sarà mica gromozon?

[luca2]

Ho scaricato hijackthis e questo è il log risultante:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Virtual CD v8\System\VC8SecS.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Google\GoogleToolbarNotifier\1.2.908. 5008\GoogleToolbarNotifier.exe
C:\Documents and Settings\Max\Desktop\_a_i_g_i_a_c_k_t_h_i_s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\wind ows\compaqstorage.exe","c:\windows\mcafeetool.exe" ,"c:\windows\4b.tmp","c:\windows\seagatelan.exe"," c:\windows\googledriver.exe","c:\windows\fujitsu-sensor.exe","c:\windows\mcafeemonitor.exe","c:\win dows\seagate-utility.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: Class - {6C583D50-8BAE-51CA-659F-494E4F41FB15} - blank (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePs w.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\Max\IMPOST~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [VVSN] C:\Programmi\VVSN\VVSN.exe
O4 - HKLM\..\Run: [plrq1.exe] C:\WINDOWS\TEMP\plrq1.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Programmi\SystemDoctor 2006 Free\sd2006.exe -scan
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Programmi\ATI Multimedia\main\ATIDtct.EXE
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programmi\ATI Multimedia\dtv\EXPLBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://d3v1l87.spaces.live.com//Phot...d/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1135362102250
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.photocity.it/areaclienti/...eUploader4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://filelodge.bolt.com/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall\persfw.exe
O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\b001.exe" /service (file missing)
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programmi\Virtual CD v8\System\VC8SecS.exe

[luca2]

Boh ho dovuto spezzetare il post il sistema mi diceva che era troppo lungo.

Comunque

Il log sopra è del pc di un altro mio amico che oltre ad aver il pc incasinato per
fatti suoi è stato anche infettato da qualche virus tosto.

Visto che aveva gli stessi sintomi del pc di un altro mio amico ho scaricato i tool
per il gromozon, ma alcuni non si avviaavano altri non intercettavano niente.

In c:\programmi\file comuni\system
ci sono parecchi file exe in colore verde

Ho scaricato anche prevx1 e ho avviato lo scan.
Sembra adesso che antivir non intercetti più i vari virus in continuazione ma non so se la cosa è finità qua visto che quei file verdi ci sono ancora.
Potete dirmi qualcosa?
grazie

[RustyOrx]

SPYWARE: O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Programmi\SystemDoctor 2006 Free\sd2006.exe -scan
La soluzione (in inglese): http://www.bleepingcomputer.com/forums/topic58656.html
In Italiano: http://forum.zeusnews.com/viewtopic....asc&highlight=

Strumento di rimozione:
http://www.f-secure.com/v-descs/zlob.shtml
http://www.f-secure.com/tools/f-spyaxe.zip

[crazy.cat]

Bastano questi come problemi?
Cambia antivirus e fai una bella scansione con questo
http://www.activevirusshield.com/ant...eav/index.adp?
Poi con unlocker elimina qualche exe di quelli indicati più sotto.
Meglio se le eliminazioni le fai dalla modalitò provvisoria.

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\wind ows\compaqstorage.exe","c:\windows\mcafeetool.exe" ,"c:\windows\4b.tmp","c:\windows\seagatelan.exe"," c:\windows\googledriver.exe","c:\windows\fujitsu-sensor.exe","c:\windows\mcafeemonitor.exe","c:\win dows\seagate-utility.exe",
O2 - BHO: Class - {6C583D50-8BAE-51CA-659F-494E4F41FB15} - blank (file missing)
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePs w.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\Max\IMPOST~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [VVSN] C:\Programmi\VVSN\VVSN.exe
O4 - HKLM\..\Run: [plrq1.exe] C:\WINDOWS\TEMP\plrq1.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Programmi\SystemDoctor 2006 Free\sd2006.exe -scan
O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\b001.exe" /service (file missing)

[luca2]

Grazie ragazzi siete grandi!
Ho appena comunicato al mio amico le soluzioni
da voi proposte.

Una domanda:
ma come si viene infettati da questo gromozon o link optimizer?

Io non ho avuto ancora a che farci (sul mio pc), forse perchè
ho un 56k e non uso emule e i miei amici hanno rispettivamente
adsl e fastweb e fanno un uso massiccio di emule..magari poi non
significa niente.
grazie ancora

[crazy.cat]

Basta non avere le patch installate o il Sp2 e i virus piovono a catinelle.
Il gromozon poi gira per la rete che è un piacere.

[luca2]

Quota:

Inviato da crazy.cat

Basta non avere le patch installate o il Sp2 e i virus piovono a catinelle.
Il gromozon poi gira per la rete che è un piacere.

Strano. Io non ho installato il sp1 eppure è difficile che prenda un virus.
I miei amici, con i pc infettati,
sopra citati, uno aveva installato il sp2 con tutti gli aggiornamenti e l'altro
solo il sp1.
I punti in comune sono che hanno una connessione veloce e fanno uso massiccio di emule.

Io intendevo comunque come tecnicamente entrano nel pc (allegati, pagine infette con script o basta la semplice connessione)
grazie ancora

[crazy.cat]

Allegati forse un po meno, ormai molti provider li segano prima che arrivano sul pc.

ci sono moltissime pagine infette con script scritti ad arte per infettarti il pc.
Il gromozon è il più classico esempio, basta la pagina con il tricolore e lasciar passare, con ie, i file infetti e sei a posto.

Il circuito del p2p da una buona mano quando la gente cerca delle "cure" che alla fine infettano il pc.

[luca2]

Quota:

Inviato da crazy.cat

Allegati forse un po meno, ormai molti provider li segano prima che arrivano sul pc.

ci sono moltissime pagine infette con script scritti ad arte per infettarti il pc.
Il gromozon è il più classico esempio, basta la pagina con il tricolore e lasciar passare, con ie, i file infetti e sei a posto.

Il circuito del p2p da una buona mano quando la gente cerca delle "cure" che alla fine infettano il pc.

pagina con il tricolore?

Io comunque uso firefox e opera sarà anche per questo che ho pochi problemi.
i miei amici utilizzano invece IE
ciao e grazie ancora

[crazy.cat]

Quota:

Inviato da luca2

pagina con il tricolore?

Quando vedi una pagina come questa

dietro c'è il gromozon

Quota:

Inviato da luca2

Io comunque uso firefox e opera sarà anche per questo che ho pochi problemi.

Hai già detto tutto sul perchè non hai problemi.

[luca2]

ok grazie

[Ludwig]

@crazy.cat
l'Active Virus Shield è uguale all'ultima versione del Kaspersky o ha qualche features in meno?

[crazy.cat]

Quota:

Inviato da Ludwig

@crazy.cat
l'Active Virus Shield è uguale all'ultima versione del Kaspersky o ha qualche features in meno?

Forse hai sbagliato discussione...

Comunque nelle opzioni di configurazione ci sono dei pulsanti in meno confrontando le foto delle versioni.
Però le cose importanti ci sono, quindi il giudizio è positivo.

[Ludwig]

no, non ho sbagiato discussione; nella pag precedente hai consigliato questo antivirus e ti ho fatto la domanda. Grazie per la risposta