disabilitare.


Dal pannello di controllo, clickare su STRUMENTI DI AMMINISTRAZIONE e dopo su SERVIZI.
Ora compare la lista dei servizi, nella colonna "Connessione" troverete le voci "Sistema Locale", "Servizio di rete" e una voce insolita:

".\nome casuale".



Il "nome casule" indica il nome di un utente creato dal malware nel vostro computer.

Selezionare il servizio incriminato relativo alla connessione ".\nome casuale", clickare il tasto destro del mouse, facendo comparire il menu a tendina e selezionare PROPRIETA'.

Dalle proprietà del servizio, dovete segnarVi la cartella ed il file del servizio che trovate sotto a "PERCORSO FILE ESEGUIBILE" (questo vi servirà per cancellare i file successivamente).

Successivamente impostare il TIPO DI AVVIO: DISABILITATO (importantissimo!)
A questo punto riavviare il computer e passare alla fase 2.

Se Windows non vi permette di disabilitare il servizio incriminato, allora dovete riavviare il computer in modalità provvisoria, ed eseguire la procedura:
1) Eseguire il programma REGEDIT e selezionare il percorso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOME_DEL_SERVIZIO_INCRIMINATO
2) Modificare il valore di START da 2 a 4 relativo al servizio incriminato
3) Riavviare il computer



FASE 2:

Prima di procedere è consigliabile chiudere tutti i programmi e aggiornare VirIT all'ultima versione (menu TOOLS->Aggiornamenti OnLine).

Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica.

La fase 2 va eseguita dalla modalità normale, seguendo alla lettera tutti i passi della procedura.

1) Eseguire il programma REGEDIT e selezionare il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2) Ridurre ad icona il REGEDIT
3) Eseguire il file C:\VIRITEXP\GOVIRITEXPSVC.BAT (IMPORTANTISSIMO!!!) (per gli utenti della Lite c:\vexplite\GOVIRITEXPSVC.BAT)
4) Da VirIT eXplorer clickare sul menu TOOLS->Process Manager
5) Scrivere nel box relativo a "Terminare i thread in base all'indirizzo" il valore 2a93671a oppure il valore 3ee85b73 (oppure 2bb34c8c) a seconda della variante, e dopo clickare varie volte sul pulsante "Kill Thread"

Rootkit valore

Trojan.Win32.Rootkit.D 2a93671a

Trojan.Win32.Rootkit.E 3ee85b73

Trojan.Win32.Rootkit.F 2bb34c8c

Trojan.Win32.Rootkit.G 2a2a3889

Trojan.Win32.Rootkit.H 3e1e6857

Trojan.Win32.Rootkit.I 3e524cd7

Trojan.Win32.Rootkit.J 2a1969d5

N.B: Si consiglia di ripetere l'operazione di Kill Thread per tutti i valori indicati

6) Uscire da VirIT eXplorer Pro
7) Adesso clickare sul programma Regedit ridotto ad icona, selezionare con tasto destro il nome AppInit_DLLs clickare su MODIFICA, compare la finestra Modifica stringa, scrivere nel campo Dati valore: prova.dll e confermare
8) Premere varie volte il pulsante F5, per verificare se su AppInit_DLLs rimane scritto nella colonna DATI il valore Prova.dll, altrimenti ripetere la fase 2.
9) Adesso lasciando aperti tutti i programmi premere il pulsante RESET del computer (quello del case) per riavviarlo brutalmente (importante). Se il computer è sprovvisto di pulsante di RESET, allora togliere l'alimentazione elettrica. Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica. Non servono a niente riavviare il computer o chiudere la sessione, perché il rootkit viene eseguito di nuovo, l'unico modo è quello di "resettare" il computer.

Al successivo riavvio verificare se AppInit_DLLs è uguale a "Prova.dll"


FASE 3:
Se AppInit_DLLs è diverso da "Prova.dll" si deve ripetere la FASE 2.

Adesso eseguire VirIT eXplorer Pro/Lite e procedere alla scansione anti-virus per rimuovere il rootkit.

VirIT, molto probabilmente troverà dei file infetti che verranno rimossi.
Nel caso VirIT eXplorer Pro trovi dei file SOSPETTI segnalati come POSSIBILI VIRUS DI NUOVA GENERAZIONE, contattare TG Soft per l'assistenza (solo per i clienti della versione Professional in assistenza)..

Per i clienti della versione Professional, si consiglia di inviare il file di esecuzione automatica, da VirIT Security Monitor clickare sull'uomo spia e dopo su INVIA MAIL.

Nella FASE 1, vi è stato detto di segnarVi il percorso del file del servizio incriminato, per eliminare questo file, si deve verificare se è un file CRITTOGRAFATO.
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.

N.B.: In Windows XP HOME Edition la scheda PROTEZIONE è visibile solo dalla modalità provvisoria.

In Windows XP Professional la scheda PROTEZIONE è visibile se non è selezionato nelle OPZIONI CARTELLA la voce "Utilizza condivisione file semplice (scelta consigliata)". Per accedere alle OPZIONI CARTELLA: da RISORSE DEL COMPUTER menu STRUMENTI->OPZIONI CARTELLA->VISUALIZZAZIONE nelle IMPOSTAZIONE AVANZATE togliere il flag da "Utilizza condivisione file semplice (scelta consigliata)".


Io mi sono fermato al punto 6, poiche' al 7 non trovo la voce AppInit_DLLs
in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows


Facendo pero' una ricerca nell'intero registro, la voce AppInit_DLLs l'ho trovata invece in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows

(mi sapete dire se si tratta della voce incriminata o se e' normale che ci sia ?)

Piu' precisamente AppInit_DLLs trovata nel percorso anzidetto ha i seguenti "valori":
Nome: AppInit_DLLs
Tipo: REG_SZ
Dati: SYS:Microsoft\Windows NT\CurrentVersion\Windows

Cosa faccio ? Continuo la procedura anche se AppInit_DLLs si trova in un altro percorso del registro ? Non vorrei fare danni................

CIAO e GRAZIE !!

Leggi qua:
Originariamente inviato da bReAkDoWn
Ma riferendomi al servizio che ti è rimasto, ti suggerisco di guardare nelle sue proprietà il nome del suo eseguibile, andare a cercarlo e vedere se effettivamente esista. Se esiste e non è possibile cancellarlo, prova a rinominarlo, e al prossimo avvio dovrebbe essere cancellabile. Puoi provare a rimuoverlo anche con il tool di rimozione di agent di nod32 se vuoi.
Poi potrai cancellare il servizio da prompt dei comandi con il comando sc delete nomeservizio.
Perlomeno questi passaggi funzionano con le vecchie varianti di agent/linkopt, adesso non so se qualcosa sia cambiato.
Il percorso del file che ho trovato da PANNELLO DI CONTROLLO > STRUMENTI DI AMM.NE > SERVIZI
e' il seguente:
C:\programmi\File comuni\System\esk.exe

ma del file esk.exe nessuna traccia....

mha...

Hai controllato che non sia un file nascosto?

Hai controllato che non sia un file nascosto?
Si ho controllato, non si vede nulla......

CIAO !!

Ieri sera mi ha risposto il supporto Prevx dicendomi che entro l'11 o al max. il 12 ottobre sara' rilasciato il nuovo tool gratuito x la rimozione delle altre varianti !!!
GRANDI !!!

Cmq nessuno mi ha ancora risposto se la AppInit_DLLs che ho trovato e' quella dannosa...

Facendo una ricerca nell'intero registro, la voce AppInit_DLLs l'ho trovata in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows

e quindi NON nel percorso decscritto x fare la procedura con VirIT...

(mi sapete dire se si tratta della voce incriminata o se e' normale che ci sia ?)

Piu' precisamente AppInit_DLLs trovata nel percorso anzidetto (...IniFileMapping\win.ini\Windows) ha i seguenti "valori":
Nome: AppInit_DLLs
Tipo: REG_SZ
Dati: SYS:Microsoft\Windows NT\CurrentVersion\Windows

Posso continuare la procedura o aspetto il nuovo tool Prevx ?

Ciao e GRAZIE !!

Raga io vi dò un'altro consiglio per risolvere "velocemente" il problema:
1. se l'os incriminato è infetto mettete l'hard disk in un altro computer
2. fate la scansione con prevx1 (non il tool), virit e avast
3. rimettete l'hard disk nel pc, eliminate i file infetti rimanenti in file comuni, eliminate l'utente sdXxxar da strumenti di amministrazione gestione computer utenti e gruppi locali user, eliminate il servizio creato nel registro ma ricordate che l'utente admin deve diventare proprierario di quella chiave di registro

Ho risolto così per diversi clienti poi fate vobis ;)

Raga io vi dò un'altro consiglio per risolvere "velocemente" il problema:
1. se l'os incriminato è infetto mettete l'hard disk in un altro computer
2. fate la scansione con prevx1 (non il tool), virit e avast
3. rimettete l'hard disk nel pc, eliminate i file infetti rimanenti in file comuni, eliminate l'utente sdXxxar da strumenti di amministrazione gestione computer utenti e gruppi locali user, eliminate il servizio creato nel registro ma ricordate che l'utente admin deve diventare proprierario di quella chiave di registro

Ho risolto così per diversi clienti poi fate vobis ;)

una delle migliori soluzioni, però alcuni "virus" si rimuovono solo se è in "moto" il sistema operativo, comunque è sicuramente il primo passo da fare.

O usare AVAST! CD.

Ieri sera mi ha risposto il supporto Prevx dicendomi che entro l'11 o al max. il 12 ottobre sara' rilasciato il nuovo tool gratuito x la rimozione delle altre varianti !!!
GRANDI !!!


Per curiositá, chi é che ti ha risposto dell'assistenza tecnica? :D

Comunque si, in generale le date dovrebbero essere queste. Mi stupisco che abbiano dato queste date perché in parte dipende anche da me, ergo significa che devo muovermi :D

Raga io vi dò un'altro consiglio per risolvere "velocemente" il problema:
1. se l'os incriminato è infetto mettete l'hard disk in un altro computer
2. fate la scansione con prevx1 (non il tool), virit e avast
3. rimettete l'hard disk nel pc, eliminate i file infetti rimanenti in file comuni, eliminate l'utente sdXxxar da strumenti di amministrazione gestione computer utenti e gruppi locali user, eliminate il servizio creato nel registro ma ricordate che l'utente admin deve diventare proprierario di quella chiave di registro

Ho risolto così per diversi clienti poi fate vobis ;)

è fattibile anche da un'altra partizione sulla stessa macchina?

è fattibile anche da un'altra partizione sulla stessa macchina?
Credo di si, basta che l'os stia sulla seconda partizione.

Cmq nessuno mi ha ancora risposto se la AppInit_DLLs che ho trovato e' quella dannosa...

Facendo una ricerca nell'intero registro, la voce AppInit_DLLs l'ho trovata in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows

e quindi NON nel percorso decscritto x fare la procedura con VirIT...

(mi sapete dire se si tratta della voce incriminata o se e' normale che ci sia ?)

Piu' precisamente AppInit_DLLs trovata nel percorso anzidetto (...IniFileMapping\win.ini\Windows) ha i seguenti "valori":
Nome: AppInit_DLLs
Tipo: REG_SZ
Dati: SYS:Microsoft\Windows NT\CurrentVersion\Windows

Posso continuare la procedura o aspetto il nuovo tool Prevx ?

Ciao e GRAZIE !!

Allora, la voce che hai trovato nel registro non è quella interessata dal malware, quindi puoi tranquillamente lasciarla perdere.

Ricapitolando la situazione, gmer ti funziona? Se sì potresti fare due log: rootkit e autostart e postarli nel forum in modo da poterli esaminare. Perchè alla fine, se non hai servizi casuali, se non hai rootkit, se non hai il bho di linkoptimizer, non sei infetto. Perlomeno per quanto riguarda il malware di cui stiamo parlando in questo thread.
A quel punto o hai qualcos'altro o quell'svchost sta eseguendo dei compiti legittimi di sistema. Magari guardando l'indirizzo esatto a cui tenta di connettersi si potrebbero ricavare informazioni più specifiche.

Allora, la voce che hai trovato nel registro non è quella interessata dal malware, quindi puoi tranquillamente lasciarla perdere.

Ricapitolando la situazione, gmer ti funziona? Se sì potresti fare due log: rootkit e autostart e postarli nel forum in modo da poterli esaminare. Perchè alla fine, se non hai servizi casuali, se non hai rootkit, se non hai il bho di linkoptimizer, non sei infetto. Perlomeno per quanto riguarda il malware di cui stiamo parlando in questo thread.
A quel punto o hai qualcos'altro o quell'svchost sta eseguendo dei compiti legittimi di sistema. Magari guardando l'indirizzo esatto a cui tenta di connettersi si potrebbero ricavare informazioni più specifiche.

Ciao, problema risolto. Era abilitato il servizio NetBIOS su TCP/IP..
Su un sito ho letto cmq che tenerlo abilitato non e' il massimo della sicurezza, percio' l'ho disabilitato ed ora quegli avvisi "SVCHOST create server listener" ecc.. ecc... (ed il fatto che svchost risultasse in sempre in listening) ora non ci sono piu'...

Se qualcuno pensa di avere il netbios attivo e vuole disabilitarlo tanto x stare + tranquillo, basta andare in Pannello di controllo > Connessioni di rete > right-click sulla connessione usata (in genere c'e' il modem usato) > Proprieta' > Rete > doppio click su PROTOCOLLO INTERNET (TCP/IP) > Avanzate > WINS > Disabilita NetBIOS su TCP/IP > OK

Pero' mi resta un dubbio... Su un PC Win XP home, questo servizio netbios su TCP/IP risulta abilitato, ma SVCHOST non si mette in ascolto su netbios-ssn e gli avvisi di Prevx1 Event (SVCHOST Create server listener - SVCHOST NetBIOS out - ecc...) non ci sono... Come mai ?

Il pc su cui invece SVCHOST si comportava nel modo descritto (prima di disabilitare il netbios su tcp/ip) e' Win XP PRO...

E' dovuto semplicemente al diverso comportamente tra XP PRO e HOME ?
O e' stato un malware ad attivare il netbios ?

Ciao !!

Per curiositá, chi é che ti ha risposto dell'assistenza tecnica? :D

Comunque si, in generale le date dovrebbero essere queste. Mi stupisco che abbiano dato queste date perché in parte dipende anche da me, ergo significa che devo muovermi :D

Ciao eraser :) , il messaggio di Prevx era firmato da un certo Jacques...
Ciao e buon lavoro, siete i migliori !!!

Ecco a chi mi tocca fare il cazziatone, a Jacques :D:D

A chi é tutt'ora infetto chiedo un altro favore:

Vedete se sul pc infetto avete:

1) una dll sotto system32 creata da poco, dalle dimensioni di circa 12kb e con un nome random, tipo msvaa.dll o wraa.dll etc...etc....

2) un file exe sotto C:\Windows\temp dal nome <random>1.exe

Se li avete per favore mandatemeli in un file zip all'email samples@pcalsicuro.com

Quanti piu me ne mandate tanto piú velocemente uscirá il tool ;)

nessuna news ?

Segnalo un problema non da poco che mi è successo oggi. Windows 2000 con rootkit variante j. Ho lanciato il Prevxremovaltool e mi ha chiesto di riavviare il pc. Riavviato la macchina ha eseguito la rituale scansione poi ha iniziato a segnalarmi i soliti file e i soliti utenti infetti e poi il fattaccio ........ in automatico mi ha cancellato tuto quello contenuto nella cartella Desktop dell'utene administrator, compreso preferiti e impostazioni locali e mi ha cancellato altri file di sistema poi bloccandosi con errori fatali .....
Attenzione per questo problema che mi è costato 4 ore di lavoro per recuperare i deleted ....


con che programma hai recuperato deleted?? graazie

con che programma hai recuperato deleted?? graazie

i deleted... (ops)

ma come ci si infetta ?
Sto cercando di capire come sia successo... è vero che sono protetto solo dal firewall d windows, ma
uso firefox e sono dietro router...

bha :mbe:

ma come ci si infetta ?
Sto cercando di capire come sia successo... è vero che sono protetto solo dal firewall d windows, ma
uso firefox e sono dietro router...

bha :mbe:
anch'io non ho ancora capito come si becca

anch'io non ho ancora capito come si becca

in effetti un chiarimento non sarebbe male :muro:

E' spiegato molto bene in QUESTO (http://pcalsicuro.phpsoft.it/gromozon.pdf) documento, scritto da eraser.
Oppure potete leggere QUESTO (http://www.hwupgrade.it/news/sicurezza/gromozon-parassita-che-ama-il-tricolore_18390.html) articolo, scritto sempre da eraser.
:D

ok letti tuttavia ho un dubbio: sul testo di eraser c'è scritto che nod32 riconosce il virus come trojan agent.vp...

tempo fa antivir mi ha segnalato un file infetto con quel tipo di virus e rimosso il file io non ho avuto più problemi, cosa devo pensare? antivir ha fatto il miracolo di prevenzione?

il tool di questo topic non rileva nulla e dato che questo mi è successo un mese fa, non può essere l'ultima versione...

ok letti tuttavia ho un dubbio: sul testo di eraser c'è scritto che nod32 riconosce il virus come trojan agent.vp...

tempo fa antivir mi ha segnalato un file infetto con quel tipo di virus e rimosso il file io non ho avuto più problemi, cosa devo pensare? antivir ha fatto il miracolo di prevenzione?

devi pensare che un mese fa podarsi che Antivir avesse aggiunto la definizione per quella versione del malware, quindi te l'ha individuato prima che potesse agire ;)

devi pensare che un mese fa podarsi che Antivir avesse aggiunto la definizione per quella versione del malware, quindi te l'ha individuato prima che potesse agire ;)

antivir :sborone:
cmq ne il tool di prevx ne quello symantec trovano nulla quindi sono tranquillo :D