Richiesta su LinkOptimizer

seagull1 · 29-08-2006, 14.52.38

Salve a tutti.

Vorrei sapere se esiste un Toolkit di rimozione per LinkOptimizer, e magari dove trovarlo...

Eventualmente, qualcuno potrebbe indicarmi una procedura per eliminare manualmente questo malware?...In Rete di suggerimenti sull'argomento ce ne sono un po troppi...ed in merito ho le idee un po' confuse.

Arthur85 · 29-08-2006, 18.11.31

Leggi qua:

http://www.suspectfile.com/forum/viewtopic.php?t=156

Esiste anche un tool automatico, ne parlano qua:

http://www.suspectfile.com/forum/viewtopic.php?t=247

Guarda anche qua:

http://www.symantec.com/enterprise/s...803-99&tabid=2

Ciao

seagull1 · 29-08-2006, 23.04.19

Grazie del suggerimento, Arthur85.

Sinceramente l'utilizzo del toolkit, non trattandosi di uno "scanner", non l'ho ben capito.
Forse opterò per la eliminazione manuale seguendo una delle tante procedure che si trovano in rete.

Cmq l'eliminazione di questo LinkOptimizer sembra una cosa fastidiosissima ed anche un pò laboriosa...Mi sono accorto di averlo beccato aprendo il task manager ed accorgendomi dell'uso spropositato di memoria che stava facendo uno dei moduli svchost.exe.
E' un trojan mutante di cui esiste più d'una variante; sul mio sistema ha aperto un'account "fittizio" avviandomi, inoltre, un fantomatico servizio di rete ("SrvYse") negli Strumenti di Amministrazione.

L'unico modo per prevenire il "contagio" è installare la patch di aggiornamento per la protezione che si trova qui: http://www.microsoft.com/technet/sec.../MS06-001.mspx

Arthur85 · 30-08-2006, 19.43.38

Il tool, come giustamente hai notato, non è uno scanner, ma è finalizzato all'eliminazione (dell'altrimenti ineliminabili) file creati dal rootkit che si insediano, in genere, in ...\Programmi\file comuni\System

Quei file fanno riferimento all'account nascosto di cui anche te parlavi.

Il servizio di cui parli è anchesso ineliminabile, con Avenger (in tal proposito guarda il primo link che ti ho inviato) puoi eliminare il servizio senza problemi...

Per la rimozione del rootkit vero e proprio, ti consiglio (a me ha funzionato) di usare un cdboot BartPE e usare VirIT (scaricalo, aprilo con winrar, aggiornalo e mettilo su chiave usb)...il rootkit è la prima cosa che ti elimina...

Per eliminare l'account vai in strumenti di amministrazione -> Gestione Computer -> Utenti e gruppi locali -> User....e lo cancelli

Comunque se leggi accuratamente i consigli del forum di cui ti ho postato il link, risolvi sicuramente...

Ciao

seagull1 · 30-08-2006, 20.37.10

Ho scaricato VirIt Explorer vers. Shareware, e mi ha localizzato un "Trojan.win32.Rootkit.G" residente in memoria ma non sembra averlo eliminato...

un cd di boot BartPE ce l'ho già ...

Dici che installando AntiVir su una chiave di memoria usb e poi eseguendo la scansione dal cd di boot riesco ad eliminarlo il Rootkit?

Arthur85 · 30-08-2006, 22.04.53

Punto primo

scarica questo: http://swandog46.geekstogo.com/avenger.zip

Seleziona l'opzione "Input Script Manually"

Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script" digita lo script (senza asterischi):

****
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\xxx

folders to delete:
C:\Documenti and Setting\yyy

****
dove al posto di xxx metti il servizio indesiderato che fa riferimento all'account nascosto yyy, e ovviamente al posto di yyy metti esattamente il nome dell'account

Clicca sul pulsante Done

Clicca sull'icona del semaforo verde

Rispondi Yes

Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

---------------------------------------

Punto secondo

Scarica questo file sul desktop

http://www.merijn.org/files/adsspy.zip

Decomprimi l'archivio

Avvia il programma,leva tutte le spunte presenti e mettila solo nella casella "Scan only this folder",clicca sul pulsantino e seleziona il disco rigido da scansionare,clicca su "Scan the system ecc " per far partire la scansione
A fine scansione dovresti visualizzare questo valore

C:\:"qualcosa.qualcos'altro"

Volendo potresti rimuovere, se possibile direttamente da qui, ma ti consiglio di usare VirIT da BastPE

---------------------------------------
Punto Terzo

Clicca su start>esegui nella casellina digita control userpasswords2 clicca su Ok

Ti si apre una finestra,seleziona l'account yyy e clicca su "Rimuovi"

---------------------------------------
Controlla se nella cartella ...\Programmi\File comuni\system\
ci sono file "strani" che fanno riferimento all'account nascosto...se ci sono usa il tool di NOD per eliminarli (se non si eliminano normalmente)
Da BartPE, fai partire VirIT, la prima cosa che ti leva dovrebbere essere appunto il trojan mascherato dal rootkit...

In conclusione: la proceduara che ti ho esposto è quella che ho fatto io e che ha avuto buon esito, tuttavia ti consiglio di contattare gli esperti del forum, di cui ti ho inviato il link, sono molto competenti e molto disponibili: infatti inviandogli i log di Gmer modificato, sono in grado di individuare una "terapia" specifica...

Ti saluto

Ciao

NOTA: la procedura con me ha avuto buon esito, ma non garantisco altrettanto in altri casi! Nuovamento ciao...spero che tu risolva presto...

seagull1 · 31-08-2006, 10.46.16

Niente da fare...Avenger non riesco ad eseguirlo , c'è qualcosa che blocca la sua esecuzione; mi succede la stessa cosa anche con RootkitRevealer...e ho provato a ri-scaricarli 3-4 volte, ma niente da fare. Forse la variante Rootkit che risiede sul mio sistema riesce a bloccarli (??)...

Che versione di VirIt hai usato per eliminarlo?

Arthur85 · 31-08-2006, 17.10.20

Quota:

Inviato da seagull1

Niente da fare...Avenger non riesco ad eseguirlo , c'è qualcosa che blocca la sua esecuzione; mi succede la stessa cosa anche con RootkitRevealer...e ho provato a ri-scaricarli 3-4 volte, ma niente da fare. Forse la variante Rootkit che risiede sul mio sistema riesce a bloccarli (??)...
Che versione di VirIt hai usato per eliminarlo?

Non so proprio da cosa possa esser dovuto il fatto che Avenger non si avvii...puoi provare a scaricarli -> metterli in C:\, avviare in modalità provvisoria (loggandoti da administrator) e porvare avenger da lì...

PEr ciò che riguarda VirIT, non so che versione è, penso l'ultima..l'ho scaricata dal sito ufficiale:

http://www.tgsoft.it/italy/index_ita.html

Prova anche questo, tantevolte ti indica qualcosa:
https://europe.f-secure.com/exclude/...ght/blbeta.exe

Ciao

Lionsquid · 31-08-2006, 20.06.55

virit non riesce a rimuovere alcune varianti...

al momento un tool unico e totalmente automatizzato non c'è ... si devono necessariamente utilizzare più strategie

in alternativa a quella più diffusa che utilizza il Virit...

http://www.p2pforum.it/forum/showthread.php?t=115737

29-08-2006, 14.52.38	#1
seagull1 Junior Member Registrato: 06-05-2004 Loc.: Lecce Messaggi: 87	Richiesta su LinkOptimizer Salve a tutti. Vorrei sapere se esiste un Toolkit di rimozione per LinkOptimizer, e magari dove trovarlo... Eventualmente, qualcuno potrebbe indicarmi una procedura per eliminare manualmente questo malware?...In Rete di suggerimenti sull'argomento ce ne sono un po troppi...ed in merito ho le idee un po' confuse.

29-08-2006, 18.11.31	#2
Arthur85 Hero Member Registrato: 12-11-2004 Messaggi: 639	Leggi qua: http://www.suspectfile.com/forum/viewtopic.php?t=156 Esiste anche un tool automatico, ne parlano qua: http://www.suspectfile.com/forum/viewtopic.php?t=247 Guarda anche qua: http://www.symantec.com/enterprise/s...803-99&tabid=2 Ciao ___________________________________ "Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) Ultima modifica di Arthur85 : 29-08-2006 alle ore 18.33.39

30-08-2006, 19.43.38	#4
Arthur85 Hero Member Registrato: 12-11-2004 Messaggi: 639	Il tool, come giustamente hai notato, non è uno scanner, ma è finalizzato all'eliminazione (dell'altrimenti ineliminabili) file creati dal rootkit che si insediano, in genere, in ...\Programmi\file comuni\System Quei file fanno riferimento all'account nascosto di cui anche te parlavi. Il servizio di cui parli è anchesso ineliminabile, con Avenger (in tal proposito guarda il primo link che ti ho inviato) puoi eliminare il servizio senza problemi... Per la rimozione del rootkit vero e proprio, ti consiglio (a me ha funzionato) di usare un cdboot BartPE e usare VirIT (scaricalo, aprilo con winrar, aggiornalo e mettilo su chiave usb)...il rootkit è la prima cosa che ti elimina... Per eliminare l'account vai in strumenti di amministrazione -> Gestione Computer -> Utenti e gruppi locali -> User....e lo cancelli Comunque se leggi accuratamente i consigli del forum di cui ti ho postato il link, risolvi sicuramente... Ciao ___________________________________ "Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer)

30-08-2006, 22.04.53	#6
Arthur85 Hero Member Registrato: 12-11-2004 Messaggi: 639	Punto primo scarica questo: http://swandog46.geekstogo.com/avenger.zip Seleziona l'opzione "Input Script Manually" Clicca sulla lente di ingrandimento Ti si apre una finestra "View/edit script" digita lo script (senza asterischi): ** Registry values to replace with dummy: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows \| AppInit_DLLs registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\xxx folders to delete: C:\Documenti and Setting\yyy ** dove al posto di xxx metti il servizio indesiderato che fa riferimento all'account nascosto yyy, e ovviamente al posto di yyy metti esattamente il nome dell'account Clicca sul pulsante Done Clicca sull'icona del semaforo verde Rispondi Yes Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente --------------------------------------- Punto secondo Scarica questo file sul desktop http://www.merijn.org/files/adsspy.zip Decomprimi l'archivio Avvia il programma,leva tutte le spunte presenti e mettila solo nella casella "Scan only this folder",clicca sul pulsantino e seleziona il disco rigido da scansionare,clicca su "Scan the system ecc " per far partire la scansione A fine scansione dovresti visualizzare questo valore C:\:"qualcosa.qualcos'altro" Volendo potresti rimuovere, se possibile direttamente da qui, ma ti consiglio di usare VirIT da BastPE --------------------------------------- Punto Terzo Clicca su start>esegui nella casellina digita control userpasswords2 clicca su Ok Ti si apre una finestra,seleziona l'account yyy e clicca su "Rimuovi" --------------------------------------- Controlla se nella cartella ...\Programmi\File comuni\system\ ci sono file "strani" che fanno riferimento all'account nascosto...se ci sono usa il tool di NOD per eliminarli (se non si eliminano normalmente) Da BartPE, fai partire VirIT, la prima cosa che ti leva dovrebbere essere appunto il trojan mascherato dal rootkit... In conclusione: la proceduara che ti ho esposto è quella che ho fatto io e che ha avuto buon esito, tuttavia ti consiglio di contattare gli esperti del forum, di cui ti ho inviato il link, sono molto competenti e molto disponibili: infatti inviandogli i log di Gmer modificato, sono in grado di individuare una "terapia" specifica... Ti saluto Ciao NOTA: la procedura con me ha avuto buon esito, ma non garantisco altrettanto in altri casi! Nuovamento ciao...spero che tu risolva presto... ___________________________________ "Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer) Ultima modifica di Arthur85 : 30-08-2006 alle ore 22.08.07 Motivo: Aggiuta Nota

31-08-2006, 20.06.55	#9
Lionsquid Gold Member Top Poster Registrato: 03-05-2001 Loc.: Trapani Messaggi: 11.639	virit non riesce a rimuovere alcune varianti... al momento un tool unico e totalmente automatizzato non c'è ... si devono necessariamente utilizzare più strategie in alternativa a quella più diffusa che utilizza il Virit... http://www.p2pforum.it/forum/showthread.php?t=115737 ___________________________________ ... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica.... Beppe Grillo

29-08-2006, 23.04.19	#3
seagull1 Junior Member Registrato: 06-05-2004 Loc.: Lecce Messaggi: 87	Grazie del suggerimento, Arthur85. Sinceramente l'utilizzo del toolkit, non trattandosi di uno "scanner", non l'ho ben capito. Forse opterò per la eliminazione manuale seguendo una delle tante procedure che si trovano in rete. Cmq l'eliminazione di questo LinkOptimizer sembra una cosa fastidiosissima ed anche un pò laboriosa...Mi sono accorto di averlo beccato aprendo il task manager ed accorgendomi dell'uso spropositato di memoria che stava facendo uno dei moduli svchost.exe. E' un trojan mutante di cui esiste più d'una variante; sul mio sistema ha aperto un'account "fittizio" avviandomi, inoltre, un fantomatico servizio di rete ("SrvYse") negli Strumenti di Amministrazione. L'unico modo per prevenire il "contagio" è installare la patch di aggiornamento per la protezione che si trova qui: http://www.microsoft.com/technet/sec.../MS06-001.mspx

30-08-2006, 20.37.10	#5
seagull1 Junior Member Registrato: 06-05-2004 Loc.: Lecce Messaggi: 87	Ho scaricato VirIt Explorer vers. Shareware, e mi ha localizzato un "Trojan.win32.Rootkit.G" residente in memoria ma non sembra averlo eliminato... un cd di boot BartPE ce l'ho già ... Dici che installando AntiVir su una chiave di memoria usb e poi eseguendo la scansione dal cd di boot riesco ad eliminarlo il Rootkit?

31-08-2006, 10.46.16	#7
seagull1 Junior Member Registrato: 06-05-2004 Loc.: Lecce Messaggi: 87	Niente da fare...Avenger non riesco ad eseguirlo , c'è qualcosa che blocca la sua esecuzione; mi succede la stessa cosa anche con RootkitRevealer...e ho provato a ri-scaricarli 3-4 volte, ma niente da fare. Forse la variante Rootkit che risiede sul mio sistema riesce a bloccarli (??)... Che versione di VirIt hai usato per eliminarlo?

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
[SFTW] Apache Problema con richiesta HTTP	ziotibia81	Linux e altri Sistemi Operativi	0	27-03-2006 14.12.58
[HELP] Telecom e richiesta di trasloco linea (lungo)	Sbavi	Chiacchiere in libertà	9	03-11-2005 17.57.32
Strana richiesta: danneggiare I.E.!!!	amantino	Windows 9x/Me/NT4/2000	41	19-10-2005 12.59.42
ADSL Tele2	pitbull17	Internet e Reti locali	7	31-01-2004 18.30.45
come togliere la richiesta di password all'avvio?	mimmo77	Windows 7/Vista/XP/ 2003	2	06-10-2003 01.52.13