Inviato February 19, 2007 Ciao , Scarica MyUninstaller Dopo averlo decompresso , avvialo con un doppio click Nella lista delle applicazioni evidenzia ConnectionService e mediante il tasto destro del mouse scegli delete (NON uninstall) Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato February 19, 2007 (modificato) Per cancellare la voce ConnectionServices dall'elenco delle applicazioni posso usare anche Ccleaner che ha anch'esso la funzione Delete... ma come faccio a capire se l'ho già eliminato ed è rimasta solo la voce nell'elenco... oppure il 'maligno' è ancora nel mio pc? Modificato February 22, 2007 da Opp85 Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato February 19, 2007 Ccleaner cancella solo la voce nella lista , mentre MyUninstaller elimina anche il collegamento nel registro .... Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato February 19, 2007 (modificato) Ok come sempre grazie mille... Ora eseguo. Ne sapete sempre una più del diavolo :dia: anzi in questo caso... una più degli hacker Modificato February 22, 2007 da Opp85 Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato March 20, 2007 Ultime novità (20 marzo 2007) in inglese http://www.symantec.com/enterprise/securit...t_in_italy.html http://sunbeltblog.blogspot.com/2007/03/ma...e-searches.html (grazie a Steve per la segnalazione) Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato March 21, 2007 C'è anche http://www.symantec.com/enterprise/securit...ive_update.html Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato March 29, 2007 Nuova variante del Gromozon Il file, una volta eseguito, crea una copia di sé stesso sotto la directory di sistema di Windows con un nome casuale e viene eseguito all'avvio del sistema grazie all'aggiunta della chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato] in questa maniera il trojan parte con il caricamento di explorer.exe. Vengono modificati i permessi di accesso alla chiave di registro in modo tale da renderne piu difficile la rimozione. Una volta caricato si inietta all'interno di explorer.exe e crea un thread in cui, una volta al secondo, fa una scansione delle finestre aperte sul desktop e ne controlla i titoli. Se il titolo contiene una delle parole presenti in un elenco contenuto all'interno del codice malevolo, il trojan ricava il PID del processo relativo alla finestra in questione e termina l'esecuzione del programma. Tra le parole controllate e bloccate possiamo trovare: gmer catchme avenger hijackthis hardware upgrade forum p2p forum italia suspectfile …. per un totale di 20 parole, controllate in sequenza durante l'esecuzione del thread. Le stringhe sono codificate attraverso un meccanismo di xor, add e sub. Sembra che le routine di decrypt, a prima vista, siano state scritte manualmente e non utilizzando un'unica routine generale visto che le key vengono passate distintamente come parametri prestabiliti e sono sempre differenti da una routine all'altra. Il trojan, come il vecchio gromozon, ha anche funzioni di dialer. Fortunatamente, rispetto al vecchio gromozon, non sono presenti funzionalitá da rootkit per cui la rimozione risulta essere piú semplice. Al momento si puó tranquillamente utilizzare questa procedura manuale: - Controllare la presenza della chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = attraverso regedit. - Se presente, prendere nota del percorso del file chiamato. Dopo di che scaricate Avenger e decomprimetelo sul desktop. - Fatto questo, aprite il task manager premendo la combinazione di tasti CTRL-ALT-CANC e terminate il processo explorer.exe. Il desktop scomparirá, non vi preoccupate. - Sempre con il task manager aperto cliccate su FILE - NUOVA OPERAZIONE (ESEGUI) - SFOGLIA, cercate sul desktop avenger e lanciatelo - Una volta eseguito, cliccate sulla voce "Input script manually" e poi clicca sull'icona della lente di ingrandimento. Vi si aprirá una finestra, copiateci quello che è scritto qui sotto in corsivo: Files to delete: [qui dovete metterci il percorso che avete trovato nella chiave di registro] Registry keys to delete: hkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe - Cliccate su done e poi cliccate sull'icona del semaforo. Il pc si riavvierá, al successivo restart del PC dovrebbe comparire un log con la conferma dell'avvenuta rimozione Grazie a Marco Giuliani. Fonte Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato March 29, 2007 Ciao, in caso di mancato funzionamento di Avenger,si può eliminare la sottochiave explorer.exe manualmente, però bisogna resettare i permessi. In pratica, avviare il registro di sistema: start>esegui>regedt32 (digitarlo nello spazio)>OK Avviato l'editor del registro, cliccare sul segno + accanto alle suddette voci: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe, cliccare con il tasto dx del mouse su explorer.exe>Autorizzazioni>Avanzate, premere il tab.Proprietario , impostare la proprietà all'utente del computer>OK. Tornare alla pagina precedente, mettere la spunta a Controllo completo e di lettura>OK. Poi provare a eliminare explorer.exe con click tasto dx e scegliere elimina. Senza mettere mano al al registro, si può usare anche questo programma http://www.malwarebytes.org/RegASSASSIN.zip Avviare il programma Assicurarsi che le opzioni "Reset permissions" e "delete registry key and all subkeys" siano spuntate nella casella inserire il valore HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe Cliccare su "delete" Rispondere SI' ed aspettare il msg di avvenuta cancellazione (grazie a Lucass che me lo ha segnalato) Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato March 30, 2007 altre info http://www.symantec.com/enterprise/securit...-99&tabid=2 Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato April 1, 2007 Gromozon ora sfrutta la nuova vulnerabiltà dei cursori animati. Condividi questo messaggio Link di questo messaggio Condividi su altri siti