Dialer maledetto

[cicciozanna81]

Ciao, è una bestiaccia, sicuramente una variante più agguerrita del già noto linkoptimizer. Proviamo questa procedura.
Scarica AVGPfix da qui (è un cleaner puro):
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

Poi apri il registro di sistema (start>esegui>regedt32 (lo digiti nello spazio)>OK)
Quando hai trovato il valore
Debugger REG_SZ "c:\windows\system32\aldrndkw.txt"
eliminalo (click tasto dx del mouse sulla voce e scegli Elimina. Se non si facesse eliminare, evidenzi la voce click tastodx> nella nuova finestra scegli Autorizzazioni>Avanzate>proprietario>imposti la proprietà al nome Utente>OK, torni alla pagina precedente metti tutte le spunte alle voci controllo completo e in lettura>OK. Provi poi a eliminare la voce con click tasto dx e scegli elimina.

Con Avgpfix elimini il file:
cc:\windows\system32\aldrndkw.txt
(lo lanci, premi start, individui il file
premi OK).

Poi scarica questi due tools:

http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://smallbiz.symantec.com/security_r ... 16-4153-99

Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene completata la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)

Posta i due report delle scansioni.

Inoltre scarica SystemScan
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile il file report.txt.
Vai su:
http://www.easy-share.com
carica il file (premendo Sfoglia e poi il tasto Upload) , ti sarà fornito l'URL per scaricarlo. Incolla in un post tale URL.

Avverti ogni qualvolta non riesci a eseguire le operazioni suggerite.

Allora, ho scaricato agvpfix, ho eliminato la voce di registro sotto explorer.exe grazie alle impostazioni che mi hai aiutato a cambiare, all'inizio mi dava accesso negato, poi ho eliminato il file con il programma che mi hai consigliato, adesso hijackthis si apre e gira tranquillamente ho anche fatto un log pero' sia il symantec che il gromozon non partono non so perche ma dopo il doppio click non rimane neanche la clessidra, cioe' strano.... sono riuscito in modalita' provvisoria a fare lo scan di suspectfile con tutto spuntato ed ho uppato in rete i 2 log in uno zip ecco il link : http://w12.easy-share.com/926547.html

grazie di tutto

[Luke57]

Ciao, scarica questo tool e fallo girare
http://www.uploads.ejvindh.net/rustbfix.exe

Poi scarica AVENGER e decomprimilo sul desktop (estrai i file nel desktop)
http://swandog46.geekstogo.com/avenger.zip

- con un doppio click avvia il file avenger.exe
- Seleziona "Input Script Manually"
- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"
- copia / incolla (Ctrl+V) quanto segue:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset002\services\MsaSvc
HKEY_LOCAL_MACHINE\system\controlset001\services\MsaSvc
HKEY_LOCAL_MACHINE\system\controlset002\services\NetZks
KEY_LOCAL_MACHINE\system\controlset003\services\NetZks


files to delete:
C:\Programmi\File comuni\Services\fqt.exe
C:\Programmi\File comuni\Services\KXRgD.exe
C:\Programmi\File comuni\Services\ltNudz.exe
C:\Programmi\File comuni\System\CnG.exe
C:\Programmi\File comuni\System\LRrh.exe
C:\Programmi\File comuni\System\PBkgsac.exe
C:\Programmi\File comuni\System\Wfz.exe
C:\Programmi\File comuni\System\xYhyBb.exe.ren
C:\Programmi\Windows NT\FbG.exe
C:\Programmi\Windows NT\ijExU.exe
C:\Programmi\Windows NT\NFA.exe
C:\Programmi\Windows NT\slMg.exe
C:\Programmi\Windows NT\UOa.exe
C:\WINDOWS\nymfc1.dll
C:\WINDOWS\system32\compmgid.msc
C:\WINDOWS\system32\msasvc.exe
C:\Programmi\File comuni\System\xYhyBb.exe


Clicca sul tasto Done
- Poi sull'icona del semaforo verde
- Rispondi due volte Yes
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger

[cicciozanna81]

uffi non so piu che fare eseguo rustbfix mi si apre il prompt di ms-dos e dopo pochi secondi scompare, avvio avenger e non mi da segni di vita identico problema degli altri 2 programmi precedenti.... sono disperato

[Luke57]

Ciao, verifica che quel file non ci sia più e nemmeno la chiave di registro corrispondente.
In secondo luogo, con Avgpfix cerca ed elimina il seguente file:
C:\WINDOWS\system32\compmgid.msc
(visualizza anche file e cartelle nascosti e di sistema da risorse del computer, strumenti>opzioni cartella>visualizzazione, metti la spunta a visualizza file e cartelle nascosti, la togli a "nascondi file protetti di sistema".
Fai un'altra scansione con Virit.
Riprova poi a eseguire Avenger e il tool.

[cicciozanna81]

Ciao, verifica che quel file non ci sia più e nemmeno la chiave di registro corrispondente.
In secondo luogo, con Avgpfix cerca ed elimina il seguente file:
C:\WINDOWS\system32\compmgid.msc
(visualizza anche file e cartelle nascosti e di sistema da risorse del computer, strumenti>opzioni cartella>visualizzazione, metti la spunta a visualizza file e cartelle nascosti, la togli a "nascondi file protetti di sistema".
Fai un'altra scansione con Virit.
Riprova poi a eseguire Avenger e il tool.

Allora, dopo aver eliminato chiave di registro e relativo file, al riavvio ho avuto un problema, ossia explorer non veniva avviato -.- quindi niente icone su desktop, niente di niente, provo ad aprire task manager e eseguire una nuova operazione, cioe' explorer, errore impossibile eseguire explorer.exe....a questo punto ritorno sul registro e vedo che la chiave c'era ancora anche se il file era stato cancellato, rielimino la chiave , riavvio il pc ed ora sembra non ci sia piu traccia ne di chiave e ne del file!
ho cercato questo compmgid.msc ma nella cartella che mi hai indicato non esiste quel file se trovassi il modo di far girare questi 2 tool che mi hai dato

[cicciozanna81]

Ciao, verifica che quel file non ci sia più e nemmeno la chiave di registro corrispondente.
In secondo luogo, con Avgpfix cerca ed elimina il seguente file:
C:\WINDOWS\system32\compmgid.msc
(visualizza anche file e cartelle nascosti e di sistema da risorse del computer, strumenti>opzioni cartella>visualizzazione, metti la spunta a visualizza file e cartelle nascosti, la togli a "nascondi file protetti di sistema".
Fai un'altra scansione con Virit.
Riprova poi a eseguire Avenger e il tool.

Allora, dopo aver eliminato chiave di registro e relativo file, al riavvio ho avuto un problema, ossia explorer non veniva avviato -.- quindi niente icone su desktop, niente di niente, provo ad aprire task manager e eseguire una nuova operazione, cioe' explorer, errore impossibile eseguire explorer.exe....a questo punto ritorno sul registro e vedo che la chiave c'era ancora anche se il file era stato cancellato, rielimino la chiave , riavvio il pc ed ora sembra non ci sia piu traccia ne di chiave e ne del file!
ho cercato questo compmgid.msc ma nella cartella che mi hai indicato non esiste quel file se trovassi il modo di far girare questi 2 tool che mi hai dato

[cicciozanna81]

scusate il doppio post, ma con sta DSL pacca con ping allucinanti e' facile incepparsi in ogni caso davvero c'e' qualcosa che blocca tutto neanche virit mi si esegue fa come gli altri programmi !!!!!! non da segni di vita ci sara' un maledetto modo di farli partire.....

[cicciozanna81]

Non riesco neanche a terminare la scansione online con bitdefender unico browser per utilizzare il servizio e' internet explorer e guarda caso....dopo un po che gira, e' come se arrivasse a trovare cio che crea il macello ma in quell'istante internet explorer da un errore e la scansione si blocca con altrettanto di riavvio explorer come diamine devo fare -.- sembra non ci sia modo QQ

[Luke57]

Ciao, Avenger non ti riesce usarlo?

[cicciozanna81]

Ciao, Avenger non ti riesce usarlo?

No non mi si avvia proprio, neanche in modalita' provvisoria -.-

[Luke57]

Ciao, segui qui:
http://www.tgsoft.it/italy/index_ita.html
(stanno preparando la contromisura), vai nuovamente nel percorso del registro di sistema e cancella tutta la chiave explorer.exe creata dal virus con il solito metodo.

[cicciozanna81]

Ciao, segui qui:
http://www.tgsoft.it/italy/index_ita.html
(stanno preparando la contromisura), vai nuovamente nel percorso del registro di sistema e cancella tutta la chiave explorer.exe creata dal virus con il solito metodo.

ciao, dentro la chiave dell'explorer.exe c'e' solo una stringa :
nome tipo dati
(predefinito) REG_SZ (valore non impostato)

cancello questa stringa? o la chiave explorer.exe completamente?

p.s. il link non riesco ad aprirlo mi da pagina inesistente istantaneo

[Luke57]

Ciao, la chiave explorer.exe.

[cicciozanna81]

Ciao, la chiave explorer.exe.

ok fatto, adesso riavvio e provo se mi avvia i programmi, ho provato subito dopo aver cancellato la chiave ma non vanno ti faccio sapere subito

[cicciozanna81]

ciao, fatto tutto riavviato e la chiave non viene ricreata, quindi adesso non c'e' piu ma mi da lo stesso problema con avenger e compagnia bella ...

[Luke57]

Ciao, allora c'è un altro file che impedisce l'esecuzione.
Prova a guardare se ci sono questi file:
boottray.exe - runviewer.exe - rundebug.exe e relative voci di registro.
Prova a eliminare anche tutte le voci che sono indicate nel report di Avenger, voci di registro comprese con il solito metodo.
Per eliminare quegli eseguibili, su XP Professional Edition basta cliccarci con il tasto destro e scegliere proprietà. Compare una finestra(Protezione) dalla quale è possibile impostare per il proprio utente la proprietà del file ed il suo controllo completo.
Se tale opzione non è disponibile, bisogna andare in opzioni cartella e togliere la spunta dall'opzione Utilizza Condivisione file semplice.
Ci sarà sicuramente anche un rootkit, invisibile naturalmente....
Adesso ti devo lasciare, a domani.

[Luke57]

Ciao, con il solito metodo intendevo quello manuale

[cicciozanna81]

Ciao, con il solito metodo intendevo quello manuale

ciao, allora quei 3 file exe che mi hai menzionato non ci sono (ho fatto la ricerca file dentro c:\ senza risultato) il log di avenger non ce l'ho perche come ti avevo detto non mi si avvia QQ, sembra piu dura del previsto

[Luke57]

Ciao, ricapitolando quella chiave è stata eliminata, quindi c'è qualcos'altro che impedisce l'esecuzione del tool. Prova a vedere questa chiave:
HKLM\Software\Micosoft\Windows NT\CurrentVersion\Winlogon, all'interno della cartella Winlogon dimmi che valore c'è sulla parte destra di
Userinit

[cicciozanna81]

Ciao, ricapitolando quella chiave è stata eliminata, quindi c'è qualcos'altro che impedisce l'esecuzione del tool. Prova a vedere questa chiave:
HKLM\Software\Micosoft\Windows NT\CurrentVersion\Winlogon, all'interno della cartella Winlogon dimmi che valore c'è sulla parte destra di
Userinit

ciao, allora dentro la chiave winlogon ci sono 3 "sotto chiavi" se cosi si chiamano (Credentials,GPExtensions,SpecialAccounts)
sulla destra sotto la chiave winlogon tra le tante stringhe trovo la stringa Userinit (tipo:REG_SZ dati:c:\windows\system32\Userinit.exe)