Condividi:        

Help,sono un ignorante/curioso :)

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Help,sono un ignorante/curioso :)

Postdi Fel » 22/11/07 03:19

ringrazio anticipatamente coloro che mi risponderanno...



è normale avere sotto la cartella Documents and Settings di windows una sottocartella da nome alquanto strano come lo può essere :
bBGkXsxcBXrzbSdDaA ?

l unica cosa che ho potuto notare da ignorante è che io non ho creato tale cartella :D
qualcuno mi può rassicurare sulla bontà di quella cartella? thx ;)
Fel
Newbie
 
Post: 5
Iscritto il: 22/11/07 03:07

Sponsor
 

Postdi Fel » 22/11/07 03:29

ehm puntualizzo che ho windows xp
Fel
Newbie
 
Post: 5
Iscritto il: 22/11/07 03:07

Postdi Luke57 » 22/11/07 08:47

Ciao, sei infettato dal gromozon, scarica questi due tools:

prevx
http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://securityresponse.symantec.com/av ... inkopt.exe

Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene completata la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)
Invia anche questo rapporto.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Grazie :)

Postdi Fel » 22/11/07 10:44

hehe thx luke57...devi sapere che oggi mi sono insospettito sulla bontà di quella cartella perchè era da parecchio che l avevo e da ignorante l ho sempre cancellata ma si auto-ricreava da sola...però oggi appunto volendomi solo informare su internet sulla questione mi sono visto palesemente chiudere in faccia le pagine web che mi avrebbero portato alla verità per così dire (e inoltre quando le pagine web non si autochiudevano (sia di mozilla, che di IE) mi dicevano, ma senza caricare nemmeno un attimo, che la pagina non era stata trovata). Ed è lì che sono stato costretto da quel bastardo di gromozon (grazie per avermi detto il nome del virus) a scrivere su questo forum...
inoltre sempre per il suddetto virus (e so che rispetto a me chi l ha fatto è cmq un genio dell informatica, anche se ha leso il mio pc) io non riesco ad aprire i link che mi hai dato...ma fortunatamente sono riuscito a trovare un link che si apre (e non so perchè fra l altro,perchè rimango in ogni caso ignorante :D) che parla apertamente del virus e di come rimuoverlo

parlando ancora del virus(che poi per il computer,si può considerare alla stregua dei virus degli umani e quindi il nome gli calza a pennello) posso dire che mi rendo conto di come sia progettato bene...è il primo virus che prendo che mi impedisce di informarmi su di lui e da quello che ho letto finora è molto diffuso, difficile da "curare" e agisce/altera il pc anche,diciamo,in modo subdolo (del tipo ho letto che può interessare anche l uso della cpu).
Quindi concludendo invito chiunque a informarsi su GROMOZON perchè è un virus PERICOLOSO per il vostro pc! ;)
Fel
Newbie
 
Post: 5
Iscritto il: 22/11/07 03:07

Postdi vomisa » 22/11/07 15:21

Salve, scusate l'intromissione ma penso di aver un problema analogo:
In C: ho 2 cartelle (una creatasi da poco, l'altra da circa 3 mesi) che presentano per nome un lungo e insulso codice alfanumerico e sono piene di file .dll.
Insospettito, anche grazie a questo topic, ho eseguito pari pari le indicazioni suggerite da Luke57, che hanno dato i seguenti esiti:

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Trojan.Gromozon does not exist - your system is clean.

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Trojan.Linkoptimizer has not been found on your computer.

Le cartelle sono ancora lì, può essere qualcos'altro?
Non ho altri fastidii (per il momento) e uso XP sp2 (aggiornato) navigo l'ultima versione di Firefox e effettuo regolarmente le scansioni con Avast! e SpyBoot.

Grazie e ciao a tutti.
vomisa
Utente Junior
 
Post: 14
Iscritto il: 31/10/07 16:52

Postdi Luke57 » 22/11/07 15:44

@ Vomisa.
Ciao, scarica systemscan da qui:
http://www.suspectfile.com/systemscan
lo avvi, con le applicazioni chiuse e antivirus disattivato, spunti l'opzione "recent files days old" impostando a 60 gg., premi scan.
Copia e incolla in un post il report della scansione.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi vomisa » 22/11/07 15:58

Gentilissimo Luke ecco qua:

SystemScan - http://www.suspectfile.com - ver. 3.2.2

Running on: Windows XP PROFESSIONAL Edition, Service Pack 2 (2600.5.1)
System directory: C:\WINDOWS

Date: 22/11/2007
Time: 15.49.52

Output limited to:
-Recent files

===================== Recent files (60 days old)=====================

----- recent files in C:\
06/11/2007 08.25.12 211 byte 16 days old -- boot.ini
09/11/2007 13.51.00 (DIR) 0 byte 13 days old -- 5fc983957e7a618eb402079d7e7a4d66
22/11/2007 11.56.16 227 byte 0 days old -- gromozon_removal.log
22/11/2007 15.06.20 267964416 byte 0 days old -- hiberfil.sys
22/11/2007 15.06.20 402653184 byte 0 days old -- PAGEFILE.SYS
22/11/2007 15.49.54 (DIR) 0 byte 0 days old -- suspectfile

----- recent files in C:\WINDOWS\
10/10/2007 16.39.20 (DIR) 0 byte 43 days old -- $NtUninstallKB941202$
10/10/2007 16.39.36 (DIR) 0 byte 43 days old -- $NtUninstallKB933729$
10/10/2007 17.35.58 (DIR) 0 byte 43 days old -- $NtUninstallKB939653_0$
24/10/2007 17.22.26 (DIR) 0 byte 29 days old -- pss
06/11/2007 08.25.12 227 byte 16 days old -- system.ini
06/11/2007 08.25.12 739 byte 16 days old -- win.ini
09/11/2007 13.55.40 (DIR) 0 byte 13 days old -- $NtUninstallKB904942$
09/11/2007 13.56.12 (DIR) 0 byte 13 days old -- $NtUninstallKB914440$
09/11/2007 13.56.14 (DIR) 0 byte 13 days old -- network diagnostic
09/11/2007 13.56.22 (DIR) 0 byte 13 days old -- $NtUninstallKB939653$
09/11/2007 13.58.00 (DIR) 0 byte 13 days old -- $NtUninstallKB915865$
09/11/2007 13.59.10 (DIR) 0 byte 13 days old -- $NtServicePackUninstallNLSDownlevelMapping$
09/11/2007 13.59.48 (DIR) 0 byte 13 days old -- $NtServicePackUninstallIDNMitigationAPIs$
09/11/2007 14.00.16 (DIR) 0 byte 13 days old -- ie7
09/11/2007 14.03.22 (DIR) 0 byte 13 days old -- WBEM
09/11/2007 14.17.36 (DIR) 0 byte 13 days old -- ie7updates
13/11/2007 09.29.18 (DIR) 0 byte 9 days old -- Microsoft.NET
13/11/2007 09.29.20 (DIR) 0 byte 9 days old -- assembly
14/11/2007 08.27.14 (DIR) 0 byte 8 days old -- $NtUninstallKB943460$
19/11/2007 10.29.12 50 byte 3 days old -- ccolwiz.ini
22/11/2007 12.14.52 50 byte 0 days old -- wiaservc.log
22/11/2007 12.14.58 32590 byte 0 days old -- SchedLgU.Txt
22/11/2007 15.05.28 1433404 byte 0 days old -- WindowsUpdate.log
22/11/2007 15.06.22 2048 byte 0 days old -- bootstat.dat
22/11/2007 15.06.34 159 byte 0 days old -- wiadebug.log
22/11/2007 15.47.10 1851 byte 0 days old -- Pregeo.INI
22/11/2007 15.48.30 875 byte 0 days old -- setupapi.log

----- recent files in C:\WINDOWS\Downloaded Program Files\

----- recent files in C:\WINDOWS\system\

----- recent files in C:\WINDOWS\system32\
04/10/2007 09.59.54 12288 byte 49 days old -- advpack.dll.mui
08/10/2007 14.46.18 14640 byte 45 days old -- spmsg.dll
11/10/2007 14.12.48 1468968 byte 42 days old -- LegitCheckControl.dll
25/10/2007 17.14.26 95608 byte 28 days old -- AvastSS.scr
25/10/2007 17.24.46 815480 byte 28 days old -- aswBoot.exe
25/10/2007 17.42.46 8489472 byte 28 days old -- shell32.dll
29/10/2007 08.22.44 202528 byte 24 days old -- FNTCACHE.DAT
29/10/2007 16.07.18 366592 byte 24 days old -- xpsp3res.dll
02/11/2007 08.12.58 18238072 byte 20 days old -- MRT.exe
09/11/2007 14.03.20 (DIR) 0 byte 13 days old -- it-it
13/11/2007 09.29.16 (DIR) 0 byte 9 days old -- URTTemp
15/11/2007 16.25.06 1744 byte 7 days old -- d3d9caps.dat
15/11/2007 16.25.12 1632 byte 7 days old -- d3d8caps.dat
19/11/2007 15.23.32 2934 byte 3 days old -- CONFIG.NT
22/11/2007 15.07.24 1158 byte 0 days old -- wpa.dbl
22/11/2007 15.10.38 52764 byte 0 days old -- perfc009.dat
22/11/2007 15.10.38 931806 byte 0 days old -- PerfStringBackup.INI
22/11/2007 15.10.38 425432 byte 0 days old -- perfh010.dat
22/11/2007 15.10.38 63180 byte 0 days old -- perfc010.dat
22/11/2007 15.10.38 380350 byte 0 days old -- perfh009.dat

----- recent files in C:\WINDOWS\system32\drivers\
25/10/2007 17.58.50 26624 byte 28 days old -- aavmker4.sys
25/10/2007 18.01.34 42912 byte 28 days old -- aswTdi.sys
25/10/2007 18.03.20 23152 byte 28 days old -- aswRdr.sys
25/10/2007 18.05.20 94416 byte 28 days old -- aswmon2.sys
25/10/2007 18.05.36 93264 byte 28 days old -- aswmon.sys

----- recent files in C:\WINDOWS\temp\
21/11/2007 08.20.42 16384 byte 1 days old -- Perflib_Perfdata_430.dat
22/11/2007 08.20.58 16384 byte 0 days old -- Perflib_Perfdata_434.dat
22/11/2007 09.49.20 16384 byte 0 days old -- Perflib_Perfdata_428.dat
22/11/2007 15.06.28 16384 byte 0 days old -- Perflib_Perfdata_424.dat
22/11/2007 15.06.32 255 byte 0 days old -- WGAErrLog.txt
22/11/2007 15.07.30 409 byte 0 days old -- WGANotify.settings

----- recent files in C:\Programmi\
10/10/2007 18.30.10 (DIR) 0 byte 43 days old -- SoftSoft
17/10/2007 15.30.50 (DIR) 0 byte 36 days old -- Acro Software
17/10/2007 15.32.18 (DIR) 0 byte 36 days old -- GPLGS
30/10/2007 08.24.28 (DIR) 0 byte 23 days old -- CCleaner
30/10/2007 08.24.36 (DIR) 0 byte 23 days old -- Yahoo!
30/10/2007 18.09.30 (DIR) 0 byte 23 days old -- Lavalys
05/11/2007 15.14.46 (DIR) 0 byte 17 days old -- Spybot - Search & Destroy

----- recent files in C:\Programmi\File comuni\

----- recent files in C:\Documents and Settings\NOME\Dati applicazioni\

----- recent files in C:\DOCUME~1\NOME\IMPOST~1\Temp\
21/11/2007 15.45.46 0 byte 1 days old -- 9w5FF.tmp
22/11/2007 11.33.42 482472 byte 0 days old -- auto1.sv$
22/11/2007 15.07.28 (DIR) 0 byte 0 days old -- svl5b.tmp
22/11/2007 15.49.02 (DIR) 0 byte 0 days old -- nsy13.tmp
22/11/2007 15.49.02 16384 byte 0 days old -- ~DF6081.tmp

==========================================
Scan completed in 0 minutes
End of report
vomisa
Utente Junior
 
Post: 14
Iscritto il: 31/10/07 16:52

Postdi Luke57 » 22/11/07 17:25

Ciao, che cosa contiene questa cartella:
5fc983957e7a618eb402079d7e7a4d66 ?

Sospetti sembrano solamenti questic2, nella cartella system32:
d3d9caps.dat
d3d8caps.dat
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi vomisa » 22/11/07 17:40

In quella cartella ci sono una serie di file .ddl (admparse.dll, custsat.dll), alcune applicazioni (es spuninst, winfxdocobj), file audio wave (es infobar, feeddisk), l'applicazione IE. Poi ho un'altra cartella chiamata 0528f737638de69ec412689845e2 con contenuti analoghi che risulta creata il 27/07/2007.

Ciao e grazie.
vomisa
Utente Junior
 
Post: 14
Iscritto il: 31/10/07 16:52

Postdi vomisa » 23/11/07 15:44

Controllando la cronologia degli aggiornamenti in Windows Update ho notato che alla data della creazione delle 2 cartelle farlocche (27/07 e 09/11) si è verificato nell'ordine:
27/07 errore nello scaricamento di WMP 11 (non mi interessava e lo interruppi);
9/11 scaricamento e installazione di IE 7 (lo uso solo per gli update ma ho ritenuto più sicuro averlo aggiornato lo stesso).
Può esserci un nesso?
Mi arrischio a rimuoverle manualmente??
Come gestire i 2 files sospetti in sistem32???
Saluti.
vomisa
Utente Junior
 
Post: 14
Iscritto il: 31/10/07 16:52

Postdi Luke57 » 23/11/07 16:21

Ciao, utilizza systemscan, ma questa volta spuntando tutte le opzioni.
Al termine della scansione , cerca la cartella .zip (data+ora) in C:\suspectfile (si trova il report).
Vai in un sito di hosting come:
http://www.easy-share.com/
caricaci il file .zip (è troppo lungo per copiarlo in un post)
Indica poi il link che ti sarà fornito, il primo, per poterlo vedere.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi vomisa » 26/11/07 15:31

Eccolo qua:
http://w14.easy-share.com/11103621.html

Speriamo bene...

Ciao e grazie ancora.
vomisa
Utente Junior
 
Post: 14
Iscritto il: 31/10/07 16:52

Postdi vomisa » 29/11/07 18:37

...e questo è il log:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.19.55, on 29/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\appoggio\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sister.agenziaterritorio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programmi\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programmi\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Programmi\OpenOffice.org1.1.1\program\quickstart.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.it
O16 - DPF: {08FD87EF-2A15-11D1-AF00-00A0C91F4B89} (WebPlotCtl Class) - file://C:\PRGBelluno\webplot.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3254CD05-21E6-11D4-B8B8-0060972C08A3} (af_DprView Control) - file://C:\Documents and Settings\NOME\Desktop\PRGBelluno\af_DprViewProj.inf
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 5887 bytes

Saluti.
vomisa
Utente Junior
 
Post: 14
Iscritto il: 31/10/07 16:52

Postdi Luke57 » 30/11/07 11:30

Ciao, non appare niente di che.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi vomisa » 30/11/07 11:52

Grazie, meglio così.
Che dici se cestino (magari preventivamente copiandoli su un CD) le cartelle e i flies sospetti?
Ciao.
vomisa
Utente Junior
 
Post: 14
Iscritto il: 31/10/07 16:52

Postdi Luke57 » 30/11/07 12:51

Ciao, qui file sospetti con estensione .dat, cercando in giro, ho trovato un forum in cui erano stati analizzati su virustotal da diverse decine di abntivirus e nessuno di essi ha rilevato infezioni. Se vuoi controllare anche tu, comunque, il link è questo:
http://www.virustotal.com/it/
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Fel » 04/12/07 17:23

ciao luke,
come sempre ti rigrazio antipatamente se mi risponderai(o cmq chiunque lo farà...
allora, sul link che avevo detto di aver trovato le informazioni su gromozon, spiegava anche bene come eliminarlo, però dato che sono un ignorante informatico, ho avuto paura a usare quei metodi perchè erano parecchio "manuali". Inoltre notando che quella guida risaliva al tardo 2006 ho cercato direttamente grmzn removal e sono capitato sul sito della prevx e ho preso appunto il loro removal. L ho avviato e ha subito trovato il virus e diciamo me l ha tolto, a detta sua,però purtroppo ho fatto una grande cavolata a non disattivare il ripristino di sistema prima di avviare appunto quel removal e secondo me ce l ho ancora anche se quel tool mi dice che non ce l ho più...

Ora mi sono deciso cmq a usare il metodo "manuale" della vecchia guida poichè ho notato che nonostante io non sia un genio del computer ce la posso fare...

In ogni caso volevo informare chiunque di questa cosa dato che io ignorante l ho notata per caso. Sempre quel giorno che ho usato il removal ho cancellato per l ennesima volta la cartella dal nome strano, con il ripristino di sistema disattivato, e si è ricreata nonostante ciò, però ho avuto la fortuna di notare un file che un momento prima non c era...

il file che associo al virus mi si è creato praticamente davanti agli occhi (il suo nome è "_cleaned" ed è un .tmp) una volta che ho cancellato la cartella strana e si è messo in "C:" dove appunto ho windows...
volendolo esaminare con il mio antivirus che è nod32 ovviamente non mi è stato permesso e appunto nod mi ha saputo dire solo "accesso negato" e inoltre la data di creazione del file è palesemente sbagliata in quanto risalente a mesi fa...

Dopo tutto questo ho fatto una scansione completa del mio hard disk (compresi file nascosti e ogni singolo file di qualsiasi .zip o .rar che ho).
Con questa scansione ho notato alcune cose:

allora in C:\Docs and Setts nod32 non trova nulla(e a me fa sorridere il fatto che l unica cartella dove non c è proprio niente è quella col nome strano :) ) però non può aprire (mi dice "il file è bloccato") alcuni file che per strana coincidenza hanno quasi tutti lo stesso nome o per meglio dire secondo me dipendono quasi tutti da grmzn:

dentro la mia cartella utente non può aprire "ntuser.dat" e "ntuser.dat.LOG" e inoltre c è inoltre un file il cui nome è composto da molte cifre ed è .rrr , vi chiedo se questo file è "buono".

Poi sempre nella mia cartella

\Dati applicazioni\Mozilla\Firefox\Profiles\tf1hqm7x.default\parent.lock
è bloccato, vi chiedo sulla "bontà" di tale file.

Ancora nella mia cartella \Impostazioni locali\Dati applicazioni\Microsoft\
\Windows\UsrClass.dat e UsrClass.dat.LOG sempre a detta di nod il file è bloccato.La mia domanda anche qui non cambia :D

In \Docs and Setts\LocalService\Impostazioni locali\Dati applicazioni\
\Microsoft\Windows\UsrClass.dat e vedi sopra .dat.LOG i file sono bloccati.

\Docs and Setts\LocalService\NTUSER.DAT e ntuser.dat.LOG "bloccati".
\Docs and Setts\NetworkService\"stessi file della linea sopra" bloccati.
\Docs and Setts\NetworkService\Impostazioni locali\Dati applicazioni\
\Microsoft\Windows\UsrClass.dat e "stesso nome".dat.LOG bloccati.

Questo per quanto riguarda \Documents and Settings

Dicendo brevemente le altre cose importanti è che in C:\Programmi c è una cartella che, sempre stranamente :D, si chiama \Windows NT, che associo ai vari ntuser, il cui contenuto sono 9 file .exe ovviamente non scannerizzabili dall antivirus (n.b. quella cartella io non l ho creata ;) ).
E infine in
\Windows\system32\toshiba-monitor.exe bloccato (e io ho un philips come monitor) e inoltre in
\Windows\system32\config ci sono 10 file anche essi bloccati che sono:

default e default.LOG , SAM e "stesso nome".LOG, SECURITY e ".LOG,
software e ".LOG e system e ".LOG

Infine volevo dirvi il nome del mio ahime grmzn in Installazioni applicazioni che è ConnectionOptimizer... ho notato però anche due altri nome molto strani e di qui la mia domanda è come al solito sono "buone" le applicazioni "Creative MediaSource 5" e "Creative System Information"
(non ho nulla della Creative installato teoricamente, apparte l applicazione del loro mp3 player, inoltre le icone che identificano le suddette applicazioni sono...strane ;) o come dire, mai viste da me).

Spero di aver aiutato qualcuno ad identificare quella bestia di grmzn o anche conosciuto come LinkOptimizer sul suo computer e rinnovo il mio invito a informarmi appunto sul suddetto virus.

Ciao a tutti!
Fel
Newbie
 
Post: 5
Iscritto il: 22/11/07 03:07

Postdi Luke57 » 04/12/07 18:55

Ciao, il gromozon non ce l'hai nel computer , systemscan nasce soprattutto per identificare questo malware e nel log non appare niente di riconducibile ad esso, tutte le cose da te descritte nell'ultimo post con il gromozon non c'entrano assolutamente niente: Windows NT, lo dice il nome stesso, è una cartella di sistema. Per quanto riguarda Connection Optimizer non è il gromozon, le installazioni del malware sono più o meno queste:
LinkOptimizer
-ConnectionService
-Power Verify
-StrongestGuard
-ConnectionKnight
-StrongestOptimizer
-SecurityOptimizer
-InternetOptimizer
-StrongestPaladin
-SecurityGuard
-InternerGuard
-InternetShield

comunque se ti fa piacere averlo o sostenere di averlo, fai pure.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Fel » 05/12/07 03:02

:eeh: :mmmh: :o :) :D :lol: 8)

questo per farti capire che sono contento di ciò che mi hai detto luke hehe
sono stracontento!!! :lol: :lol:

mi fido di te, non a priori, ma perchè so che ne sai più di me sicuramente :P

quindi ti ringrazio per l ennesima volta (e spero l ultima per ovvie ragioni
:D )

p.s. io l avevo detto nel titolo che cosa ero/sono (/e probabilmente sarò per quanto riguarda il computer) ;)

p.p.s. cmq il mio sospetto su "ConnectionOptimizer" derivava dal fatto che è l unica applicazione su Installazioni Applicazioni di cui non so nulla, non l ho mai installata, ha quell Optimizer che facilitava il mio sospetto e non mi dice neanche quante volte l ho usata(spesso raramente etc)

Ave
Fel
Newbie
 
Post: 5
Iscritto il: 22/11/07 03:07


Torna a Sicurezza e Privacy


Topic correlati a "Help,sono un ignorante/curioso :)":


Chi c’è in linea

Visitano il forum: Nessuno e 43 ospiti