PDA

Visualizza versione completa : sarà mica gromozon?


luca2
01-12-2006, 21.58.41
Ho scaricato hijackthis e questo è il log risultante:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Virtual CD v8\System\VC8SecS.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Google\GoogleToolbarNotifier\1.2.908. 5008\GoogleToolbarNotifier.exe
C:\Documents and Settings\Max\Desktop\_a_i_g_i_a_c_k_t_h_i_s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\compaqstorage.exe","c:\windows\mcafeetool.exe","c:\windows\4b.tmp","c:\windows\seagatelan.exe","c:\windows\googledriver.exe","c:\windows\fujitsu-sensor.exe","c:\windows\mcafeemonitor.exe","c:\windows\seagate-utility.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: Class - {6C583D50-8BAE-51CA-659F-494E4F41FB15} - blank (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePs w.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\Max\IMPOST~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [VVSN] C:\Programmi\VVSN\VVSN.exe
O4 - HKLM\..\Run: [plrq1.exe] C:\WINDOWS\TEMP\plrq1.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Programmi\SystemDoctor 2006 Free\sd2006.exe -scan
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Programmi\ATI Multimedia\main\ATIDtct.EXE
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programmi\ATI Multimedia\dtv\EXPLBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://d3v1l87.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135362102250
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.photocity.it/areaclienti/inviafoto/ImageUploader4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://filelodge.bolt.com/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall\persfw.exe
O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\b001.exe" /service (file missing)
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programmi\Virtual CD v8\System\VC8SecS.exe

luca2
01-12-2006, 22.04.01
Boh ho dovuto spezzetare il post il sistema mi diceva che era troppo lungo.

Comunque

Il log sopra è del pc di un altro mio amico che oltre ad aver il pc incasinato per
fatti suoi è stato anche infettato da qualche virus tosto.

Visto che aveva gli stessi sintomi del pc di un altro mio amico ho scaricato i tool
per il gromozon, ma alcuni non si avviaavano altri non intercettavano niente.

In c:\programmi\file comuni\system
ci sono parecchi file exe in colore verde

Ho scaricato anche prevx1 e ho avviato lo scan.
Sembra adesso che antivir non intercetti più i vari virus in continuazione ma non so se la cosa è finità qua visto che quei file verdi ci sono ancora.
Potete dirmi qualcosa?
grazie

RustyOrx
01-12-2006, 22.24.17
SPYWARE: O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Programmi\SystemDoctor 2006 Free\sd2006.exe -scan
La soluzione (in inglese): http://www.bleepingcomputer.com/forums/topic58656.html
In Italiano: http://forum.zeusnews.com/viewtopic.php?t=18217&start=0&postdays=0&postorder=asc&highlight=

Strumento di rimozione:
http://www.f-secure.com/v-descs/zlob.shtml
http://www.f-secure.com/tools/f-spyaxe.zip

crazy.cat
02-12-2006, 13.15.11
Bastano questi come problemi?
Cambia antivirus e fai una bella scansione con questo
http://www.activevirusshield.com/antivirus/freeav/index.adp?
Poi con unlocker elimina qualche exe di quelli indicati più sotto.
Meglio se le eliminazioni le fai dalla modalitò provvisoria.

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\compaqstorage.exe","c:\windows\mcafeetool.exe","c:\windows\4b.tmp","c:\windows\seagatelan.exe","c:\windows\googledriver.exe","c:\windows\fujitsu-sensor.exe","c:\windows\mcafeemonitor.exe","c:\windows\seagate-utility.exe",
O2 - BHO: Class - {6C583D50-8BAE-51CA-659F-494E4F41FB15} - blank (file missing)
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePs w.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\Max\IMPOST~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [VVSN] C:\Programmi\VVSN\VVSN.exe
O4 - HKLM\..\Run: [plrq1.exe] C:\WINDOWS\TEMP\plrq1.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Programmi\SystemDoctor 2006 Free\sd2006.exe -scan
O23 - Service: FireDaemon Service: eventsec (eventsec) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: FireDaemon Service: ntsysvers (ntsysvers) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: FireDaemon Service: runbatch (runbatch) - Unknown owner - c:\windows\system32\dllcache\FireDaemon.EXE (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\b001.exe" /service (file missing)

luca2
02-12-2006, 15.55.58
Grazie ragazzi siete grandi!
Ho appena comunicato al mio amico le soluzioni
da voi proposte.

Una domanda:
ma come si viene infettati da questo gromozon o link optimizer?

Io non ho avuto ancora a che farci (sul mio pc), forse perchè
ho un 56k e non uso emule e i miei amici hanno rispettivamente
adsl e fastweb e fanno un uso massiccio di emule..magari poi non
significa niente.
grazie ancora

crazy.cat
02-12-2006, 17.39.20
Basta non avere le patch installate o il Sp2 e i virus piovono a catinelle.
Il gromozon poi gira per la rete che è un piacere.

luca2
03-12-2006, 11.21.24
Basta non avere le patch installate o il Sp2 e i virus piovono a catinelle.
Il gromozon poi gira per la rete che è un piacere.

Strano. Io non ho installato il sp1 eppure è difficile che prenda un virus.
I miei amici, con i pc infettati,
sopra citati, uno aveva installato il sp2 con tutti gli aggiornamenti e l'altro
solo il sp1.
I punti in comune sono che hanno una connessione veloce e fanno uso massiccio di emule.

Io intendevo comunque come tecnicamente entrano nel pc (allegati, pagine infette con script o basta la semplice connessione)
grazie ancora

crazy.cat
03-12-2006, 14.53.20
Allegati forse un po meno, ormai molti provider li segano prima che arrivano sul pc.

ci sono moltissime pagine infette con script scritti ad arte per infettarti il pc.
Il gromozon è il più classico esempio, basta la pagina con il tricolore e lasciar passare, con ie, i file infetti e sei a posto.

Il circuito del p2p da una buona mano quando la gente cerca delle "cure" che alla fine infettano il pc.

luca2
03-12-2006, 15.28.01
Allegati forse un po meno, ormai molti provider li segano prima che arrivano sul pc.

ci sono moltissime pagine infette con script scritti ad arte per infettarti il pc.
Il gromozon è il più classico esempio, basta la pagina con il tricolore e lasciar passare, con ie, i file infetti e sei a posto.

Il circuito del p2p da una buona mano quando la gente cerca delle "cure" che alla fine infettano il pc.

pagina con il tricolore?

Io comunque uso firefox e opera sarà anche per questo che ho pochi problemi.
i miei amici utilizzano invece IE
ciao e grazie ancora

crazy.cat
03-12-2006, 15.38.47
pagina con il tricolore?
Quando vedi una pagina come questa
http://i11.tinypic.com/2jcucl5.jpg
dietro c'è il gromozon

Io comunque uso firefox e opera sarà anche per questo che ho pochi problemi.
Hai già detto tutto sul perchè non hai problemi.

luca2
03-12-2006, 15.49.37
ok grazie

Ludwig
03-12-2006, 15.52.09
@crazy.cat
l'Active Virus Shield è uguale all'ultima versione del Kaspersky o ha qualche features in meno?

crazy.cat
03-12-2006, 16.04.58
@crazy.cat
l'Active Virus Shield è uguale all'ultima versione del Kaspersky o ha qualche features in meno?

Forse hai sbagliato discussione...

Comunque nelle opzioni di configurazione ci sono dei pulsanti in meno confrontando le foto delle versioni.
Però le cose importanti ci sono, quindi il giudizio è positivo.

Ludwig
03-12-2006, 16.08.41
no, non ho sbagiato discussione; nella pag precedente hai consigliato questo antivirus e ti ho fatto la domanda. Grazie per la risposta :)