Gromozon, LinkOptimizer e la saga senza fine
Bene, dopo parecchi mesi (ben due!) che non aggiorno piú il blog, torno all’opera con un interessante - spero - documento.
Purtroppo questi due mesi sono stati per me un vero inferno, problemi personali mi hanno in qualche modo distolto dai pc e questo documento é in un certo senso un primo tentativo di riprendermi.
Dunque, da Maggio scorso circa sto ricevendo personalmente - e sto leggendo su parecchi forum - richieste di aiuto per quanto riguarda un’infezione causata da strani adware, trojan agent e compagnia bella, che peró gli antivirus non riescono a rimuovere.
Stiamo parlando di infezioni riportate piu o meno con questi nomi dai software antivirus:
W32/Agent.VP…………….Nod32
Win32:Agent-BBC…………Avast
Trojan.Win32.Small.jm……Kaspersky
Trojan.Win32.agent.VP…..Kaspersky
Trojan.Win32.RKDice.a….. Kaspersky
Dialer.Adultchat…………..Dr.Web
e questi sono solo i nomi piú comuni di un’infezione ben piú ampia e complessa che, attualmente, i software antivirus non riescono a gestire completamente.
Dopo aver fatto delle ricerche, ho messo tutto in un documento che puó essere scaricato da chiunque, per fare un pó di luce globalmente e non a spezzoni su questo tipo di infezione e su quello di cui se ne conosce al momento.
Il documento, redatto in inglese ma di cui presto faró una traduzione in italiano, é scaricabile da QUI
UPDATE:
a quanto sembra la mia analisi è stata riportata su alcuni siti italiani ed esteri, tra i quali:
http://www.2-spyware.com/news/post119.html
http://www.virusbtn.com/news/virus_news/2006/09_05.xml
http://www.realtechnews.com/posts/3412
http://www.castlecops.com/postlite165209-gromozon.html
http://www.dslreports.com/forum/remark,16769641~mode=flat
http://forum.sysinternals.com/forum_posts.asp?TID=7598&PN=1
http://blog.spywareguide.com/2006/08/gromoz[……..].html
http://www.vitalsecurity.org/2006/08/gromozon-rootkit-what[…].html
http://www.antirootkit.com/articles/gromozo/The-strange-case-[…].htm
http://msmvps.com/blogs/susan/archive/2006/08/24/109335.aspx
http://certifiedbug.com/blog/?p=124
sono sicuramente felice di aver fatto qualcosa di utile e apprezzato 
UPDATE 2:
Il largo afflusso di download ha messo in crisi il server attuale, la velocità di download era notevolmente diminuita. Grazie al mio amico, nonché tecnico e programmatore daniele_dll, ora il pdf è hostato su una VPS che garantisce ottima bandwidth per un download molto più veloce.
UPDATE 3:
Evidentemente ho mosso un pò di interesse intorno a questo caso. Symantec ha finalmente rilasciato un aggiornamento e un’analisi di questa minaccia a questo indirizzo.
Beh, sono contento di aver fatto qualcosa [EDIT: l’analisi di Symantec in alcuni determinati punti, perlomeno da quello che so, risulta incompleta/imprecisa] [EDIT2: ho notato oggi, 1 settembre, che il writeup di Symantec é stato corretto]
UPDATE 4:
Questa notizia è finita indietro nel tempo e nel mio sito, ma aggiornamenti sulle nuove varianti del Gromozon sono a questo indirizzo.
Gianluca
Agosto 24th, 2006 at 18:00
http://www.suspectfile.com/forum/viewtopic.php?t=247
;)
Vittorio_Bo
Agosto 25th, 2006 at 11:54
grazie molte Marco come al solito!!
Spero che i problemi personali si siano risolti, in gamba mi raccomando!!!
Vittorio
Biscuter
Agosto 25th, 2006 at 12:32
Ciao, volevo dirti che sono arrivato al tuo blog grazie al fatto che il tuo lavoro è stato citato nel forum di Sysinternals sul malware (http://forum.sysinternals.com/forum_posts.asp?TID=7598&PN=1). Per ora l’ho stampato e non vedo l’ora di leggerlo, sembra molto interessante.
Biscuter
Betto
Agosto 25th, 2006 at 19:02
Complimenti per l’articolo!
Gianluca
Agosto 25th, 2006 at 20:09
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-082416-2803-99&tabid=2
Sempre Italiano
Gianluca
Agosto 25th, 2006 at 20:11
Mi ero dimenticato
http://www.symantec.com/enterprise/security_response/weblog/2006/08/gromozoncom_and_italian_spaghe.html
marco
Agosto 25th, 2006 at 20:23
beh sono contento
Sicuramente il writeup della Symantec diventerà il punto di riferimento per questo problema ora.
Rimango comunque orgoglioso del mio lavoro e di aver mosso le acque così che anche le altre società facessero qualcosa
Gianluca
Agosto 25th, 2006 at 20:57
Il malware google.com gli è stato mandato il 2 agosto ci hanno messo un bel pò di tempo
marco
Agosto 25th, 2006 at 21:15
evidentemente è arrivato anche a loro in qualche maniera il mio report e hanno deciso di fare qualcosa
Daniele
Agosto 31st, 2006 at 13:46
No ora tu mi devi spiegare come cavolo fai ad avere la mia età e, contemporaneamente, una tale esperienza. Voglio dire, sei al primo anno di università e conosci già di tuo diversi linguaggi di programmazione. Scrivi articoli di quà e di là sulla sicurezza informatica… Adesso questo report è la prima e più completa analisi di questo particolarissimo malware.
Insomma, complimenti! Ciao da riva.dani|hwupgrade
marco
Agosto 31st, 2006 at 14:28
ehehhe
Grazie mille per i complimenti 
Ciao
Marco!
Gianluca
Agosto 31st, 2006 at 15:10
http://extracare.trendmicro-europe.com/tm/core/en/frame4public/diary/index.php?selectReleaseDate=2006-08-29
marco
Agosto 31st, 2006 at 16:21
“Currently there are no known methods for detecting files hidden using EFS.”
Strano…ho un removal tool sottomano che li identifica e li rimuove
Gianluca
Agosto 31st, 2006 at 17:40
Con syslclean li identifica e rimuove,il blog è del 29 forse non l’hanno aggiornato,ciao
ALFIO
Settembre 3rd, 2006 at 19:36
Scusate come posso fare per eliminare questi fastidiosissimi adware,trojan agent?
Grazie mille
wildmax
Settembre 20th, 2006 at 16:03
Ciao, grazie 1000 per l’aiuto che mi ha dato il documento che hai scritto!
Io sono riuscito a rimuovere il trojan.win32.agent.vp usando il tool http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
Ho poi rimosso il Linkoptimizer usando il tool
http://www.prevx.com/gromozon.asp
che era segnalato qui: http://www.suspectfile.com/forum/viewtopic.php?t=170
12pippopluto34
Settembre 26th, 2006 at 20:51
Grazie, Marco!
Lavoro a dir poco encomiabile!
Volevo farti presente alcune cose:
1) mi e’ capitato sotto mano un pc infetto da quel che credo sia una variante, in quanto mi era impossibile raggiungere www.pcalsicuro.com e www.hwupgrade.it (ma tu guarda il caso!)
2) disabilitando il supporto EFS
http://www.microsoft.com/technet/prodtechnol/winxppro/support/dataprot.mspx
si puo’ ottenere maggior sicurezza? (IM(NSH)O sarebbe piu’ saggio affidarsi a sistemi di crittografia ben piu’ robusti di quello nativo MS!)
3) e’ possibile sradicare il supporto ADS da pc che non avranno mai a che fare con metadata MACOS? (AFAIK no, purtroppo! comunque segnalo questo sito http://www.wikistc.org/wiki/Alternate_data_streams dove penso si possano trovare info utili quantomeno per tenere sotto controllo ’sta boiata made in Redmond)
4) usando un utente limitato, con configurazioni default di SO, ACL e policy varie, e’ possibile rimanere immuni oppure ’sto maledetto malware fa leva su exploit di falle non patchate?
5) usando la mitica NoScript su FF si e’ piu’ al sicuro? (penso di si’)
6) con browser alternativi e’ solamente un problema di social engineering? (lg. click scimmiesco su www.google.com)
marco
Settembre 28th, 2006 at 00:23
Dunque, ti rispondo al volo
Si lo so, la nuova variante di gromozon blocca molti siti, tipo www.prevx.com, www.pcalsicuro.com, www.suspectfile.com e alcuni tool, tra cui il nostro tool.
Anche se disabiliti l’EFS le ultime versioni di gromozon non lo utilizzano piu. Sono passati a tutto “reserved names”.
Il supporto ADS da quello che so io é nativo con il file system NTFS. Sí, con NoScript se piú al sicuro e, per gli altri browser, é solo problema di social engineering
Marco
12pippopluto34
Settembre 28th, 2006 at 08:42
Anzitutto Marco, TX2K per la risposta di cui sopra.
Volevo inoltre renderti noto che sono riuscito, credo, a debellarlo, quantomeno in parte, in quanto ancora la macchina da segnali strani (Win2K Pro SP2; lo so, andrebbe aggiornata, ma cosi’ l’ho trovata sinora
):
- tool vari, a partire dal tuo, piu’ GMER, Rootkit Revealer ed il modulo filesystem di RKDetector (che segnalo: http://www.rootkitdetector.com/) non vengono eseguiti;
- BitDefender 8 Free si installa e si aggiorna, ma quando lancio la scansione mi da’ uno strano errore, che purtroppo non ricordo!
e viene bloccata;
- NOD 32 Trial si installa e si aggiorna, ma non trova nulla;
- KAV 6 Trial non si installa, dandomi un errore del Windows Installer (tenendo conto del SO, c’e’ su il MSI 2.0);
- antirootkit di Sophos, BitDefender ed F-Secure non trovano nulla, mentre quello di AVG non si installa correttamente (dice!);
Preciso che il tutto e’ stato fatto in modalita’ normale, con utente amministrativo (non administrator!), sia prima che dopo la disinfestazione operata da me per lo piu’ manualmente.
Ora, dopo esser riuscito ad eliminare:
- il servizio a mano tramite smanettamenti sulle ACL con regedt32 e successivo ripristino della policy di Debug per il gruppo Administrators e l’utente SYSTEM;
- il suo .exe, l’utente random, i vari .exe strampalati crittografati, sempre a mano;
- fooorse anche il rootkit ‘’qualcosa.dll'’ sotto c:\winnt (non so se l’ho rimosso perche’, pur sapendo che ci fosse, all’improvviso non l’ho trovato piu’ sul SO ed HijackThis mi diceva che c’era solo l’ADS correlato, rimuovendolo);
- altri vari .exe trojan horses sotto system32 e sotto ‘’downloaded program files'’ tramite Avira Antivir Free (questo solamente dopo aver tolto l’attributo di sistema alla directory, rimuovendo a mano una sequela di directory CONFLICT.numero !);
- lo spyware LinkOptimizer tramite Ad-Aware Free (anche se poi ho dovuto togliere a mano la chiave sotto ‘’Installazione Applicazioni'’ con MyUninstaller di Nirsoft);
continuo ad avere il problema di mancata risoluzione dei siti succitati, sia con IE 6 che con FF 1.5.0.7 (difatti pingandoli tramite interfaccia web del router sono raggiungibilissimi! >:-@ ).
Per di piu’ su IE 6 ci sono due record denominati 1 e 2 sotto ai ‘’Siti attendibili'’ che non riesco a rimuovere in nessun modo, anche manualmente, dato che si ripresentano ad ogni riavvio del SO (l’unica cosa che ho fatto e’ alzare il livello di protezione ad Alta per quella zona e per quella Internet.
Spero che tutto questo possa esserti utile in qualche maniera.
;-)
Alex Task
Settembre 29th, 2006 at 18:52
Ciao, anche io sono incappato nella variante che “oscura” i siti, ed attualmente, dopo aver tentato invano con il tool prevx ed aver seguito altrettanto invano le istruzioni del forum http://collectiontricks.p2pforum.it/modules/edito/edito.php?idedito=28 aggiornate al 22/9 mi ritrovo con il pc che ad ogni riavvio segnala tramite Virit l’aggiunta sospetta di chiavi al registro, del tipo [random]1.dll. i siti ancora oscurati, i tool che non girano ed il pc lento da far paura. Credo che gli sviluppatori del malware ci abbiano preso gusto a tenervi d’occhio e adeguarsi ad ogni votra mossa. Suppongo che la soluzione sia formattare dopo aver scaricato (da un altro pc) tutto il software necessario, reinstallare tutto (tranne IE, sostituito con FF, ah che imbecille sono stato!) e sperare che nei 5 minuti di connessione preliminare per l’aggiornamento dei software, non si ripresenti di nuovo… Se avete alternative, vi prego, HELP ME!!
ma tra qualche giorno sarò costretto a scegliere una soluzione…
Ad oggi lo tengo spento, in attesa di tempi migliori, e comunico con il mondo tramite il pc dell’ufficio
In ogni caso, grazie per l’ottimo lavoro svolto fino ad oggi
12pippopluto34
Ottobre 1st, 2006 at 18:55
per Alex Task:
se riesci a disporre di una connessione a banda larga da un sistema sicuro, ti linko questo sito, utile al caso:
http://www.eng2ita.net
Precisamente, a questo link trovi il pacchettone di aggiornamenti per XP SP2 rilasciati da MS sino a settembre di quest’anno:
http://www.eng2ita.net/forum/index.php?topic=284.0
Spero di esserti stato utile.
Ciao!
Alex Task
Ottobre 2nd, 2006 at 11:50
Grazie mille!! Ho scaricato il tutto ed ora provvederò a rimettere in piedi il sistema
Ciao
Duccio Armenise
Novembre 14th, 2006 at 14:16
Ciao Marco, colgo l’occasione per ringraziarti anche qui per l’aiuto che mi hai dato.
In poche parole (lo racconto per tutti) ero stato infettato da una probabilmente nuova versione Linkoptimizer che impediva l’esecuzione di pressoché tutti i tool e l’accesso a praticamente tutti i siti che ne parlano, tra cui pcalsicuro.com, suspectfile.com etc, etc etc… Sembrava una battaglia persa e mi stavo preparando a formattare, ormai i miei antivirus PC-Cillin 2002 e Kapersky (trial version upgraded), assieme ai vari antivirus online come BitDefender, HouseCall, etc avevano abbondantemente fallito…
Finché a forza di cliccare sui tool e provando a rinominarli è apparsa la famosa maledetta finestrella di linkoptimizer che cercava di dare la colpa di tutto a Marco Giuliani e alla PrevX… Da qui mi è venuta l’idea di fare una ricerca su google e reperire l’e-mail di Marco Giuliani (la cosa non è stata affatto facile perché il rootkit come sappiamo bloccava l’accesso a tantissimi siti internet), alla fine però l’ho trovata, ho scritto a Marco e lui CON 2 E-MAIL HA RISOLTO TUTTI I MIEI PROBLEMI ri-spedendo finalmente linkoptimizer al suo posto: nel cestino.
Alla fine i programmatori teste-di-Gromozon si sono fregati con le loro stesse mani: se non avessero programmato quella finestrella, molto probabilmente avrei dovuto formattare.
Grazie ancora Marco.
Ciao a tutti, Duccio.
Carlo
Novembre 21st, 2006 at 19:26
Ciao Marco,
Ho seguito le tue procedure e mi sono sbarazzato di un linkopt. Purtroppo avviava un sevizio
che alla fien di tutto non aveva più riferimenti se non tre chiavi di registro
HKLM\System\CurrentControlSet0001\Services\Netfca\Security
quella del CurrentControlSet0003 e del CurrentControlSet
Non riseco a eliminarle in nessun modo xche ni dice che Impossibile aprire Security Errore durante l’apertura della chiave.
Chiaramente non la fa eliminare.
Questo è l’unico problema che mi resta per essere quasi certo di aver pulito il pc Che devo fare
Ciao GRANDE
Franco
Novembre 25th, 2006 at 08:29
Variante di Grozmon?
Un amico mi ha dato il suo PC con problemi …
Il primo Win XP per un problema di registrazione non era aggiornato. Risolto
Trovati alcuni spyware con SpyBot Search & Destroy ma AVG rilevava un Trojan senza riuscire a pulirlo ho provato a far partire Hijackthis ma non partiva, ho provato a scaricare l’ultima versione ma non riuscivo neanche a far partire il motore di ricerca con il nome hijack.
Scansioni on line, tools per rimuovere GrozFix, LinkOptfix e un tool che ha la stessa icona del grozfix ma il nome F632F54.exe, poi PrevX, VirIT, anche rinominati ma non rilevano nulla.
Non riuscivo a far partire Gmer, anche rinominato.
L’unica cosa che sono riuscito a ottenere per postarvi è stato questo report di Kaspersky:
KASPERSKY ONLINE SCANNER REPORT
Friday, November 24, 2006 10:40:35 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 24/11/2006
Kaspersky Anti-Virus database records: 245374
Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
Scan Statistics
Total number of scanned objects 27625
Number of viruses found 0
Number of infected objects 0 / 0
Number of suspicious objects 0
Duration of the scan process 00:31:18
Infected Object Name Virus Name Last Action
C:\Documents and Settings\All Users\Dati applicazioni\avg7\Log\emc.log Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\avg7log.log Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\avg7log.log.lck Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Crypto\RSA\MachineKeys\534d54a4ea37d6c3e5ed2ab34fa6beb3_d61d7339-a1ac-4058-b72e-7a1613f82836 Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Crypto\RSA\MachineKeys\58eae76b5dc856b41579a6ca8c92cb5d_d61d7339-a1ac-4058-b72e-7a1613f82836 Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Crypto\RSA\MachineKeys\5d38b45bbc26e9b3143edef94427903c_d61d7339-a1ac-4058-b72e-7a1613f82836 Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Crypto\RSA\MachineKeys\6573dbdddbd6bd4a6d0605cd94ecd2ec_d61d7339-a1ac-4058-b72e-7a1613f82836 Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Crypto\RSA\MachineKeys\7f3a927ab61e4e935c49aa38ea8ec5c3_d61d7339-a1ac-4058-b72e-7a1613f82836 Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Crypto\RSA\MachineKeys\fb927f34cc6ddb24bc380ba13d73ec8e_d61d7339-a1ac-4058-b72e-7a1613f82836 Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Dr Watson\user.dmp Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows Defender\Support\MPLog-11242006-084942.log Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Luca\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Luca\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Luca\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Luca\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Luca\Impostazioni locali\Dati applicazioni\Microsoft\Windows Defender\FileTracker\{339987A7-DAB8-4EE9-A4E8-A4F47F320B27} Object is locked skipped
C:\Documents and Settings\Luca\Impostazioni locali\Temp\PXR8.tmp Object is locked skipped
C:\Documents and Settings\Luca\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Luca\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Luca\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\AsusScr.exe Object is locked skipped
C:\WINDOWS\Compaq-Sensor.exe Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\LanTop.exe Object is locked skipped
C:\WINDOWS\Maxtor-Monitor.exe Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{7E93172B-EE2D-4D1D-B482-2FC65FC2F454}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\Symantec-Network.exe Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Paramete.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\_cleaned.tmp Object is locked skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
Scan process completed.
Molti di questi oggetti bloccati mi sono ignoti, alcuni dopo aver fermato un processo da task manager: Compaq-Sensor.exe li ho rimossi, altri li ha rilevati e messi in Vault AVG ma ci sono altri, che ho rinominato, tipo Lantop.exe che non riesco a cancellare e/o a ripulire.
Ho cancellato un Utente dal nome strano (alfanumerico) e la sua cartella da Documents & settings.
Ma il PC è ancora infetto e lento.
Qualcuno del forum mi può aiutare?
Grazie
Franco
Novembre 25th, 2006 at 08:31
Scusate la lunghezza del messaggio. ma non volevo formattare
raffaele
Dicembre 1st, 2006 at 21:10
Lo scorso 24 settembre sono stato infettato da Gromozon. Avevo installato XP su un computer e sono stato costretto a usare Internet Explorer per pochi secondi per convalidare la copia di XP. Normalmente non uso mai IE, conoscendone la pericolosità. Ebbene, senza che io scaricassi alcunché, senza ricevere mail (il client non era ancora configurato), senza aver praticamente navigato, dopo qualche minuto si attiva il modem e inizia a fare delle telefonate! Stacco ovviamente subito la spina, ma ho poi scoperto che l’899 chiamato è di quelli che paghi anche solo per un secondo di conversazione (circa 10 euro). Purtroppo prima che potessi debellare il virus (due giorni di lavoro nonostante il tool di prevx,che peraltro non rimuoveva tutto) alcuni familiari hanno continuato ad usare il computer, consentendo al dialer di collegarsi e accumulando quindi un danno di circa 300 euro. Con questa mia esperienza intendo confermare il legame tra Gromozon e alcuni dialer. E’ anche incredibile che questi signori comprino decine di siti e nessuno sappia chi sono.
TNT
Dicembre 7th, 2006 at 22:23
Raffaele: decine? Si parla di migliaia…
Daniele
Gennaio 11th, 2007 at 13:17
Sto avendo a che fare con il trojan Grozmon con tecnologia toolkit. Non riesco ad eliminarlo ma voglio segnalare che Superantispyware lo rileva ed elimina o mette in quarantena almeno gli aware e tutta la spazzatura ad esso legata. Purtroppo ho paura che dovrò formattare. Ma proprio nessuno sta lavorando ad una soluzione efficace e alla portata anche dei meno esperti?
bizio
Marzo 6th, 2007 at 21:17
Anche io me la sono vista brutta con gromozon. L’ho scoperto grazie al forum di supporto di firefox, che collegava un problema del browser all’infezione. Addirittura non riuscivo ad aprire le pagine che parlassero di gromozon o di prevx, tanto che sono stato costretto ad aprirle in cache ed andare a raccogliere informazioni così. Non mi apriva neanche l’exe di prevx1, anche se scaricato da un pc non infetto. Solo grazie ad un antivirus italiano non certo “di marca” con la grafica non proprio bella (VIRIT-LT) sono riuscito a eliminare gromozon. Tra l’altro Virit-lt me l’ha trovato immediatamente… Bisognerebbe fare in modo che gli utenti poco esperti trovino su internet qualcosa che sia sfuggito al team di gromozon, qualcosa che riescano a scaricare in tempi brevi ed in tutta sicurezza…
paolo
Marzo 13th, 2007 at 17:39
Marco, scusa il disturbo, comunque i complimenti e i ringraziamenti sono d’obbligo: grazie ai tuoi consigli e al remove tool di prevx penso di essere riuscito a vincere la battaglia contro gromozon (crash all’avvio…services.exe caricato non correttamente…)
Ma c’è un problema secondo me molto curioso, sia prima che adesso ovunque compare la parola gmer mi è inaccessibile:
-non posso accedere al sito di gmer
-non posso nemmeno leggere la tua guida a gmer (appena ci clicco sopra mi sbatte fuori chiudendo tutte le applicazioni)
-ho scaricato gmer.exe da un alto pc, l’ho rinominato e portato in chiave sul mio ma non me lo fa eseguire
-e anche un comunissimo file di word se salvato con il nome gmer non mi viene aperto
cosa posso fare per eliminare questo blocco e poter usare gmer? mi scoccia riformattare tutto proprio adesso che secondo me il pc è pulito
se qualcuno, oltre all’immenso marco, ha qualche consiglio resto in attesa e ringrazio in anticipo
(dotazione Kav 6.0 e Prevx1 console)