ciao raga!
da un po' di tempo il mio pc fa le bizze... ovvero mi devo esser beccato qc bestia che nn riesco a togliere.
KAV 6 mi trova speso (soprattutto all'avvio) dei files infeti da tojan od altre amenità, li rimuovo, ma a volte va e a volte si pianta tutto.
ho fatto caso che la maggiorparte delle volte i virus sono in C:\Programmi\File comuni\System in qc file EXE e sono andato a vedere, trovando una serie di exe con nomi strani:
http://img507.imageshack.us/img507/8418/virusex8.th.jpg (http://img507.imageshack.us/my.php?image=virusex8.jpg)
possibile che siano tutti virus? cosa devo fare? facendo la scansione totale con KAV 6 ed anche con spybot nn trova niente...
aiutoo...!
ciao,
grazie,
ale

Ciao, credo tu sia affetto da LinkOptimizer! Anche io ci sono passato...Come prima cosa prova con questo tool:

http://www.prevx.com/gromozon.asp

e anche (se il primo non funziona) con questo:

http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-092316-4153-99

se non danno esito, dovremo procedere manualmente

Il problema non sono i file in "verde"...quelli sono soltanto un sintomo...il tuo problema è un trojan nascosto da un rootkit che nessun antivirus riesce a togliere...tu sei abbastanza "fortunato" perchè ora ci sono dei tool automatici...quando lo presi io quel virus la procedura era manule:)...

Per conferma: vai in proprietà di uno dei file in "verde"...si riferisce ad un account che non esiste?

Tu hai windows aggiornato? Siccome questo virus infetta i computer non aggiornati ad una pericolosa vulnerabilità di windows xp...appena trovo la patch ti posto il link

fammi sapere

Ciao

la migliore procedura è usare un bartPE per l'avvio e poi servirsi del Virit e gmer per rimuovere il virus e i file "fantasma" (con i nomi com2, lpt3, etc.)

alle volte basta servirsi di virit e gmer in modalità provvisoria ma è necessario rinominare gli eseguibili altrimenti il virus ne impedisce l'esecuzione...

...
Per conferma: vai in proprietà di uno dei file in "verde"...si riferisce ad un account che non esiste?
Tu hai windows aggiornato?...
Ciao

cazzarola, nn me ne ero accorto! sì, si riferiscono tutti ad un certo PC\CkvzbnITptEFBBhb. anzi, nnproprio tutti, ma quasi tutti, tranne 4.
un'altra cosa strana è che se faccio dettagli e poi voglio ordinare in base al proprietario, mi si pianta explorer... provato 3 volte!
x qnt riguarda l'aggiornamento di xp, io ho il sp1. dici che dovrei mettere il 2?
nn so, ho sentito che è un po' "rischioso"...

la migliore procedura è usare un bartPE per l'avvio e poi servirsi del Virit e gmer per rimuovere il virus e i file "fantasma" (con i nomi com2, lpt3, etc.)
alle volte basta servirsi di virit e gmer in modalità provvisoria ma è necessario rinominare gli eseguibili altrimenti il virus ne impedisce l'esecuzione...

ciao, scusa, mi diresti cos'è bartPE ?!?
grazie,
ale

Arthur, nn riesco a scaricare il fixlinkoptimizer.exe... mi dice che l'ha scaricato, ma poi nella cartella di destinazione nn c'è nulla...
riesci a passarmelo, per favore?
il mio pc sta diventando sempre più instabile... :crying:

Lionsquid ho scaricato gmer, ma virit nn mi apre la pagina di download...
ora lo provo.
ciao,
grazie,
ale

virit lo devi usare in mod. provv,... devi attivare la visualizzazione di tutti i file nascosti e di sistema, ...sarai sorpreso di trovare nuovi utenti con nomi del tipo: CkvzbnITptEFBBhb, etc

rinomina sia il gmer.exe che il viritexp.exe ;)

ciao, scusa, mi diresti cos'è bartPE ?!?
grazie,
ale


opps, non avevo visto..

il bartpe è un cd di avvio in ambiente PE di win... una sorta di XP su CD che serve per intervenire sul SO senza avviare quello sul disco fisso per cui non si avviano i processi maligni ;)

WT ne ha uno personalizzato > http://shop.wintricks.it/product_info.php?products_id=41

se vuoi fare da te > http://www.nu2.nu/pebuilder/

nn capisco come funziona gmer... l'ho lanciato, mi dice che ha trovato dei system modification che potrebbero esser causati da un rootkit e mi propone la scansione completa. dico ok e parte. alla fine mi dice che c'è la presenza di un rootkit che ha modificato il sistema, ma nn mi propone niente x eliminarlo... cosa devo fare?!?

mi evidenzia in rosso un file C:\windows\ijdme1.dll (*** hidden ***)

boh?!?

e poi nn riesco a scaricare virit e nemmeno fixlinkoptimizer...

ciao,
grazie,
ale

ragazzi, mi pare che la situazione si complichi... nn riesco più a scaricare niente... ogni link che punta ad un file da scaricare mi dà errore...
inoltre nn mi partono più alcuni programmi...
aiutooo... aspetterò lunedì e proverò a scaricare dall'ufficio.
speriamo bene!

ciao,
ale

ma perchè nn formatti? fai un backup di tutto e formatta, io lo faccio per ogni sciocchezza, ma tu stai messo male fallo subito.

ragazzi, mi pare che la situazione si complichi... nn riesco più a scaricare niente... ogni link che punta ad un file da scaricare mi dà errore...
inoltre nn mi partono più alcuni programmi...
aiutooo... aspetterò lunedì e proverò a scaricare dall'ufficio.
speriamo bene!
ciao,
ale

Credo che a questo punto l'unica soluzione sia questa:

- fatti un cd di avvio con BartPE (da un'altro pc ovviamente)

- scarica (da un'altro pc) i file che ti abbiamo consigliato (i tool automatici ed anche VirIT) scarica anche stringer ed altri tool rapidi
(http://www.wintricks.it/manuali/tools_rapidi.html) e metti tutto dentro una chiavina USB

-fai partire il tuo pc con bartPE e metti la chiavina...come prima cosa fai partire VirIT (che avevi precedentemente aggiornato sull'altro pc...N.B. non c'è bisogno che tu installi VirtIT...vedrai che è possibile decomprimerlo direttamente dentro la chiavina dove lo aggiornerai)

- ti dovrebbe cancellare il rootkit...da li in poi, sempre da bartPE fai partire tutti i software di scanzione che ti abbiamo suggerito...

Credo si inutile passarti qui fixlinkoptimizer.exe...credo sia il rootkit a eliminarlo automaticamente, o quantomeno a nasconderlo...

Gmer non ti da la possibilità di cancellare il rootkit...è un software che consente di capire il problema e formulare l'adeguato script da usare con Avenger

Se questa procedura non ha buon esito...dobbiamo precedere manualmente...ed è veramente tosta...ti posto il link del "manuale" dedicato (solo:)) alla rimozione di quel virus...sono 22pg:)

http://www.pcalsicuro.com/gromozon.pdf


Facci sapere

Ciao

ma perchè nn formatti? fai un backup di tutto e formatta, io lo faccio per ogni sciocchezza, ma tu stai messo male fallo subito.

Formattare deve essere, secondo me, l'ultima spiaggia:)...Penso che sia anche istruttivo cercare di salvare in calcio d'angolo il pc...non trovi?


Ciao

- fatti un cd di avvio con BartPE (da un'altro pc ovviamente)
C'è anche il mio plugin per far girare virit direttamente dal cd di pebuilder
http://www.911cd.net/forums//index.php?showtopic=18809

C'è anche il mio plugin per far girare virit direttamente dal cd di pebuilder
http://www.911cd.net/forums//index.php?showtopic=18809

Davvero una bella idea!:) A saperlo l'avrei citato io...CIAO:D

grazie a tutti!
x ora nn posso fare niente, nn mi lascia nemmeno scaricare il pdf... spero lunedì di recuperare tuto dall'uff e poi proverò le vs procedure...
maledetto virusazzo... x me formattare è assolutamente l'ultima spiaggia... una volta formatavo speso pure io, ma evevo tempo e voglia. ora mi manca soprattutto tempo e se penso a tutta la roba che ho nel oc, mi viene male...
ciao,
grazie,
ale

Prova anche con questo: http://www.suspectfile.com/upload/files/tools/linkoptimizerfix1_4.exe

N.B. leggi prima le avvertenze al link:
http://www.suspectfile.com/forum/viewtopic.php?t=269

Ciao

ragazzi, mi pare che la situazione si complichi... nn riesco più a scaricare niente... ogni link che punta ad un file da scaricare mi dà errore...
inoltre nn mi partono più alcuni programmi...
aiutooo... aspetterò lunedì e proverò a scaricare dall'ufficio.
speriamo bene!
ciao,
ale


alla peggio, trovati un cd live di una qualsisi distro linux e vai a rimuovere MANUALMENTE il file menzionato da GMER

cmq, di iso di bartpe più o meno validi se ne trovano, magari la prepari cda un pc pulito ;)

purtroppo, il virus blocca domini e tools di rimozione e alle volte anche rinominandolo non serve (forse ha una tabella di CRC o di MD5)... ecco perchè si deve operare in mod. provv... in mod. normale sega qualsiasi tentativo...

avviando con un bartpe è inerme e può essere rimosso con relativa facilità

anche rinominandolo non serve (forse ha una tabella di CRC o di MD5)
C'è modo di modificare questi due valori senza danneggiare i tools?

C'è modo di modificare questi due valori senza danneggiare i tools?


servono programmini tipo reshack... si accede, si modifica qualcosa di assolutamente ininfluente e si salva... risultato CRC e MD5 diverso ;)

stavo cercando pure io qualcosa, perchè reshack non copre tutte le necessità

solo che non ho esperienza su questo tipo di programmini (eccetto certe traduzioni che facevo in passato).. per cui ho difficoltà a trovarne di semplici e funzionali

se trovo qaulcosa metto qui le mie esperienze..


quasi quasi sta diventando necessario farci una pagina specializzata

...-fai partire il tuo pc con bartPE e metti la chiavina...come prima cosa fai partire VirIT (che avevi precedentemente aggiornato sull'altro pc...N.B. non c'è bisogno che tu installi VirtIT...vedrai che è possibile decomprimerlo direttamente dentro la chiavina dove lo aggiornerai)
...

ciao!
ho scaricato TUTTO dal pc dell'uff.
volevo solo un chiarimento: ho scaricato virit e l'ho installato in una cartella della chiavina usb e l'ho aggiornato. ma siamo proprio sicuri che il prog funzionerà anche sul oc di casa, avendolo installato sulla chiavina? ho la versione virit explorer lite 6.1.30.

ora provo a cerarmi il cd di boot con pebuilder3110a.exe, speriamo nn sia troppo difficile e di nn fare danni

grazie,
ciao,
ale

per il virit stai tranquillo... funzionerà.... ma ricordari di usare il GOTGSOFT:BAT per avviarlo (è un semplice batch per rinominarlo) e devi usarlo esclusivamente in mod. provvisoria

in realtà sarebbe più sicuro modificarne il suo valore crc32/md5 ma è troppo complesso al momento fartelo fare

per il pebuilder fai con calma, non è semplice da assemblare ;)

per il virit stai tranquillo... funzionerà.... ma ricordari di usare il GOTGSOFT:BAT per avviarlo (è un semplice batch per rinominarlo) e devi usarlo esclusivamente in mod. provvisoria
in realtà sarebbe più sicuro modificarne il suo valore crc32/md5 ma è troppo complesso al momento fartelo fare
per il pebuilder fai con calma, non è semplice da assemblare ;)

ok, grazie.
senti e se invece di usare bartPE, che mi dà problemi e nn sono riuscito a creare un cd, usassi un certo multi boot rescue disk? me l'ha passato un collega e dice che è un disco di avvio con un sacco di utility e antivirus incorporti. lo conoscete? potrei avviare da quel cd e far partire quindi tutte le utility? ma mi vede la usb, o devo mettere tutto su un altro cd?

il multi boot rescue sarà probabilmente un clone di qualche bartpe integrato con altre utilità ... purchè avvii in ambiente PE (quindi un win alleggerito per intenderci), altrimenti le utilità non funzioneranno...non sono progettate per funzionare in ambiente console (cioè qualcosa di simile al DOS)

se è fatto bene la penna usb dovrebbe essere vista correttamente ;)

raga, volevo dirvi che grazie ai vs consigli sono riuscito (spero...) a debellare lo stramaledetto visrus!
ho fatto un po' di casino, ma alla fine sono riuscito a:

- partire da cd con multiboot rescue disk
- scansione con virit da cd precedentemente aggiornato da un pc pulito
- rimuovere il bastardo ed un paio di suoi altri fratelli di m...
- far girare altri programmini che mi avete detto (gmer, fixlinkopt, sysclean, sdat...)

per ora sembra andare tutto liscio, ora aggiorno kaspersky e provo una scansione completa.

mi rimane un dubbio: se vado in account utente trovo un certo utente "ASP.NET Machine A...". nn lo avevo notato prima, è ok, o qc nn va ancora?!?
cmq l'utente bastardo, quello CkvzbnITptEFBBhb, è stato rimosso, ma rimane 'sto ASP.NET:.. boh?!?

speriamo che vada tutto ok!

grazie ancora, :) :jump: :act:
ciao,
ale

no, l'utente ASP.NET è legittimo.... tranquillo

la passata col KAV aggiornato può trovere quelche rimasuglio... ma è nel registro che devi fare un pò di pulizia con i riferimenti dei nomi file infetti ... non che cambi qaulcosa...ma se è pulito a fondo è meglio (oppure usi le utility tipo regsupreme, registry mechanic) ...NON usare registryfixer e similari che sono trojan e spyware,... se provi un programma che promette miracoli sul registro, prima documentati ;) molti sono fake