Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 29-08-2006, 14.52.38   #1
seagull1
Junior Member
 
Registrato: 06-05-2004
Loc.: Lecce
Messaggi: 87
seagull1 promette bene
Richiesta su LinkOptimizer

Salve a tutti.

Vorrei sapere se esiste un Toolkit di rimozione per LinkOptimizer, e magari dove trovarlo...

Eventualmente, qualcuno potrebbe indicarmi una procedura per eliminare manualmente questo malware?...In Rete di suggerimenti sull'argomento ce ne sono un po troppi...ed in merito ho le idee un po' confuse.
seagull1 non è collegato   Rispondi citando
Vecchio 29-08-2006, 18.11.31   #2
Arthur85
Hero Member
 
L'avatar di Arthur85
 
Registrato: 12-11-2004
Messaggi: 639
Arthur85 promette bene
Leggi qua:

http://www.suspectfile.com/forum/viewtopic.php?t=156

Esiste anche un tool automatico, ne parlano qua:

http://www.suspectfile.com/forum/viewtopic.php?t=247

Guarda anche qua:

http://www.symantec.com/enterprise/s...803-99&tabid=2



Ciao
___________________________________

"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer)

Ultima modifica di Arthur85 : 29-08-2006 alle ore 18.33.39
Arthur85 non è collegato   Rispondi citando
Vecchio 29-08-2006, 23.04.19   #3
seagull1
Junior Member
 
Registrato: 06-05-2004
Loc.: Lecce
Messaggi: 87
seagull1 promette bene
Grazie del suggerimento, Arthur85.

Sinceramente l'utilizzo del toolkit, non trattandosi di uno "scanner", non l'ho ben capito.
Forse opterò per la eliminazione manuale seguendo una delle tante procedure che si trovano in rete.

Cmq l'eliminazione di questo LinkOptimizer sembra una cosa fastidiosissima ed anche un pò laboriosa...Mi sono accorto di averlo beccato aprendo il task manager ed accorgendomi dell'uso spropositato di memoria che stava facendo uno dei moduli svchost.exe.
E' un trojan mutante di cui esiste più d'una variante; sul mio sistema ha aperto un'account "fittizio" avviandomi, inoltre, un fantomatico servizio di rete ("SrvYse") negli Strumenti di Amministrazione.

L'unico modo per prevenire il "contagio" è installare la patch di aggiornamento per la protezione che si trova qui: http://www.microsoft.com/technet/sec.../MS06-001.mspx
seagull1 non è collegato   Rispondi citando
Vecchio 30-08-2006, 19.43.38   #4
Arthur85
Hero Member
 
L'avatar di Arthur85
 
Registrato: 12-11-2004
Messaggi: 639
Arthur85 promette bene
Il tool, come giustamente hai notato, non è uno scanner, ma è finalizzato all'eliminazione (dell'altrimenti ineliminabili) file creati dal rootkit che si insediano, in genere, in ...\Programmi\file comuni\System

Quei file fanno riferimento all'account nascosto di cui anche te parlavi.

Il servizio di cui parli è anchesso ineliminabile, con Avenger (in tal proposito guarda il primo link che ti ho inviato) puoi eliminare il servizio senza problemi...

Per la rimozione del rootkit vero e proprio, ti consiglio (a me ha funzionato) di usare un cdboot BartPE e usare VirIT (scaricalo, aprilo con winrar, aggiornalo e mettilo su chiave usb)...il rootkit è la prima cosa che ti elimina...

Per eliminare l'account vai in strumenti di amministrazione -> Gestione Computer -> Utenti e gruppi locali -> User....e lo cancelli

Comunque se leggi accuratamente i consigli del forum di cui ti ho postato il link, risolvi sicuramente...

Ciao
___________________________________

"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer)
Arthur85 non è collegato   Rispondi citando
Vecchio 30-08-2006, 20.37.10   #5
seagull1
Junior Member
 
Registrato: 06-05-2004
Loc.: Lecce
Messaggi: 87
seagull1 promette bene
Ho scaricato VirIt Explorer vers. Shareware, e mi ha localizzato un "Trojan.win32.Rootkit.G" residente in memoria ma non sembra averlo eliminato...

un cd di boot BartPE ce l'ho già ...

Dici che installando AntiVir su una chiave di memoria usb e poi eseguendo la scansione dal cd di boot riesco ad eliminarlo il Rootkit?
seagull1 non è collegato   Rispondi citando
Vecchio 30-08-2006, 22.04.53   #6
Arthur85
Hero Member
 
L'avatar di Arthur85
 
Registrato: 12-11-2004
Messaggi: 639
Arthur85 promette bene
Punto primo

scarica questo: http://swandog46.geekstogo.com/avenger.zip

Seleziona l'opzione "Input Script Manually"

Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script" digita lo script (senza asterischi):

****
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\xxx

folders to delete:
C:\Documenti and Setting\yyy

****
dove al posto di xxx metti il servizio indesiderato che fa riferimento all'account nascosto yyy, e ovviamente al posto di yyy metti esattamente il nome dell'account

Clicca sul pulsante Done

Clicca sull'icona del semaforo verde

Rispondi Yes

Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

---------------------------------------

Punto secondo

Scarica questo file sul desktop

http://www.merijn.org/files/adsspy.zip

Decomprimi l'archivio

Avvia il programma,leva tutte le spunte presenti e mettila solo nella casella "Scan only this folder",clicca sul pulsantino e seleziona il disco rigido da scansionare,clicca su "Scan the system ecc " per far partire la scansione
A fine scansione dovresti visualizzare questo valore

C:\:"qualcosa.qualcos'altro"

Volendo potresti rimuovere, se possibile direttamente da qui, ma ti consiglio di usare VirIT da BastPE

---------------------------------------
Punto Terzo

Clicca su start>esegui nella casellina digita control userpasswords2 clicca su Ok

Ti si apre una finestra,seleziona l'account yyy e clicca su "Rimuovi"

---------------------------------------
Controlla se nella cartella ...\Programmi\File comuni\system\
ci sono file "strani" che fanno riferimento all'account nascosto...se ci sono usa il tool di NOD per eliminarli (se non si eliminano normalmente)
Da BartPE, fai partire VirIT, la prima cosa che ti leva dovrebbere essere appunto il trojan mascherato dal rootkit...


In conclusione: la proceduara che ti ho esposto è quella che ho fatto io e che ha avuto buon esito, tuttavia ti consiglio di contattare gli esperti del forum, di cui ti ho inviato il link, sono molto competenti e molto disponibili: infatti inviandogli i log di Gmer modificato, sono in grado di individuare una "terapia" specifica...


Ti saluto

Ciao


NOTA: la procedura con me ha avuto buon esito, ma non garantisco altrettanto in altri casi! Nuovamento ciao...spero che tu risolva presto...
___________________________________

"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer)

Ultima modifica di Arthur85 : 30-08-2006 alle ore 22.08.07 Motivo: Aggiuta Nota
Arthur85 non è collegato   Rispondi citando
Vecchio 31-08-2006, 10.46.16   #7
seagull1
Junior Member
 
Registrato: 06-05-2004
Loc.: Lecce
Messaggi: 87
seagull1 promette bene
Niente da fare...Avenger non riesco ad eseguirlo , c'è qualcosa che blocca la sua esecuzione; mi succede la stessa cosa anche con RootkitRevealer...e ho provato a ri-scaricarli 3-4 volte, ma niente da fare. Forse la variante Rootkit che risiede sul mio sistema riesce a bloccarli (??)...

Che versione di VirIt hai usato per eliminarlo?
seagull1 non è collegato   Rispondi citando
Vecchio 31-08-2006, 17.10.20   #8
Arthur85
Hero Member
 
L'avatar di Arthur85
 
Registrato: 12-11-2004
Messaggi: 639
Arthur85 promette bene
Quota:
Inviato da seagull1
Niente da fare...Avenger non riesco ad eseguirlo , c'è qualcosa che blocca la sua esecuzione; mi succede la stessa cosa anche con RootkitRevealer...e ho provato a ri-scaricarli 3-4 volte, ma niente da fare. Forse la variante Rootkit che risiede sul mio sistema riesce a bloccarli (??)...
Che versione di VirIt hai usato per eliminarlo?

Non so proprio da cosa possa esser dovuto il fatto che Avenger non si avvii...puoi provare a scaricarli -> metterli in C:\, avviare in modalità provvisoria (loggandoti da administrator) e porvare avenger da lì...

PEr ciò che riguarda VirIT, non so che versione è, penso l'ultima..l'ho scaricata dal sito ufficiale:

http://www.tgsoft.it/italy/index_ita.html


Prova anche questo, tantevolte ti indica qualcosa:
https://europe.f-secure.com/exclude/...ght/blbeta.exe



Ciao
___________________________________

"Nel migliore dei casi la vita, comunque la si consideri, è un affare che non copre le spese"(Arthur Schopenhauer)
Arthur85 non è collegato   Rispondi citando
Vecchio 31-08-2006, 20.06.55   #9
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
virit non riesce a rimuovere alcune varianti...

al momento un tool unico e totalmente automatizzato non c'è ... si devono necessariamente utilizzare più strategie

in alternativa a quella più diffusa che utilizza il Virit...

http://www.p2pforum.it/forum/showthread.php?t=115737
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
[SFTW] Apache Problema con richiesta HTTP ziotibia81 Linux e altri Sistemi Operativi 0 27-03-2006 14.12.58
[HELP] Telecom e richiesta di trasloco linea (lungo) Sbavi Chiacchiere in libertà 9 03-11-2005 17.57.32
Strana richiesta: danneggiare I.E.!!! amantino Windows 9x/Me/NT4/2000 41 19-10-2005 12.59.42
ADSL Tele2 pitbull17 Internet e Reti locali 7 31-01-2004 18.30.45
come togliere la richiesta di password all'avvio? mimmo77 Windows 7/Vista/XP/ 2003 2 06-10-2003 01.52.13

Orario GMT +2. Ora sono le: 13.07.07.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.