-
Intern@t.
User deleted
LinkOptimizer è un virus del tipo Trojan/Agent che in questi giorni sta circolando su Internet.
E' un adware che si installa nel PC sfruttando l´exploit-WMF.Basta cioè navigare con Internet Explorer e il PC non patchato in qualche sito dove è presente una immagine wmf appositamente confezionata per scaricare in automatico questo adware.
Questo adware, si installa nel computer sfruttando un bug su WMF. (Windows Meta File).
Il LinkOptimizer si contrae visitando particolari siti (che esistono al solo fine di contagiare più pc possibili). Molti di questi sono oggigiorno contrassegnati da uno sfondo tricolore.
Non appena aperta la pagina, il sito tramite un bug del browser carica il file infetto sul pc. Questo a sua volta scaricherà gli altri componenti dal server d'origine. Questi files vengono oggi scaricati da td8eau9td.com, ma in un passato prossimo venivano scaricati da gromozon.com e da mioctad.com.
Senza spiegare dettagliatamente ogni parte del malware e la sua funzione, mi limiterò a dire che i file vengono celati attraverso una tecnica particolare, definita rootkit. Infatti è questa caratteristica che rende particolarmente difficile la rimozione.
Se agli inizi era necessario collegarsi quasi esclusivamente a un sito a luci rosse (di marca italiana) per contrarre il malware, oggi il raggio di azione si è notevolmente allargata. Sono stati creati anche siti infetti che trattano di elettrodomestici (per dirne una).
Una semplice soluzione per evitare il malware è navigare usando i cosiddetti browser alternativi (Firefox od Opera) che avvisano che il sito sta tentando di scaricare un file.
Tale file si chiama www.google.com, al fine di indurre l'utente a pensare che sia un file legittimo della google, inc. L'estensione .com però indica un file eseguibile, come .exe o .bat.
Un antivirus che riconosce il malware è il Nod32, che può aiutare a prevenirne l'infezione.
I sintomi facilmente riscontrabili consistono in un evidente rallentamento del pc (insieme a un uso smodato della cpu) e alla comparsa di numerosi popup nel web e durante la ricerca con Google. Con quest'ultima, il malware fa comparire un popup del genere: premettendo che io stia cercando su Google "Calcio", il popup riporterà diversi link a siti a pagamento, e in grande la scritta "Are you looking for *Calcio*?"
Utilizzando invece un programma di diagnostica come Hijackthis, potremmo notare voci del tutto simili a queste. Alcune delle voci potrebbero essere presenti o no. Ciò dipenderà anche dalla versione che avete del malware, tra le quali una delle più recenti non permette la visualizzazione di nessuna fra queste:
* R3 - Default URLSearchHook is missing
* O2 - BHO: Class - {CLSID casuale} - C:/WINDOWS/[random 5 lettere]1.dll (file missing)
* O2 - BHO: Class - {CLSID casuale} - C:/WINDOWS/[random 2 lettere]aa.dll (file missing)
* O4 - HKLM\..\Run: [[random 4 lettere]1.exe] C:\WINDOWS\Temp\[random 4 lettere]1.exe
* O4 - Startup: w32.exe
* O16 - DPF: {CLSID casuale} - http:/td8eau9td.com/a33ed837/50310/1/xp/FreeAccess.ocx
* O23 - Service: [Random] - Unknown owner - \\?\C:\Programmi\File comuni\System\[random].exe (file missing)
Inoltre il malware genera un utente dal nome casuale (ad es. FdgHEhhjEa oppure jUuNjkLDrhs) ed un nuovo servizio a lui associato (per controllare: Start--digitate services.msc--invio, e vedrete che nella lista, i servizi sono associati, nella colonna Connessione, a tipologie quali Servizio Locale, Servizio di Rete etc., mentre i/il servizio che cerchiamo, in quella stessa colonna, sarà associato a qualcosa tipo "FdgHEhhjEa" o "/jUuNjkLDrhs", ovvero lo stesso nome dell'utente nascosto.
Ciò starà a significare che ci saranno dei file eseguibili infetti per questi servizi, crittografati (per cui li vedrete di colore verde):
attualmente ne sono stati localizzati in C:\Programmi\File comuni\System, C:\Programmi\File comuni\Services, C:\Programmi\File comuni\Microsoft Shared, e ultimamente anche in C:\Programmi\ (dove ovviamente C: è la lettera che identifica la partizione dove avete il Sistema Operativo).
Per verificarne la presenza è sufficiente abilitare la visualizzazione dei files invisibili e andare in C:\Documents and Settings\
Si potrà riscontrare anche la presenza della voce LinkOptimizer (o anche ConnectionServices) nel pannello Installazione Applicazioni.
NOTA BENE NON si deve assolutamente disinstallare il malware dal Pannello di Controllo >> Installazione applicazioni non avrebbe alcun effetto,se nn peggiorare la situazione,verrete rimandati ad un sito web (http://notetol.com/uninstall.php). Inoltre con questo tentativo di disinstallazione, viene installato un rootkit,se gia' non ne avete abbastanza.
PER NESSUN MOTIVO CLICCARE SUL PULSANTE "UNINSTALL" DI QUESTO SITO!!!
Ultimamente, alcune compagnie antivirus (fra le quali la Symantec) hanno aggiornato le definizioni dei propri antivirus, ma il worm è comunque di difficile rimozione per la sua complessità strutturale e le numerose varianti in cui si propone.
Recentemente, la Prevx ha rilasciato un ottimo tool per la completa rimozione del malware... Purtroppo però il tool spesso non rimuove del tutto il malware.
Nonostante un tool che spesso non funziona perfettamente possa sembrare inutile o quasi, nel caso del LinkOptimizer è un grandissimo passo avanti, dato che semplifica e di molto il processo di rimozione.
La rimozione manuale invece è consigliabile solo per chi se ne intende.
Nel caso si voglia (o si debba) procedere a una rimozione manuale, si dovranno scaricare e tenere in una cartella questi programmi :
Tool antirootkit della Prevx
Prevx1
VirIT
Ccleaner
The Avenger
MyUninstaller
GMER
HijackThis
Rimanete disconnessi da Internet per tutta la procedura (staccate il cavo di rete se avete un Router).
Prima di tutto è necessario disabilitare il Ripristino Configurazione di Sistema (da riabilitare alla fine)
Windows XP:
Secondo il tipo di visualizzazione del Menù Avvio:
-Tasto dx sull'icona Risorse del Computer o Start--tasto dx Risorse del Computer
-Proprieta'>Proprieta' del Sistema
-Ripristino Configurazione di Sistema
-Mettere la spunta a Disattiva Ripristino Configurazione di Sistema.
Windows Millennium:
-Start--Pannello di controllo--Sistema--Prestazioni--File System--Risoluzione dei problemi
-Mettere la spunta a Disattiva Ripristino configurazione di sistema
-Riavviare
Windows 2000 Windows 98 non hanno la funzionalità del Ripristino di Sistema
1) Estrarre MyUninstaller. Si tratta di un programma (che non necessita installazione) simile a "Installazione Applicazioni" ma molto più efficace in questo caso. Cerca la voce LinkOptimizer (o ConnectionServices), cliccarci col destro e cliccare Delete selected entry
2) Andare su Start> esegui> e digitare le scritte in corsivo:
control userpasswords2
e dare l'invio.
Nella finestra Account utente, si dovrebbe avere un'utenza sospetta con nome casuale (oltre le consuete), tipo XYZFG. Segnarsi il nome dell'utenza ed eliminarla (click con il destro e scegliere Elimina).
3) Rendere visibili cartelle e files nascosti:
da gestione del computer> strumenti> Opzioni Cartella
Selezionare "Visualizza"
Spuntare "mostra file e cartelle nascoste"
Togliere la spunta da "nascondi file protetti di sistema".
Cliccare Applica poi OK.
Andare in C:\Documents and Settings, si dovrebbe trovare una cartella con lo stesso nome dell'utenza, eliminatela.
4) Disattivate dall’avvio automatico tutti i processi (Start--esegui--digitare msconfig--Tab Avvio togliendo la spunta a tutto, li rimetterete a lavoro finito)
5) Aprite il programma Gmer, fare uno scan delle schede "Autostart" e "Rootkit" e fate un copia/incolla nel Blocco Note dei percorsi dei files che trova nascosti.
ESEMPIO:
C:\Windows\beedg1.dll
C:\Windows\System32\com7.yyt
6) Questa fase necessita l'uso di Avenger e l'inserimento di uno script che varia da infezione a infezione (ci si ricordi che quasi tutti i componenti hanno nomi casuali).
NOTA: il contenuto va creato personalmente sulla base di quanto trovato.
Questo tool cancella i file a livello di KERNEL: attenzione a cosa scrivete perchè verrà cancellato!!
Aprite Avenger e selezionate Input Script Manually e cliccate sulla lente di ingrandimento: nella finestra di input fate un copia/incolla di queste righe:
ESEMPIO:
Registry values to replace whit dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Files to delete:
C:\windows\beedg1.exe
C:\Windows\System32\com7.yyt
sostituendo i percorsi con quelli che avete annotato prima dalla scansione con Gmer.
Cliccate su “Done” e poi sul Semaforo rispondendo “Si” alle successive domande finchè il PC non fa il Reboot. Controllate dal log che appare al riavvio che tutto lo script sia andato a buon fine.
7) Lanciate il tool della Prevx (se non dovesse partire installate anche Prevx1), che individuerà ed eliminerà i files nascosti del rootkit e segnalerà, (prendetene nota), quelli in verde appartenenti al servizio nelle cartelle interessate (la scansione è un pò lenta ma efficace). Nelle ultime varianti questa segnalazione non è sempre presente, perciò dovrete controllare manualmente dove stanno questi file (Start--digitate services.msc--invio, tasto dx sul servizio random--proprietà--annotate il percorso del file eseguibile per ogni servizio)
8) Controllare se in C:\Programmi o C:\Programmi\file comuni o C:\programmi\file comuni\System o in C:\programmi\file comuni\microsoft shared , sono presenti file con estensione .exe di colore verde. Se sì, utilizzare il tool AgVPFix per eliminare ad uno ad uno ogni file.
Questo dovrebbe eliminare anche la cartella dell'utente nascosto ed il servizio,per sicurezza controllate anche in Document and Setting,e,eventualmente,se c'e',cancellatela.
Riavviate per rendere attive le modifiche.
9) Lanciate VirIT che automaticamente farà una scansione del sistema: se trova qualcosa (e lo troverà quasi certamente) a questo punto ricollegatevi ad Internet ed aggiornatelo, poi riavviate e rilanciatelo.
Attualmente VirIT e' l'unico antivirus che può aiutare a spezzare le gambine alle varianti più ostinate del malware: riconosce i vari Trojan Agent e pulisce il registro; individua anche i files incancellabili dell'infezione, e anche se non è detto che li elimini, magari si riesce a metterli in quarantena e da li' poi li si cancella.
10) Installare Ccleaner, aprirlo, e cliccare su "Avvia Cleaner" in basso a destra. sarebbe consigliabile spuntare(disattivare) nelle Opzioni Avanzate "Cancella file in Windows Temp solo se più vecchi di 48 ore"(meglio ancora sarebbe controllare manualmente che sia cancellato tutto il contenuto delle cartelle Temp e Temporary Internet Files, e Prefetch)
Questo pulirà i file "Temp".
11) Aprire HijackThis e cliccare su "Do a system scan only", per poi eliminare le voci segnalate(Fix) in precedenza.
12) Eliminate la cartella C:\Programmi\LinkOptimizer (ove C:\ indica la partizione del disco rigido infetta).
13) Per finire di pulire il registro, cercate nel regedit.exe tutte le voci riferite ai nomi random, alle CLSID random e a LinkOptimizer o ConnectionServices.
Verifica finale di Controllo eliminazione:
1. Scaricate RegSrch.zip. Estraete lo script RegSrch.vbs dall´archivio e mettetelo sul desktop. Poi avviatelo e nella finestra che si apre scrivete "LinkOptimizer"(senza virgolette). Poi attendete fino all´apertura di una finestra di Wordpad che riporta le chiavi da cui era richiamato il file. Navigate nel registro di sistema (regedit.exe) fino a quelle chiavi ed eliminatele. Attenzione a cosa si cancella! Se ricevete il messaggio Accesso negato significa che il trojan ha modificato le autorizzazioni per quelle chiavi del registro.
2. Da HijackThis, cliccate Open the misc tools section >> open Uninstall Manager. Selezionate la voce LinkOptimizer e premete Delete this entry.
A questo punto il LinkOptimizer è finalmente eliminato!
FONTE
Edited by <geniv> - 9/11/2006, 22:09
. -
<Keishu>.
User deleted
Complimenti 
C'è l'avevo sull'altro pc... ho dannato l'anima per eliminarlo
. -
Intern@t.
User deleted
CITAZIONE (<Keishu> @ 21/9/2006, 00:14)Complimenti C'è l'avevo sull'altro pc... ho dannato l'anima per eliminarlo
Non solo TU,garantisco!!!
. -
Intern@t.
User deleted
Removal tool LinkOptimizer
Il tool è disponibile al seguente link PREVX
Il tool dovrebbe rimuovere i seguenti riferimenti al LinkOptimizer
File crittografati(EFS) presenti nelle directory:
Programmi\File comuni\System
Programmi\File comuni\Microsoft Shared
File ads(Alternative Data Streams)con nomi vari presenti nelle seguenti directory:
%Systemdrive%\ADS
(Indica la lettera dell'hard disk dove risiede il O.S. di default C:\)
Cartella Windows\ADS
Cartella System32\ADS
Esempi:
C:\:unvisln2.exe
C:\Windows\:unvisln2.exe
C:\Windows\System32\:unvisln2.exe
(I riferimenti in rosso,indicano files ADS)
Files con nomi riservati in Windows
*.com
*.lpt
.tty
.prn
.nul
.con
.aux
*Nota:
Per i nomi lpt/com potrebbero essere presenti dei numeri
(da 1 a 9)per esempio:
C:\Windows\com4.csd
C:\Windows\lpt4.csd
- Elimina eventuali account utenti aggiunti dal malware con nome random.
- Elimina i servizi aggiunti dal malware con collegamento ai files EFS.
- Elimina componente rootkit.
- Elimina eventuali CLSID e BHO aggiunti dal malware.
- Elimina la cartella con il nome utente aggiunto in Documenti and Setting.
P.S.:Il tool non si è dimostrato infallibile,in molti casi, è necessario l'intervento dell'utente per eliminare eventuali residui
Come eliminare diverse varianti di Link Optimizer
La tgsoft ormai é arrivata già a un buon livello per la rimozione automatica del malware ed ha approntato anche alcune soluzioni per la rimozione manuale
Google.com cambia nome
L'eseguibile principale dell'infezione LinkOptmizer cambia nome,eh si ci voleva.
Il nome è www.nrydi.com
Di seguito, un whois eseguito dal sito da dove viene scaricato il malware
Registration Service Provided By: ESTDOMAINS INC
Contact: +1.3027224217
Website: http://www.estdomains.com
Domain Name: MUFXGGFI.COM
Registrant:
N/A
Austen Rando (Whois Privacy and Spam Prevention by Whois Source)
Conde St. 16 81
BELLEVILLE
Illinois,62220
US
Tel. +001.6187775834
Creation Date: 08-Aug-2006
Expiration Date: 08-Aug-2007
Domain servers in listed order:
managedns2.esthost.com
managedns1.esthost.com
Administrative Contact:
N/A
Austen Rando (Whois Privacy and Spam Prevention by Whois Source)
Conde St. 16 81
BELLEVILLE
Illinois,62220
US
Tel. +001.6187775834
Technical Contact:
N/A
Austen Rando (Whois Privacy and Spam Prevention by Whois Source)
Conde St. 16 81
BELLEVILLE
Illinois,62220
US
Tel. +001.6187775834
Billing Contact:
N/A
Austen Rando (Whois Privacy and Spam Prevention by Whois Source)
Conde St. 16 81
BELLEVILLE
Illinois,62220
US
Tel. +001.6187775834
Status:ACTIVE
Attualmente,sono solo 4 gli antivirus che individuano questo malware:
Avira (TR/Obfuscated.D)
Kaspersky (Trojan.Win32.Obfuscated.d)
Symantec (Trojan.Linkoptimizer)
TheHacker (Trojan/Obfuscated.d)
www.free.com
Dimensioni: 17920 bytes
MD5: 0c6b1f6700f00efe2aab7e600dac61b1
SHA1: 051e7b87a3f27718bda6ebb7780b056d4ac8d60a
NOTE:
altri nomi: [b]www·weather.com, www·pictures.com, www·super.com[/b]
Crea il file %system%/mpaa.dll
crea il file %temp%/53.tmp (numero crescente) copia di mpaa.dllCITAZIONETR/Obfuscated.D -----------> (AntiVir)
//////////////// -----------> (Authentium)
//////////////// -----------> (Avast)
Generic2.CRB -----------> (AVG)
//////////////// -----------> (BitDefender)
//////////////// -----------> (CAT-QuickHeal)
//////////////// -----------> (ClamAV)
//////////////// -----------> (DrWeb)
//////////////// -----------> (eTrust-InoculateIT)
//////////////// -----------> (eTrust-Vet)
//////////////// -----------> (Ewido)
//////////////// -----------> (Fortinet)
//////////////// -----------> (F-Prot)
//////////////// -----------> (F-Prot4)
Trojan.Win32.Obfuscated.d -----------> (F-Secure)
//////////////// -----------> (Ikarus)
Trojan.Win32.Obfuscated.d -----------> (Kaspersky)
//////////////// -----------> (McAfee)
//////////////// -----------> (Microsoft)
Win32/Agent.NDQ -----------> (NOD32v2)
//////////////// -----------> (Norman)
Adware/SystemDoctor -----------> (Panda)
//////////////// -----------> (Sophos)
Trojan.Linkoptimizer -----------> (Symantec)
Trojan/Obfuscated.d -----------> (TheHacker)
//////////////// -----------> (UNA)
//////////////// -----------> (VBA32)
//////////////// -----------> (VirusBuster)
Ho letto ultimamente che una delle ultime varianti del trojan LinkOptimizer ha la capacita' di impedire e disabilitare l'accesso a siti/forum che trattano di sicurezza informatica e che forniscono tool di rimozione tipo anche il sito della Prevx.com e blocca all'avvio tools come VirIT,RootkitRevealer,GMER,Antivir,The Avenger,l'antirootkit della Sophos...
Systemscan è una piccola utility di scansione del PC che raccoglie una serie di tool freeware per analizzare diversi punti di avvio del PC. Le analisi compiute da Systemscan sono:CITAZIONE- chiavi di avvio del registro (recuperate direttamente dagli hives)
- lista degli utenti
- lista degli specialaccounts
- shared task scheduler
- lista dei Browser helper objects (BHO)
- urlsearchhooks
- EFS dumping
- componenti attivi installati
- processi in esecuzione con le dll richiamate
- elenco dei servizi attivi, compresi i driver di sistema
- ricerca degli Alternate Data Streams
- ricerca file compressi con Upx, FSG, Polycrypt, Upack e altri
Il log viene salvato con il nome di report.txt nella cartella C:
Download Systemscan.exe
AvRunner (script per avviare Avenger)
1) Il tool funziona solo se Windows è installato in C:
2) Funziona sia su XP che su W2K, ma non sempre.
3) Se non dovesse eseguire lo script, provare ad avviare AvRunner una seconda volta.
Il trojan Gromozon impedisce di avviare molti tool nella macchina infetta. Uno tra questi è The Avenger di Swandog46, utilizzato con successo dal primo apparire di Linkoptimizer grazie alla capacità di eliminare con successo i file collegati all´infezione (una volta individuati). Questa efficacia è senz´altro dovuta alla capacità di caricare dei driver a livello di Kernel.
Purtroppo The Avenger è stato bloccato da una delle varianti successive del trojan ed in questo modo una delle migliori armi per la pulizia è diventata inefficace
Tentativi di usare tool alternativi,come Linkoptimizerfix di Suspectfile basato sul BFU di Merijn (il creatore di HijackThis) non sembrano altrettanto efficaci, probabilmente perchè questi tool lavorano ad un livello più alto. Eccovi dunque un fix per bypassare il problema del blocco di Avenger.
L´idea alla base di AvRunner è quella di istruire il PC ad eseguire i comandi di Avenger senza necessità di caricare la GUI di Avenger, i cui componenti sono riconosciuti dal rootkit e bloccati. Quindi il PC si riavvierà con le istruzioni per la rimozione del Trojan il quale, non ancora caricato in memoria, non sarà in grado di bloccarne l´esecuzione!
Il funzionamento del tool è semplice: basta copiare il file AvRunner in una cartella qualunque (anche il desktop) sul PC e nella stessa cartella salvare il file script.txt. In questo file inserire lo script che Avenger dovrà eseguire e poi avviare AvRunner.
Una volta, il tool si preoccuperà di impostare automaticamente il sistema per eseguire Avenger al reboot. Al solito viene creata la cartella c:/avenger nel quale verrà conservato un archivio zippato con tutte le modifiche effettuate al sistema.
L´accoppiata Systemscan + AvRunner hanno sconfitto questa variante che bloccava GMER, Avenger, HijackThis, le pagine web dei siti di sicurezza, i tool di PrevX e di Symantec... e che sfuggiva a Virit.
Credo che gia' la Prevx si sia mossa per arginare il problema, per quanto invece riguarda altri siti credo venga modificato dal trojan il file HOSTS e che il problema possa essere risolto sostituendo lo stesso con il file HOSTS messo a disposizione da mvps.org
Per procedere alla sovrascrizione del file HOSTS basta scaricare la release della mvps.org presente a questo link
http://www.mvps.org/winhelp2002/hosts.htm
Verificate se all'interno del file HOSTS
Windows XP = C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Windows 2K = C:\WINNT\SYSTEM32\DRIVERS\ETC
Win 98/ME = C:\WINDOWS
è presente la restrizione al sito al quale nn riuscite ad accedere.
Se così fosse, sostituite il file HOSTS presente nei percorsi appena citati (fate attenzione al vostro sistema operativo) con il file HOSTS presente al link sopracitato.
- Nel caso nn riusciste ad accedere al sito della Prevx,trovate il loro tool QUI
Il link è questo: http://www.mytempdir.com/948254
Usatelo e poi postate il contenuto del file c:/gromozon_removal.log.
Se una volta scaricato il tool nn riusciste ad avviarlo rinominatelo cn rimuovi.exe o come volete voi.
Altri link dove scaricare il tool della Prevx:
Gromozon Rootkit Removal Tool
File.Torrent
Per l’utilizzo del file torrent è necessario l’utilizzo di un programma che gestisca il protocollo BitTorrent, quali Shareaza, BitTornado, BitComet o lo stesso browser Opera.
Al termine GMER dovrebbe tornare a funzionare. Quindi Avviatelo e fate due log
- (tasto Scan) uno dal tab rootkit
- uno dal tab autostart
Nota:Copiate tutte e due i log premendo il tasto Copy nei rispettivi tab e incollateli in un file di testo che salverete.
- Nel caso che il remover della Prevx e il rootkit Revealer siano bloccati subito in avvio provate col tool della Symantec sperando vi faccia accedere al sito della Norton.
Qui un'immagine del tool al lavoro. L´esito viene salvato nel file FixLinkopt.log
NOTA: funziona su Windows NT 4.0, Windows 2000 e Windows XP.CITAZIONEE´disponibile un fix preparato da Suspectfile.
Il fix NON si sostituisce in alcun modo ai tool della PrevX e a quello Symantec perchè NON analizza tutti i file, ma solo alcuni con caratteristiche analoghe a quelli infetti e da noi conosciuti.
Vengono cancellati i file attribuibili al rootkit, se trovati, mentre le dll e gli eseguibili considerati sospetti vengono spostati nella nuova cartella c:/suspectfile che viene creata.
Il fix è in grado di rintracciare e disattivare l´ultima dll (%SYSDIR% / ??aa.dll) che causa l´inattivazione del tool di PrevX anche dopo che è stato usato il fix della Symantec e dovrebbe riuscire a rimuovere il blocco alla navigazione verso siti come il nostro.
[b]Si consiglia al momento di usarlo solo dopo il tool della Symantec, per tentare di ripristinare la visione dei siti internet, se ancora bloccati. NON usatelo come tool di rimozione principale di LinkOptmizer, al momento non è ancora efficace[/b]
Consigliamo quindi di provare il nostro fix solo se non si è risolto con uno dei due precedenti. Al termine del fix si consiglia una scansione del PC a questo sito: http://security.symantec.com
Con la nuova release (1_4) compare un messaggio come quello sottostante.
In esso si può incollare il valore della CLSID attribuita a linkoptimizer che si vede nel log di HijackThis al valore O2. Tutte le chiavi trovate che si riferiscono a quella CLSID saranno cercate nel registro ed eliminate al reboot, quindi attenzione a incollare il valore corretto!
ATTENZIONE:
Il nostro tool cancella dal registro tutte le chiavi BHO facendone un backup in c:/suspectfile. Questo per evitare che il sistema carichi la dll di linkoptimizer, ovunque essa sia. Per ripristinare le BHO, far visionare il contenuto del file BHO_backup.reg da un esperto nel nostro o in altri forum e se risultano legittime potranno essere ripristinate con un semplice doppio click sopra il file
Download linkoptimizerfix.exe
Fonte.
Edited by Intern@t - 14/10/2006, 02:20. -
Intern@t.
User deleted
AGGIORNAMENTO RIMOZIONE
Le ultime varianti di LinkOptimizer non si vedono dal Pannello di controllo proprio perchè fanno uso di tecniche di rootkit. per nascondersi.Utilizzano un tool che Bitdefender riconosce come Backdoor.HackDef.Gen
Per chi non sapesse cosa è un rootkit riporto cosa dice Wikipedia:
Un rootkit, (lett. attrezzatura da root, nel senso di amministratore) è un insieme di software che permette di ottenere il
controllo di un computer da locale o da remoto, in maniera nascosta, ossia non rilevabile dai più comuni strumenti di amministrazione e controllo. Oltre ad installare spesso delle backdoor, il suo utilizzo più comune è quello di nascondere file e cartelle, permettendo così a trojan e malware di installarsi senza essere rilevati.
I più comuni rootkit fanno uso di moduli del kernel o librerie su sistemi unix, e dll e driver per quelli Windows.
Tra i più noti (e ormai generalmente inoffensivi, in quanto si sa come operano e quindi possono essere rivelati da un software di protezione) possiamo annoverare FU e NT Rootkit, il primo in assoluto mai reso pubblico.
Ecco spiegata la pericolosità di questo LinkOptimizer, e la difficoltà quindi, nell'eliminarlo in quanto gli antivirus non lo rilevano.
Qualche antivirus lo rileva ma la voglia di cancellarlo non ce l'ha.
Inoltre, se si cerca di cancellarlo, ecco che al successivo riavvio si ripresenta.
Questa infezione causa i seguenti sintomi:
- L'antivirus Avast segnala che uno o più file con estensione tmp, exe o dll sono infetti dal trojan Win32/Agent. Cancellarli non serve perchè si ripresentano.
- La navigazione internet rallenta fino a cadere, poi si crea una nuova connessione.
- Durante la navigazione in Google compaiono dei pop-up pubblicitari(leggete la prima parte della guida)
Modifiche apportate dal trojan al PC
- Installazione di una o piu' file dll (jrvlp1.dll) in C:\Windows: è il cuore di LinkOptimizer.
- Creazione di alcuni file nascosti con estensione exe,dll,tmp in C:\Windows\Temp oppure C:\Programmi): questi sono varianti del trojan Agent.
Questi file hanno dei nomi casuali(random) che cambiano ad ogni avvio del pc.
- Creazione di un'utenza nascosta con nome casuale. Questa utenza si troverà una cartella creata alla data dell´infezione in C:\Documents and Settings.
- Creazione di un nuovo servizio dal nome casuale. Il servizio si identifica facilmente dall´elenco dei servizi (Start >> Esegui digitare services.msc e premere invio) perchè nella colonna connessione riporta un nome casuale.
- Download ed avvio del tool rootkit(c_285tz.nls) per nascondersi alle API di Windows.
Le sue caratteristiche sono:
Un nome che fa uso dei nomi riservati in Windows (com#, lpt#, nul# prn#) per rendere difficile la sua rimozione.
* Viene salvato in C:/windows/system32 nei sistemi con FAT32 e negli ADS (alternate data streams) nei sistemi NTFS.
* E´ avviato all´apertura di qualsiasi programma o finestra GUI poichè è caricato dalla chiave di registro APPInit_DLLs key
NOTA Il rootkit e le dll casuali NON sono visibili da Explorer.exe e anche la chiave di registro APPInit_DLLs sembra apparentemente vuota. E´ possibile vedere il nome dei file facendo uso di tools antirootkit,come RootkitRevelear o GMER.
Con RootkitRevelear in caso di infezione il log appare di questo tipo:CITAZIONEHKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs 17/06/2006 10.29 66 bytes Windows API length not consistent with raw hive data.
C:/WINDOWS/hyqtt1.del 10/07/2006 14.56 63.16 KB Hidden from Windows API.
C:/WINDOWS/hyqtt1.dll 10/07/2006 14.56 63.16 KB Hidden from Windows API.
C:/WINDOWS/system32/com4.igp 10/07/2006 16.39 115.04 KB Hidden from Windows API.
In questo caso l´infezione risale al 10 luglio. La prima riga ci informa che il tool antirootkit è stato caricato dalla APPInit_DLLs (è il file com4.igp). Questo tool ha nascosto il LinkOptimizer (i due file hyqtt1).
Sintomi rilevabili da HijackThis (non necessariamente)
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page =
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {1A06B321-9911-88C0-89F1-281F7413084A} - C:/WINDOWS/hyqtt1.dll (file missing)
Il nome del BHO può variare: Class o Java update console, così come la CLSID (i numeri tra le parentesi graffe). E´ abbastanza comune vedere file missing oppure no file. Sintomo che il rootkit ha nascosto la dll e HijackThis non la vede.
Soluzione:
Se si ha XP o ME, la cosa più semplice e veloce per risolvere il problema è utilizzare il Ripristino configurazione di sistema per ripristinare il PC ad una data precedente a quella in cui sono iniziati i problemi.
Se il ripristino non ha successo, si può provare con un paio di scansioni: una online con Bitdefender e una scaricando e usando VirIT (tra l´altro italiano) dalla modalità provvisoria. Prima di usarlo aggiornarlo online.
Entrambi gli antivirus riconoscono e rimuovono LinkOptimizer, ma potrebbero avere problemi con la variante che fa uso del rootkit. In questo caso si può rimuovere manualmente con la seguente procedura:
RIMOZIONE MANUALE
1. Scaricare RootkitRevelear e fare il log. Il log va fatto senza usare il pc con tutte le applicazioni chiuse(compreso l'Antivirus) e disconnessi da Internet.
Da quel log identificare le voci infette (sono quelle hidden from windows API create con la data dell´infezione). Deve esserci almeno una dll in C:/windows e un file con nome riservato in C:/windows/system32.
2. Abilitare la visualizzazione dei file nascosti e di sistemaCITAZIONE- aprire gestione risorse
- dal menu selezionare Strumenti >> Opzioni cartella
- selezionare il tab Visualizzazione
- mettere la spunta alla casella visualizza file e cartelle nascoste
- togliere la spunta alla casella nascondi file di sistema (consigliato) (opzione più in basso)
- cliccare Si, poi Applica, poi OK.
3. Cercare il nome di un utente fittizio nome casuale in C:\documents and settings la cui cartella è stata creata il giorno dell´infezione
4. Cercare gli eventuali file con estensione exe, dll, tmp (nascosti) che hanno nomi casuali e si trovano in C:/programmi o C:/windows/temp e che riportano la data di creazione recente (1-2 giorni).
5. Disinstallare dal pannello di controllo TUTTE le versioni di java installate. Al termine della pulizia si potrà reinstallare l´ultima, scaricata dal sito della SUN
6. Fixare (eliminare) con HijackThis(vedi guida ) TUTTE le voci R0, R1 e R3 come quelle viste prima e le righe del tipo O2 - BHO: (nome)-{xxx}-(nofile) dove XXX è una serie di lettere e numeri, ad esempio {DA39029C-D291-A968-3FF4-D0990D5CB5FC} e nome p un nome tipo class, JavaScript console
7. Disabilitare dall´elenco dei servizi il servizio random creato. Si clicca sopra il servizio con il tasto destro e nella casella Tipo di avvio si sceglie disabilitato
8. Svuotare TUTTE le cartelle temporanee, di TUTTI gli utenti sul PC. Ad esempio C:\temp; C:\windows\temp; C:\documents and settings\nome_utente\temp e così via. Cercarle con Trova per non dimenticarne qualcuna. E´ possibile usare un tool per farlo come CCleaner, ma comunque è meglio controllare manualmente.
9. Cancellare se esistente la cartella linkoptimizer (o link optimizer) dal PC con tutto quello che contiene
10. Svuotare il cestino
11. Scaricare The Avenger sul desktop
12. Unzippare(estrarre) l'eseguibile sul desktop
13. Copiare il contenuto del riquadro qui sotto negli appunti (CTRL+C). NOTA: il contenuto va creato personalmente sulla base di quanto trovato, come spiegato qui sopra.Se non vi sentite in grado o non avete capito bene cosa cancellare chiedete aiuto.Questo tool cancella i file a livello di KERNEL: attenzione a cosa scrivete perchè verrà cancellato!!
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Windows | AppInit_DLLs riga che serve a disattivare il rootkit
Files to delete:
c:\windows\nomefilenascosto.dll la dll nascosta trovata nel vostro log di RootkiRevelear
c:\windows\system32\nomerootkit.igp il rootkit con nome riservato trovato nel vostro log di RootkiRevelear
C:\programmi\altrifile.exe altri file eventualmente trovati
Folders to Delete:
c:\documents and settings\nomeutente eventuale cartella utente trovata
c:\windows\temp cartella di sistema dove si può annidare il virus, si ricrea all'avvio
NOTA: se Windows non è installata in c:\windows, scrivere ovviamente i percorsi corretti delle cartelle nel proprio pc
- avviare The Avenger e selezionare Input Script Manually
- clicca sulla icona con la lente di ingrandimento
- si aprirà una nuova finestra con scritto View/edit script
- incollare quanto copiato sopra premendo Ctrl+V
- cliccare Done
- cliccare l´icona con il semaforo con la luce verde per avviare lo script
- rispondere Yes due volte
Se il pc non si riavvia da solo, riavviatelo manualmente
Al riavvio se la procedura è andata bene il trojan è stato disattivato. Potete controllare nel log di Avenger (C:/avenger.txt) l´esito dello script. In C:/Avenger ci saranno i backup di tutti i file rimossi. Se il pc funziona bene, tutta la cartella Avenger si potrà cancellare.
Cancellazione della cartella C:\Avenger
Questa cartella conterrà il backup della azioni effettuate da Avenger, quindi troveremo anche il rootkit (adesso visibile). Nel nostro esempio sarà com4.igp Questo malware fa uso di nomi riservati in Windows, quindi potrebbe risultare difficile, soprattutto in NTFS la sua cancellazione a causa del controllo di protezione dei nomi di Windows. In questo caso occorre usare una sintassi che bypassa il controllo di protezione dei nomi
- FAT32: basta cancellarlo da DOS: del c:\avenger\com4.igp
- NTSF: cancellarlo da DOS usando questa sintassi: del \\.\c:\avenger\com4.igp
Se non si riesce ancora a cancellare è perchè non si hanno i privilegi su quel file.
Su XP Professional Edition basta cliccarci con il tasto destro e scegliere Proprietà. Compare una finestra(Protezione) dalla quale è possibile impostare per il proprio utente la proprietà del file ed il suo controllo completo.
Se tale opzione non è disponibile, bisogna andare in opzioni cartella e togliere la spunta dall'opzione Utilizza Condivisione file semplice
e confermate con Applica>Ok
Su XP Home Edition invece è possibile accedere al tag "Protezione" avviando il pc in modalità provvisoria e loggandosi con il proprio account o quello di "Administrator",selezionare il file,cliccare sul tag "Protezione" e spuntare la casella "Controllo completo",oppure si possono usare dei tools appositi che si trovano nel Resource Kit come ntrights.exe, cacls.exe e takeown.exe. E' possibile altrimenti rimuoverlo con tool particolari, come Darkspy.
Per identificare quali sono i file che LinkOptimizer ha creato si può anche usare Sysclean
poi il pattern
Mettete il file di Sysclean e il pattern nella medesima cartella che avete creato su C:...lanciate la scansione e alla fine vi apparirà un log con tutti gli errori della scansione...tra gli errori ci sono anche i file del virus che potrete trovare facilmente visto che nella guida qui sopra c'è scritto chiaramente dove cercarli (cioè nella cartella Temp e in quella Programmi).
Nel caso ci fossero problemi ad eliminare file con nomi riservati in Windows cliccare qua
Per finire il lavoro:
1. Scaricate RegSrch.zip. Estraete lo script RegSrch.vbs dall´archivio e mettetelo sul desktop. Poi avviatelo e nella finestra che si apre scrivete il nome della dll che era nascosta (es: hyqtt1.dll). Poi attendete fino all´apertura di una finestra di Wordpad che riporta le chiavi da cui era richiamato il file. Navigate nel registro di sistema (regedit.exe) fino a quelle chiavi ed eliminatele. Attenzione a cosa si cancella! Se ricevete il messaggio Accesso negato significa che il trojan ha modificato le autorizzazioni per quelle chiavi del registro.Fate riferimento a questo articolo per garantirvi l'accesso completo e poterle così eliminare.
2. in caso di NTFS: fate la scansione degli ADS con HijackThis. Aprite HijackThis, premete Open the misc tools section, poi si clicca su Open Ads Spy... e si toglie il segno di spunta dalla casella Quick Scan.Fate riferimento a questa parte della guida.Localizzate se presente il file con nome riservato (es: com4.igp), selezionatelo mettendo un segno di spunta nella casella accanto alla voce e premete Remove selected
3. da HijackThis, cliccate Open the misc tools section >> open Uninstall Manager. Selezionate la voce linkoptimizer e premete Delete this entry.
A questo punto il PC è ripulito da LinkOptimizer!!!!
Consigliamo però di installare al più presto la patch per rimuovere la vulnerabilità da cui ha avuto inizio il problema. E´opportuno anche eseguire un paio di scansioni online con BitDefender e Kaspersky Prima della scansione disattivate la protezione realtime del vostro Antivirus.
Edited by Intern@t - 13/10/2006, 00:21. -
<Fariska>.
User deleted
questo l'ho beccato la settimana scorsa . -
Intern@t.
User deleted
CITAZIONE (<Fariska> @ 13/10/2006, 00:11)questo l'ho beccato la settimana scorsa
...nn ti invidio sai 
. -
Intern@t.
User deleted
La mia rimozione
Vorrei postare qst seconda e,spero
,ultima recentissima 
,esperienza col virus LinkOptimizer sperando possa essere cosa utile,e gradita, a qlcn. 
Il problema rispetto alla prima volta che riuscii a rimuoverlo manualmente cn l'aiuto di HijackThis,del tool della Prevx,di Ewido e di Kaspersky lanciati in modalita' provvisoria,stavolta si e' sviluppato in maniera MOLTO piu' "bastarda".
E' accaduto di NON riuscire piu' ad accedere a NESSUN sito che trattasse la sicurezza informatica o offrisse tool di rimozione(citandone alcuni Symantec e Tgsoft,forum o guide dei tool comprese),per tutti mi diceva "impossibile visualizzare la pagina"...."impossibile visualizzare la pagina" ...."impossibile visualizzare la pagina"
.... e cliccando su "Copia cache" che di solito si legge qnd si svolge la ricerca cn Google il sito si apriva mezzo secondo per poi chiudersi a razzo e rilanciarmi sul desktop.
Addirittura il thread di HijackThis presente nella nostra sottosezione "Links,programmi,tools,utility" era praticamente IMPOSSIBILE da aprire,nel momento che cliccavo la sola parola "HijackThis", tt il sito del Geniv's Forum si chiudeva riportandomi sul desktop.
Navigando invece su tt gli altri siti "minori" nn inerenti il come sconfiggerlo "funzionava" tt regolarmente,nel senso che le pagine venivano visualizzate...
Quindi,per tirare le somme,HijackThis neutralizzato ,Task Manager k.o. 
,sito Prevx manco a parlarne ,scansioni on line inutili 
,alcune partivano,ma nn riuscivano a rimuovere(tipo la scansione quaresimale di TrendMicro 
),altre manco iniziavano...praticamente inibizione TOTALE di qualsiasi tool e controllo quasi totale,da parte del virus,del pc. 
Che fare?
Nn avendo l'accesso ad HijackThis per controllare le chiavi di registro,ho provato a scaricare Runanalyzer il quale rilascia un rapporto(logfile) stile Hijackthis,anche se non propriamente uguale,ma cliccando pure su qst link mi diceva: "impossibile visualizzare la pagina"...
Soluzione numero due: mi sn fatta hostare il programma su un sito hosting per riuscire a scaricarlo.
Risultato?
Una volta scaricato il programma,ho cliccato su Esegui per lanciarlo e...
Errore
The setup files are corrupted.Please obtain a new copy of the program.
> OK
L'unico modo per riuscire a controllare i processi in corso del Task Manager e': Start>esegui>cmd(lo si digita nello spazio)>OK
Apertosi il prompt dei comandi,da dove è posizionato il cursore si digita tasklist------- > e si preme Invio si ha cosi' la situazione di qll che c'e' o meno.
Qst e' qll che apparira'(metto il mio per rendere l'idea):CITAZIONEMicrosoft Windows XP [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\Intern@t>tasklist
Nome immagine PID Nome sessione Sessione Utilizzo mem
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 K
System 4 Console 0 240 K
smss.exe 520 Console 0 372 K
csrss.exe 568 Console 0 3.892 K
winlogon.exe 592 Console 0 8.268 K
services.exe 644 Console 0 5.168 K
lsass.exe 656 Console 0 1.624 K
ati2evxx.exe 824 Console 0 2.492 K
svchost.exe 844 Console 0 6.088 K
svchost.exe 944 Console 0 6.052 K
svchost.exe 1012 Console 0 55.240 K
svchost.exe 1108 Console 0 4.272 K
svchost.exe 1220 Console 0 7.012 K
spoolsv.exe 1448 Console 0 8.296 K
ati2evxx.exe 1476 Console 0 3.400 K
Macromedia-Storage.exe 1512 Console 0 6.756 K
explorer.exe 1552 Console 0 66.956 K
ASWLSVC.exe 1672 Console 0 5.416 K
guard.exe 1808 Console 0 936 K
service32.exe 1896 Console 0 3.112 K
HControl.exe 1904 Console 0 5.856 K
wdfmgr.exe 164 Console 0 2.068 K
ASWL2K.exe 176 Console 0 3.288 K
svchost.exe 496 Console 0 6.532 K
alg.exe 1048 Console 0 4.528 K
ATKOSD.exe 1284 Console 0 4.096 K
Internet Access.exe 3112 Console 0 6.252 K
AcroRd32.exe 3476 Console 0 39.412 K
msnmsgr.exe 1588 Console 0 6.960 K
IEXPLORE.EXE 3352 Console 0 39.420 K
notepad.exe 3848 Console 0 8.780 K
cmd.exe 740 Console 0 3.036 K
tasklist.exe 3860 Console 0 5.440 K
wmiprvse.exe 1320 Console 0 6.880 K
C:\Documents and Settings\Intern@t>
Dopo di che,visto l'errore di Runanalyzer,ho aperto il registro di sistema: Start>esegui>regedit(lo si digita nello spazio)>OK
Una volta aperto l'Editor del registro,ho cliccato sul segno + accanto alle singole voci,seguendo questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon, dando un click su quest'ultima cartella,all'interno sulla parte destra si controlla che cosa riporta la voce Userinit,la dicitura corretta dovrebbe essere
Userinit = C:\Windows\system32\userinit.exe,
invece mi sn trovata
Userinit REG_SZ
c:\windows\system32\userinit.exe,"c:\windows\macromedia-storage.exe",
Nel frattempo ho scaricato Avgpfix mettendolo sul desktop,mi sn disconnessa da Internet cn tt le applicazioni ed i programmi chiusi e ho eseguito la seguente procedura:
ho aperto il Task Manager (Ctrl+Alt+Cnc),che,nn so' per quale miracolo si sia aperto,e ho cercato qst processo:
service32.exe
l'ho evidenziato e premuto su Termina processo poi ho evidenziato pure:
macromedia-storage.exe
cliccando su Termina processo .
Infine ho aperto il registro di sistema da Start>esegui>regedit(lo si digita nello spazio)>OK
Cliccando sul segno + accanto alle singole voci,ho seguito qst percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\, click su quest’ultima cartella e sulla parte destra della finestra ho trovato:
1 = C:\WINDOWS\service32.exe
e cn un click sul tasto dx sulla voce ho scelto Elimina
Proseguendo la mia navigazione sempre nell'Editor di registro di sistema,ho controllato che alla voce
HKEY_LOCAL_MACHINE\SOFTWARE\
nn ci fosse qst chiave 9F65E3H10M(chiave variabile nel senso che potrebbe essere ad esempio: 9P78Q3B10L o nn esserci proprio) e nell'eventualita' di chi la trovasse,consiglio di cancellarla SUBITO cn la stessa modalita' indicata sopra.
Nel mio caso in SOFTWARE nn c'era e ho trovato solo:
0D92R7F92J
28DHD2GQ4P
che nn ho ovviamente cancellato.
Ho chiuso e riaperto il registro di sistema(per rendere effettive le modifiche attuate sopra): Start>esegui>regedit(lo si digita nello spazio)>OK
Una volta riaperto l’Editor del registro di sistema, cliccando sul segno + accanto alle singole voci ho seguito qst percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon, click su quest’ultima cartella
Sulla parte destra ho trovato la chiave "modificata" verificata prima
userinit= REG_SZ c:\windows\system32\userinit.exe, c:\windows\macromedia-storage.exe,
facendo un doppio click sulla voce, nella finestra Modifica stringa che appare
nello spazio bianco ho trovato:
c:\windows\system32\userinit.exe, c:\windows\macromedia-storage.exe,
ho selezionato col mouse
c:\windows\macromedia-storage.exe, (virgola compresa)
in modo da lasciare nello spazio solamente:
c:\windows\system32\userinit.exe, (virgola compresa)
ho premuto canc>OK
(ATTENZIONE nn cancellate userinit.exe o il computer non si riavvierà!!!).
Da Risorse del computer>Strumenti>Opzioni Cartella ho reso visibili file e cartelle nascoste selezionando Visualizza,ho tolto la spunta da "mostra file e cartelle nascoste" e da "nascondi file di sistema protetti" poi ho cliccato OK
Ho lanciato AGVPFIX.exe scaricato prima,cliccando su Start si apre una finestra :
Please, select the infected file to ...
Risorse del Computer
+ Disco locale(:C)
Pannello di Controllo
+ Documenti condivisi
+ Documenti Intern@t
Cliccando sul segno + di Disco locale(:C) mi appaiono tnt voci cn accanto il segno del + cm nell'Editor di Registro,poi sul + di WINDOWS, ho aperto la cartella WINDOWS e da lì ho iniziato a cercare i seguenti file da eliminare (infatti il loro percorso è in C:\WINDOWS):
C:\WINDOWS\macromedia-storage.exe
C:\WINDOWS\service32.exe
C:\WINDOWS\scrss32.dll
Potreste nn trovarli tt,nel mio caso,i primi tre c'erano,cmq se li trovate,eliminateli cliccandoci sopra e premendo conferma su OK!!!
C:\WINDOWS\ syst32.dll
C:\WINDOWS\ syshost.dll
C:\WINDOWS\ 623958248.exe
C:\WINDOWS\ mdm32.dll
C:\WINDOWS\ winsmgr32.dll
C:\WINDOWS\ iexplorer32.dll
C:\WINDOWS\ spoolvs32.dll
Infine per eliminare i file temporanei sia di Windows che del browser ho lanciato CCleaner che per chi nn lo sapesse serve per pulire tt i file obsoleti dal pc.
Una volta installato,lo aprite,lasciate le impostazioni cm sn,solo che in Opzioni>Avanzate,togliete la spunta a "cancella file temp Windows solo se più vecchi di 48 ore".
A qst punto HijackThis e' ripartito e ho eliminato le chiavi sospette cn Fix Checked.
Provando a cliccare sui relativi siti di Prevx e Symantec per scaricare i tool di rimozione del LinkOptimizer ANCORA nn mi visualizzava i link
cosi' mi sn fatta hostare i due tool :
Prevx
Symantec
Entrambi,durante la scansione,vanno usati disattivando momentaneamente l'antivirus.
Il primo,qll della Prevx,fa riavviare il computer e al termine della scansione rilascia il report in C:\Gromozon_Removal.log (che lo si trova aprendo Risorse del computer>Disco locale(C:),all'interno trovate il file Gromozon_Removal.log).
Se non vi riuscisse di usare il tool,prima di lanciare la scansione rinominate il tool della Prevx cn un nome a caso,lasciando sempre ovviamente l'estensione .exe.
Il secondo,qll della Symantec,va' eseguito in Modalita' provvisoria (per andare in modalità provvisoria, riavviate il computer e cominciate a premere ripetutamente il tasto F8(prima che si carichi Windows)
Nella schermata grigia che appare scegliete Modalità provvisoria selezionandola cn le freccette della vostra tastiera,confermate la scelta premendo Invio e seguendo le istruzioni a schermo.
Anche questo tool rilascia un report nella stessa cartella dove avete collocato il file.
Infine una volta accertato dai due log prodotti da entrambi i tool che il sistema era pulito,ultima scansione cn HijackThis:CITAZIONELogfile of HijackThis v1.99.1
Scan saved at 19.48.48, on 04/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\ASWL2K.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\JOLLY\Desktop\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1161670592218
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NetFhe - Unknown owner - C:\Programmi\File comuni\System\djy.exe (file missing)
O23 - Service: WinCzd - Unknown owner - C:\Programmi\File comuni\Services\QlwV.exe (file missing)
Ho eliminato qst due voci premendo Fix CheckedCITAZIONEO23 - Service: NetFhe - Unknown owner - C:\Programmi\File comuni\System\djy.exe (file missing)
O23 - Service: WinCzd - Unknown owner - C:\Programmi\File comuni\Services\QlwV.exe (file missing)
Infine per concludere ho lanciato questi comandi uno di seguito all'altro:
Start>esegui>sc stop NetFhe (lo si digita nello spazio)>OK
Start>esegui>sc delete NetFhe (lo si digita nello spazio)>OK
Start>esegui>sc stop WinCzd (lo si digita nello spazio)>OK
Start>esegui>sc delete WinCzd (lo si digita nello spazio)>OK
Inoltre ho verificato che nella cartella: Risorse del computer>Disco locale(C:)
C:\Programmi\File comuni\Services,nn ci fossero file di colore verde o comunque file con estensione .exe sospetti.
Ho digitato:
Start>esegui>control userpasswords2 (lo si digita nello spazio)>OK
nella finestra Account,ho controllato che non vi fosse un utente con nome causale tipo XJZoqpR o via dicendo...nel mio caso ho trovato
FJLQlhKhgWmXB
xW
ed evidenziandoli li ho rimossi.
Infine sn andata nella cartella: Risorse del computer>Disco locale(C:)
C:\Documents and settings e ho cercato una cartella con lo stesso nome dell'utenza casuale eliminata (FJLQlhKhgWmXB e xW) e l'ho rimossa.
Mi rendo conto della procedura un po' lunga ,ma unica e necessaria 
,consiglio cmq chi nn ne fosse in grado di farsi assistere da persone ferrate in materia informatica e nn solo di "rimozione"(a qst proposito ringrazio Luke57 
),vista la nn facile comprensione di tt i processi ,onde evitare danni irreversibili sul vostro sistema,diversamente se nn trovaste nessuno disposto ad aiutarvi,o nn voleste farvi aiutare,nn vi resta che formattare tutto. 
Edited by <geniv> - 5/11/2006, 21:10.
Rimozione LinkOptimizer (Rootkit di Gromozon.com) |
