trojan.linkoptimizer.b

[bllmtt]

Non riesco a pulire un pc dal virus in oggetto.
Ho trovato le istruzioni sul sito di Symantec e la pulizia manuale non sembra particolarmente complessa (una decina di chiavi da eliminare dal registro e poi delete dei file infetti). http://www.symantec.com/security_res...032716-2324-99
Il problema è che non riesco a modificare il registro, sembra protetto dall'aggiornamento. Ho provato anche con il tool rilasciato da Symantec ma nulla è cambiato. http://securityresponse.symantec.com...stry.keys.html
Qualcuno ha idea di come posso rimettere il file di registro in read/write?
ciao e grazie
Matteo

[Tecno214]

Sarebbe opportuno capire qual'è il tipo di errore che ti viene fuori proma di consigliarti una possibile soluzione...

[crazy.cat]

Sei riuscito ad eliminare i file infetti?
Magari sono proprio loro a bloccare il registro.

Prova a fare una scansione con Virit e se proprio non riesci a ripulire posta il log della scansione di hijackthis

[giancarlof]

http://forum.zeusnews.com/viewtopic.php?t=16712

http://forum.zeusnews.com/viewtopic.php?t=17270

[bllmtt]

Quota:

Inviato da crazy.cat

Sei riuscito ad eliminare i file infetti?
Magari sono proprio loro a bloccare il registro.

Prova a fare una scansione con Virit e se proprio non riesci a ripulire posta il log della scansione di hijackthis

Non posso eliminare i file perchè mi dice che sono in uso.
Non posso postare il log di hijackthis perchè non parte su quella macchina

[bllmtt]

Quota:

Inviato da giancarlof

http://forum.zeusnews.com/viewtopic.php?t=16712

http://forum.zeusnews.com/viewtopic.php?t=17270

Gli articoli fanno riferimento a linkoptimizer (trojan del 2006). La machina è infetta dal trojan.linkoptimizer.b scoperto in febbraio 2007

[giancarlof]

Ciao, generalmente è un malware che impedisce l'uso di hijackthis e di altri programmi.

Apri il registro di sistema
da START\ESEGUI digita regedit>OK

Aperto l’editor del registro, cliccando sul segno + accanto alle singole voci segui adesso questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon, click su quest’ultima cartella
all'interno della cartella, sulla parte destra dovresti trovare
UserInit= REG
riporta in un post tutte le voci a fianco di Userinit, sulla parte destra della finestra.

[bllmtt]

Quota:

Inviato da giancarlof

Ciao, generalmente è un malware che impedisce l'uso di hijackthis e di altri programmi.

Apri il registro di sistema
da START\ESEGUI digita regedit>OK

Aperto l’editor del registro, cliccando sul segno + accanto alle singole voci segui adesso questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon, click su quest’ultima cartella
all'interno della cartella, sulla parte destra dovresti trovare
UserInit= REG
riporta in un post tutte le voci a fianco di Userinit, sulla parte destra della finestra.

C:\WINDOWS\system32\userinit.exe,

[giancarlof]

La stringa è nella norma virgola compresa alla fine. Dovremo cercare di cancellare voce per voce ora ti metto un esempio con il il programma Avenger, tu inserisci alla stessa maniera i file che vuoi cancellare:

http://swandog46.geekstogo.com/avenger.zip

lo scompatti in una cartella, mettila dove credi meglio
Avvia l'eseguibile *.exe
Rendi attiva la stringa "Input Script Manually"
Clicca sulla lente ingrandimento

ora avrai davanti una finestra "View/edit script"
All'interno del contenitore bianco, copia e incolla quanto scrivo qui sotto


files to delete:
C:\WINDOWS\system32\file da cancellare.exe



Clicca sul pulsante "done "
Clicca sul semaforo verde
Rispondi due volte si alle domande
Il sistema operativo dovrebbe riavviarsi da solo eventualmente fallo tu
Alla fine trovi un *.log nella root C:\ del tuo sistema operativo, si tratta di un file di tipo *.txt che puoi allegare in un post cosi vediamo se ha funzionato.

[bllmtt]

Quota:

Inviato da Tecno214

Sarebbe opportuno capire qual'è il tipo di errore che ti viene fuori proma di consigliarti una possibile soluzione...

Impossibile eliminare tutti i valori selezionati

[bllmtt]

Quota:

Inviato da giancarlof

La stringa è nella norma virgola compresa alla fine. Dovremo cercare di cancellare voce per voce ora ti metto un esempio con il il programma Avenger, tu inserisci alla stessa maniera i file che vuoi cancellare:

http://swandog46.geekstogo.com/avenger.zip

lo scompatti in una cartella, mettila dove credi meglio
Avvia l'eseguibile *.exe
Rendi attiva la stringa "Input Script Manually"
Clicca sulla lente ingrandimento

ora avrai davanti una finestra "View/edit script"
All'interno del contenitore bianco, copia e incolla quanto scrivo qui sotto


files to delete:
C:\WINDOWS\system32\file da cancellare.exe



Clicca sul pulsante "done "
Clicca sul semaforo verde
Rispondi due volte si alle domande
Il sistema operativo dovrebbe riavviarsi da solo eventualmente fallo tu
Alla fine trovi un *.log nella root C:\ del tuo sistema operativo, si tratta di un file di tipo *.txt che puoi allegare in un post cosi vediamo se ha funzionato.

Niente da fare. Sembra che il virus sia "linkato" a explorer.exe tanto che non riesco ad aprire la cartella con avenger (explorer crasha e si riavvia).
Per lanciare avenger.exe ho dovuto uccidere explorer.exe e poi lanciarlo da nuovo processo in task manager.
Comunque il risultato è il seguente:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: selected file does not appear to be a valid script.
Error code: 0

[giancarlof]

Si vede che hai compilato lo script del programma non nella norma, oppure la causa è lo sblocco di Explorer, magari riprova.

[Tecno214]

Infatti il virus è linkato ad Explorer...

prova a verificare la presenza di codice malevolo in questa chiave...

hkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe


Dovrebbe esserci la presenza di un fantomatico programma in C\WINDOWS\SYSTEM32 che si lancia con quella chiave..

Se c'è poi ti dico come poter procedere con tolls esterni!

[giancarlof]

Se fosse cosi come scritto nel post sopra:
Scarica AVGPfix da qui (è un cleaner puro):
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP



2)apri il taskmanager (ctrl+alt+canc), premi la tab.Processi, eseleziona explorer.exe, premi Termina processo, il desktop sparirà, sempre dal taskmanager vai su file>nuova operazione, scrivi regedt32>OK, si apre il registro di sistema, vai alla voce explorer.exe cliccando sul segno + accanto alle singole voci del seguente percorso:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
explorer.exe

click tasto dx su di essa>Autorizzazioni>Avanzate>premi il tab.Proprietario>autorizza l'Utente del computer>OK. Torni alla pagina principale, metti la spunta a Controllo completo e lettura>OK. Click tasto dx sulla voce e scegli Elimina.


3)Sempre dal task manager , vai su file>nuova operazione e scrivi explorer.exe >OK per ripristinare il desktop.

4)avvii Avgpfix
(premi start, individui il file:
c:\windows\system32\file
premi OK per eliminare il file).

5)Provi ad eseguire hijackthis e alleghi un log.

[Tecno214]

Tutto perfetto!

Io ho lavorato dall'esterno con un BartPe ma le cose che ho fatto sono le medesime proposte da Giancarlo!