*** Removal Tool LinkOptimizer / Gromozon ***

[joker76]

ok sul nuovo PC infetto (quello sul quale non riesco a cancellare il file com5.yha) il tool non va
sia modalità normale che provvisoria (windows 2000), si blocca: avvisa di disattivare l'antivirus e poi niente, se vado in task manager mi dice che il programma non risponde... (nessun segno di attività dell'HD...)
lo avvierei dal CD di bartPE, ma lì mi analizza il registro di bartPE e ovviamente quello risulta pulito...
qualche idea???

[eraser]

cioè? lo lanci, ti avverte di disattivare l'antivirus e poi niente? nessun segnale?

[joker76]

esatto... neanche il refresh dello schermo se é per quello: la parte della finestra coperta dall'alert che riguarda l'antivirus rimane grigia...
so che é perché il rootkit é in funzione e rallenta il PC, ma fa lo stesso anche in provvisoria...
su un altro PC ancora ho risolto almeno i rallentamenti cancellando il file com5.ext e poi ho ripulito con ewido, ma qui non riesco a cancellarlo...
tra l'altro non parte neanche the avenger... (quest ultimo non l'ho provato in provvisoria, xó...)

[eraser]

Quote:

Originariamente inviato da joker76

esatto... neanche il refresh dello schermo se é per quello: la parte della finestra coperta dall'alert che riguarda l'antivirus rimane grigia...
so che é perché il rootkit é in funzione e rallenta il PC, ma fa lo stesso anche in provvisoria...
su un altro PC ancora ho risolto almeno i rallentamenti cancellando il file com5.ext e poi ho ripulito con ewido, ma qui non riesco a cancellarlo...
tra l'altro non parte neanche the avenger... (quest ultimo non l'ho provato in provvisoria, xó...)

però almeno parte giusto? si blocca immediatamente dopo che hai cliccato su scan immagino

[joker76]

sì...

aggiornamento:
il file system del PC incriminato é NTFS quindi forse il file da cancellare é in un ADS, ma, trovandosi in c:\winnt\system32,
come faccio a sapere in quale ADS si trova? e come lo elimino? (provato con hijackthis x lanciare l'ADS Spy ma hijachthis non parte... )
The avenger non parte neanche in modalità provvisoria e neanche dopo averne modificato l'exe con un editor esadecimale...
ora vedo con una knoppix che riesco a fare...

[BilloKenobi]

posso? è uscita recentemente la 1.5.0.7 di firefox... io usavo questo browser perchè bloccava il download automatico di virus, dialer e compagnia bella (tra cui li LinkOptimizer)...

oggi visitando un sito becco una delle classiche pagine tricolori che fanno riferimento a td8eau9td.com... mi incazzo ma penso... vabbè, firefox bloccherà il download avvertendomi con la solita schermata del file www.google.com.... e invece firefox scarica il virus senza dirmi nulla.... non fosse stato per avast, ora scommaterei col tool di rimozione... è successo anche ad altri?

[groot]

Quote:

Originariamente inviato da joker76

ok sul nuovo PC infetto (quello sul quale non riesco a cancellare il file com5.yha) il tool non va
sia modalità normale che provvisoria (windows 2000), si blocca: avvisa di disattivare l'antivirus e poi niente, se vado in task manager mi dice che il programma non risponde... (nessun segno di attività dell'HD...)
lo avvierei dal CD di bartPE, ma lì mi analizza il registro di bartPE e ovviamente quello risulta pulito...
qualche idea???

Eccomi qua ho aperto anche un nuovo post, per il file in questione.

Anche io ho un pc con com5.vlb INCANCELLABILE ORAMAI....

devo provare con la sintassi \.\\com5.vlb

[marika43]

Con bartpe puoi accedere anche al registro del sistema su HD

[joker76]

Quote:

Originariamente inviato da marika43

Con bartpe puoi accedere anche al registro del sistema su HD

ho provato... mi da cmq accesso negato alla chiave che riguarda il servizio fasullo creato dal virus...

[groot]

Quote:

Originariamente inviato da eraser

Abbiamo aggiornato il tool con alcuni fix

a me il prevx ha rimosso alcuni file ma non il virus/rootkit in questione, non ha rimosso il servizio che veniva avviato e non mi ha rimosso l'utente random generato per controllare il servizio.

e ho sempre un file che si chiama com5.vlb che non si può cancellare, ho fatto l'accesso anche con linux, e non ho ottenuto niente altro che un dal sistema.

qualcuno parlava di avenger gren... ecc ma non ha inserito link per scaricarli..

qualucno ha parlato di cancellare con questo metodo \.\\com5.vlb qualcuno potrebbe aiutarmi in merito GRAZIE!!!

[bReAkDoWn]

Quote:

Originariamente inviato da groot

a me il prevx ha rimosso alcuni file ma non il virus/rootkit in questione, non ha rimosso il servizio che veniva avviato e non mi ha rimosso l'utente random generato per controllare il servizio.

e ho sempre un file che si chiama com5.vlb che non si può cancellare, ho fatto l'accesso anche con linux, e non ho ottenuto niente altro che un dal sistema.

qualcuno parlava di avenger gren... ecc ma non ha inserito link per scaricarli..

qualucno ha parlato di cancellare con questo metodo \.\\com5.vlb qualcuno potrebbe aiutarmi in merito GRAZIE!!!

Gmer lo trovi su www.gmer.net. Fai due log: uno per gli autostart e uno per rootkit e postali sul forum nel thread di linkoptimizer. Da lì vediamo in che condizioni è rimasto il sistema.

[groot]

Quote:

Originariamente inviato da bReAkDoWn

Gmer lo trovi su www.gmer.net. Fai due log: uno per gli autostart e uno per rootkit e postali sul forum nel thread di linkoptimizer. Da lì vediamo in che condizioni è rimasto il sistema.

in quale forum scusa?


i log con cosa devo farli?


ho fatto una scansione con GMER, ho della roba rossa, e un messaggio che mi dice che ci sono dei rootkit, però non ho minimante idea di come funzioni quel programma.

PS: dimenticavo, grazie per l'aiuto.. :-)

[bReAkDoWn]

Allora, gmer ha varie sezioni. Vai in autostart, premi scan, quando ha finito premi copy. A quel punto inizi a scrivere il messaggio sul forum e nella finestra in cui lo stai digitando premi CTRL-V per incollare il risultato di gmer che hai copiato poco prima. Lo stesso fai con la sezione rootkit.

Il thread a cui mi riferisco è questo: http://www.hwupgrade.it/forum/showth...8&goto=newpost

^^^ edit: questo thread è ancora nella sezione generica sulla sicurezza, quindi a questo punto non so quale dei sue sia più appropriato. Forse è meglio postare in questo, casomai poi decideranno i moderatori.

[groot]

Quote:

GMER 1.0.11.11349 - http://www.gmer.net
Rootkit 2006-09-16 18:58:42
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.11 ----

SSDT pxfsf.sys ZwAlertResumeThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwAllocateUserPhysicalPages <-- ROOTKIT !!!
SSDT pxfsf.sys ZwAllocateVirtualMemory <-- ROOTKIT !!!
SSDT pxfsf.sys ZwClose <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCompactKeys <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCompressKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateDirectoryObject <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateEvent <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateEventPair <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateIoCompletion <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateJobObject <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateMailslotFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateMutant <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateNamedPipeFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreatePort <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateProcessEx <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateSection <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateSemaphore <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateSymbolicLinkObject <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateTimer <-- ROOTKIT !!!
SSDT pxfsf.sys ZwCreateToken <-- ROOTKIT !!!
SSDT pxfsf.sys ZwDeleteFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwDeleteKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwDeleteValueKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwDeviceIoControlFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwDuplicateObject <-- ROOTKIT !!!
SSDT pxfsf.sys ZwEnumerateKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwEnumerateValueKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwFreeUserPhysicalPages <-- ROOTKIT !!!
SSDT pxfsf.sys ZwFreeVirtualMemory <-- ROOTKIT !!!
SSDT pxfsf.sys ZwImpersonateAnonymousToken <-- ROOTKIT !!!
SSDT pxfsf.sys ZwImpersonateThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwLoadDriver <-- ROOTKIT !!!
SSDT pxfsf.sys ZwLoadKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwLoadKey2 <-- ROOTKIT !!!
SSDT pxfsf.sys ZwLockRegistryKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwLockVirtualMemory <-- ROOTKIT !!!
SSDT pxfsf.sys ZwMapViewOfSection <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenProcessToken <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenSection <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwOpenThreadToken <-- ROOTKIT !!!
SSDT pxfsf.sys ZwProtectVirtualMemory <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueryInformationProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueryInformationThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueryKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueryMultipleValueKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueryOpenSubKeys <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueryValueKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwQueueApcThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwReadFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwReadVirtualMemory <-- ROOTKIT !!!
SSDT pxfsf.sys ZwRenameKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwReplaceKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwRestoreKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwResumeProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwResumeThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSaveKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSaveKeyEx <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSaveMergedKeys <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSetContextThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSetInformationKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSetInformationProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSetInformationThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSetSystemInformation <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSetValueKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSuspendProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSuspendThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwSystemDebugControl <-- ROOTKIT !!!
SSDT pxfsf.sys ZwTerminateJobObject <-- ROOTKIT !!!
SSDT pxfsf.sys ZwTerminateProcess <-- ROOTKIT !!!
SSDT pxfsf.sys ZwTerminateThread <-- ROOTKIT !!!
SSDT pxfsf.sys ZwUnloadDriver <-- ROOTKIT !!!
SSDT pxfsf.sys ZwUnloadKey <-- ROOTKIT !!!
SSDT pxfsf.sys ZwUnloadKeyEx <-- ROOTKIT !!!
SSDT pxfsf.sys ZwUnlockVirtualMemory <-- ROOTKIT !!!
SSDT pxfsf.sys ZwUnmapViewOfSection <-- ROOTKIT !!!
SSDT pxfsf.sys ZwWriteFile <-- ROOTKIT !!!
SSDT pxfsf.sys ZwWriteVirtualMemory <-- ROOTKIT !!!

Code 7D4C2DCF KeSetProfileIrql

---- Processes - GMER 1.0.11 ----

Process alg.exe (*** hidden *** ) [1964] 8214F8B0
Process winlogon.exe (*** hidden *** ) [464] 82105DA0
Process svchost.exe (*** hidden *** ) [812] 820ECDA0
Process PXAgent.exe (*** hidden *** ) [1520] 82328870
Process MsMpEng.exe (*** hidden *** ) [764] 821756C0
Process lsass.exe (*** hidden *** ) [520] 822C7DA0
Process svchost.exe (*** hidden *** ) [956] 82272258
Process svchost.exe (*** hidden *** ) [668] 820B2958
Process services.exe (*** hidden *** ) [508] 822C3D78
Process svchost.exe (*** hidden *** ) [1676] 820B02E0
Process svchost.exe (*** hidden *** ) [728] 820C4DA0
Process McShield.exe (*** hidden *** ) [1276] 821D5D10
Process svchost.exe (*** hidden *** ) [860] 820B2508
Process MpfService.exe (*** hidden *** ) [1400] 8220F350
Process MDM.EXE (*** hidden *** ) [1380] 822A7A20
Process csrss.exe (*** hidden *** ) [440] 820A4880

---- Files - GMER 1.0.11 ----

ADS ... <-- ROOTKIT !!!

---- EOF - GMER 1.0.11 ----

Eccolo.... questo è completo?

[bReAkDoWn]

sì, adesso vediamo l'altro..

[groot]

Quote:

Originariamente inviato da bReAkDoWn

sì, adesso vediamo l'altro..

Quote:

GMER 1.0.11.11349 - http://www.gmer.net
Autostart 2006-09-16 19:59:26
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon@DLLName = WgaLogon.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
McDetect.exe /*McAfee WSC Integration*/@ = c:\programmi\mcafee.com\agent\mcdetect.exe
McShield /*McAfee.com McShield*/@ = c:\PROGRA~1\mcafee.com\vso\mcshield.exe
McTskshd.exe /*McAfee Task Scheduler*/@ = c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE"
MpfService /*McAfee Personal Firewall Service*/@ = C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
nVzAd /*nVzAd*/@ = "C:\Programmi\File comuni\System\dgfmVK.exe" /*file not found*/
PREVXAgent /*Prevx Agent*/@ = "C:\Programmi\Prevx1\PXAgent.exe" -f
ScsiPort@ = %SystemRoot%\system32\drivers\scsiport.sys
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
viritsvclite /*Virit eXplorer Lite*/@ = C:\VEXPLITE\viritsvc.exe
WinDefend /*Windows Defender Service*/@ = "C:\Programmi\Windows Defender\MsMpEng.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@C-Media MixerMixer.exe /startup = Mixer.exe /startup
@VSOCheckTask"C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask = "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
@VirusScan OnlineC:\Programmi\McAfee.com\VSO\mcvsshld.exe = C:\Programmi\McAfee.com\VSO\mcvsshld.exe
@OASClntC:\Programmi\McAfee.com\VSO\oasclnt.exe = C:\Programmi\McAfee.com\VSO\oasclnt.exe
@MCAgentExec:\PROGRA~1\mcafee.com\agent\mcagent.exe = c:\PROGRA~1\mcafee.com\agent\mcagent.exe
@MCUpdateExec:\PROGRA~1\mcafee.com\agent\mcupdate.exe = c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
@MPFExeC:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe = C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
@Windows Defender"C:\Programmi\Windows Defender\MSASCui.exe" -hide = "C:\Programmi\Windows Defender\MSASCui.exe" -hide
@UnlockerAssistant"C:\Programmi\Unlocker\UnlockerAssistant.exe" = "C:\Programmi\Unlocker\UnlockerAssistant.exe"
@PrevxOne"C:\Programmi\Prevx1\PXConsole.exe" = "C:\Programmi\Prevx1\PXConsole.exe"
@VIRIT LITE MONITORC:\VEXPLITE\MONLITE.EXE = C:\VEXPLITE\MONLITE.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} = C:\PROGRA~1\WIFD1F~1\MpShHook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/(null) =
@{32683183-48a0-441b-a342-7c2a440a9478} /*Media Band*/(null) =
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{00020D75-0000-0000-C000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{C81DCBCA-8AE2-41FC-9C39-78B160393210} /*RhinoShExt*/C:\WINDOWS\system32\RhinoShExt.dll = C:\WINDOWS\system32\RhinoShExt.dll
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Previous Versions Property Page*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Previous Versions*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/C:\WINDOWS\System32\extmgr.dll = C:\WINDOWS\System32\extmgr.dll
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{A4DF5659-0801-4A60-9607-1C48695EFDA9} /*Cartella di caricamento Share-to-Web*/C:\Programmi\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL = C:\Programmi\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL
@{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} /*UnlockerShellExtension*/C:\Programmi\Unlocker\UnlockerCOM.dll = C:\Programmi\Unlocker\UnlockerCOM.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
RhinoShExt@{C81DCBCA-8AE2-41FC-9C39-78B160393210} = C:\WINDOWS\system32\RhinoShExt.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers@{CFC7205E-2792-4378-9591-3879CC6C9022} = c:\progra~1\mcafee.com\vso\mcvsshl.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
UnlockerShellExtension@{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} = C:\Programmi\Unlocker\UnlockerCOM.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers@{CFC7205E-2792-4378-9591-3879CC6C9022} = c:\progra~1\mcafee.com\vso\mcvsshl.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{55EA1964-F5E4-4D6A-B9B2-125B37655FCB}C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll = C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\programmi\google\googletoolbar2.dll = c:\programmi\google\googletoolbar2.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\System32\sstext3d.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/webhp?sourceid=navclient&hl=it&ie=UTF-8&rls=GGLG,GGLG:2006-21,GGLG:it = http://www.google.it/webhp?sourceid=...006-21,GGLG:it
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\MSITSS.DLL
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\System32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{D9CD4670-435A-4973-8AC0-1F5A87C73632} /*Connessione rete senza fili 2*/ >>>
@IPAddress192.168.1.7 = 192.168.1.7
@NameServer192.168.1.1 = 192.168.1.1
@DefaultGateway192.168.1.1 = 192.168.1.1
@Domain =

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = Adobe Reader Speed Launch.lnk

---- EOF - GMER 1.0.11 ----

[bReAkDoWn]

@groot
Ad una occhiata veloce ho notato soltanto questo:

nVzAd /*nVzAd*/@ = "C:\Programmi\File comuni\System\dgfmVK.exe" /*file not found*/

sei riuscito a cancellare il file ma non riesci ad eliminare il servizio? In tal caso da prompt dei comandi digita sc delete nvzad
Riguardo al file che non riesci a cancellare, dovrebbe essere innocuo, quindi per adesso può restare anche lì. Se vuoi tentare comunque, descrivi precisamente in che cartella si trova, se riesci a vederlo entrando nella cartella da risorse del computer, ecc.

[groot]

Quote:

Originariamente inviato da bReAkDoWn

@groot
Ad una occhiata veloce ho notato soltanto questo:

nVzAd /*nVzAd*/@ = "C:\Programmi\File comuni\System\dgfmVK.exe" /*file not found*/

sei riuscito a cancellare il file ma non riesci ad eliminare il servizio? In tal caso da prompt dei comandi digita sc delete nvzad
Riguardo al file che non riesci a cancellare, dovrebbe essere innocuo, quindi per adesso può restare anche lì. Se vuoi tentare comunque, descrivi precisamente in che cartella si trova, se riesci a vederlo entrando nella cartella da risorse del computer, ecc.

Il servizio è rimosso ma ogni volta si ripresenta.
Anche se ho eliminato il file.

mi rimane un file che viene segnalato come infetto da Spy-Agent.bb da McAfee, tale com5.vlb che non è POSSIBILE in alcun modo cancellarlo.

[McTony]

E' probabilmente collegato a qualche altro file che lo blinda. Trovarlo è dura.

[GmG]

Quote:

Originariamente inviato da groot

qualucno ha parlato di cancellare con questo metodo \.\\com5.vlb qualcuno potrebbe aiutarmi in merito GRAZIE!!!

Da prompt dei comandi digiti

del \.\\[percorso]\com5.vlb

es se il file si trova in c:\windows\com5.vlb


del \.\\c:\windows\com5.vlb