PDA

Visualizza versione completa : Rimuovere GROMOZON W32 Rootkit


Billow
27-11-2006, 10.51.09
Commenti all'articolo

Rimozione GROMOZON W32 Rootkit (http://www.wintricks.it/manuali/gromozon.html)

made by Neddi

RNicoletto
27-11-2006, 15.10.30
Grande Sergio! :cool:

Una guida chiara, dettagliata ma soprattutto utile!

Cecco
27-11-2006, 15.35.42
Guida ben fatta ed esauriente. Volevo inoltre segnalare, come del resto citato dall'autore, che effettivamente quella voce di registro "AppInit_DLLs" viene anche usata da alcuni software. Nel mio caso da Kaspersky e difatti nei dati del valore appare "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" Ciao

xmatrix83
28-11-2006, 10.39.13
Bellissima guida... l'avessi avuta qualche mese fà sarebbe stato moooolto meglio :)) la mia esperienza personale è stata molto simile alla tua, inoltre sono convinto che il virus sia italiano, anche i servizi che installa hanno descrizione in italiano,e i siti che blocca sono per la maggior parte italiani.... Ho solo un dubbio atroce che mi perseguita... La casa Tgsoft indispensabile per la rimozione del virus, prima del gromozon era sconosciuta...chissà se cè qualche legame... inoltre questo virus è veramente un capolavoro, è affascinante il suo comportamento, chi meglio di una software house produttrice di antivirus poteva progrttarlo???

Ludwig
28-11-2006, 11.07.40
Ho solo un dubbio atroce che mi perseguita... La casa Tgsoft indispensabile per la rimozione del virus, prima del gromozon era sconosciuta...chissà se cè qualche legame... inoltre questo virus è veramente un capolavoro, è affascinante il suo comportamento, chi meglio di una software house produttrice di antivirus poteva progrttarlo???

pesantina come illazione

Thor
28-11-2006, 11.10.26
già..però, caspita, tanto di cappello al virus-writer..'sto tizio deve essere un genio..

l'articolo di Sergio è ottimo!! (Y)

Billow
28-11-2006, 12.06.57
-cut-
Ho solo un dubbio atroce che mi perseguita... La casa Tgsoft indispensabile per la rimozione del virus, prima del gromozon era sconosciuta...chissà se cè qualche legame... inoltre questo virus è veramente un capolavoro, è affascinante il suo comportamento, chi meglio di una software house produttrice di antivirus poteva progrttarlo???

NON diciamo bestialità :eek: ;)

TGsoft, esiste da parecchi anni, e conoscevamo il loro AV da lungo tempo (almeno 4 anni)

solo che l'aspetto dell'AV stesso (ahimè tutt'altro che attraente), ci aveva lasciati un po' perplessi..
malgrado cio' , il loro antivirus, forse poco famoso, si è sempre rivelato affidabile e funzionale, ed ABBASTANZA LEGGERO

se ci leggono ti riponderanno direttamente loro ;)

Sbavi
28-11-2006, 12.10.53
CMQ ricordo di aver debellato il Gromozon con un tool della Prevx..mò che c'entra TGSoft?


Questa
http://www.wintricks.it/forum/showthread.php?t=108493
la mia esperienza :rolleyes:

Poi continuata qui
http://www.wintricks.it/forum/showthread.php?t=109432&page=1

Billow
28-11-2006, 12.13.19
E' segnalato come un buon rimotore dei W32rootkit

Sergio Neddi
28-11-2006, 13.21.06
già..però, caspita, tanto di cappello al virus-writer..'sto tizio deve essere un genio..

l'articolo di Sergio è ottimo!! (Y)

Per quanto riguarda il virus-writer (cos'è, una nuova suite Microsoft? :D No, impossibile: i virus funzionano!) ha fatto un lavoro così complesso che secondo il mio collega Enzo le prossime versioni del virus le distribuiranno con un CD di installazione.
Per quanto riguarda l'articolo: sarà anche ottimo (a me pare incasinato ma forse è incasinato il virus) ma quella che ho spiegato nell'articolo è solo una semplificazione: il virus è molto più complesso, ad esempio non funziona in macchine virtuali (come VMWare e Virtual PC) in modo da rendere la vita più complicata ai ricercatori che lo studiano, per questo è anche programmato con tanti giri apparentemente senza senso in modo da far perdere la testa a chi tenta di seguire il flusso del programma.
Inoltre le vulnerabilità che ho citato nell'articolo sono quelle più usate dal virus, ma in realtà analizza il tipo di windows e di browser utilizzato, nonchè la presenza di determinati antivirus e si regola opportunamente in modo da poterli aggirare al meglio, sfruttando le vulnerabilità che più gli convengono.
Le pagine web dei siti che fanno "da ponte" per il virus sono crittografate a più livelli.
Ecc, ecc.

Vedremo di integrare l'articolo con queste aggiunte.

xmatrix83
28-11-2006, 20.35.37
il mio è solo un dubbio.... che ho detto molto sinceramente...

Billow
28-11-2006, 21.00.04
posso segnalare la mia perplessità in merito alle tua signature (http://www.wintricks.it/forum/regolamento.html) ???

3 righe pls in 1024

xmatrix83
28-11-2006, 21.13.04
ok??