Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Approfondimento su Link Optimizer

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi Luke57 » 27/10/06 21:49

Ciao, usa il tool della Nod per il file:
c:\windows\lexmark-tool.exe

Dal registro di sistema, arrivato a
userinit= REG_SZ c:\windows\system32\userinit.exe,"c:\windows\lexmark-tool.exe.
doppio click sulla voce, nella finestra Modifica stringa che ti appare
nello spazio bianco troverai:
c:\windows\system32\userinit.exe,"c:\windows\lexmark-tool.exe
seleziona
c:\windows\lexmark-tool.exe
in modo da lasciare nello spazio
c:\windows\system32\userinit.exe, (virgola compresa)
premi canc>OK
(ATTENZIONEa nonn cancellare userinit.exe, il computer non si riavvierà).
Adesso non ho tempo di guardare tutto il log, ci risentiamo domani.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Sponsor
 

Postdi lucas/s » 28/10/06 03:35

Alexandra, le tecniche sono indicate in tutte le guide di rimozione.
Files efs
Files ads
File con nomi non permessi
Bho/clsid/dll
Servizio
Aggiunta account utente
Tecniche rootkit

Leggendolo, si comprendono "dall'interno" i modi e le tecniche che hanno reso Gromozon così pericoloso e difficile da sradicare una volta che ha infettato un sistema, ma anche l'alto livello di intelligenza e di sofisticazione tecnologica ormai raggiunto dai creatori di malware.

Perchè mi/ci serviva leggerlo per saperlo?? :D :D
Sul livello di tecnologia, avrei qualcosa da dire,alcuni virus sono molto + sofisticati del "grozom",comunque la "colpa" è delle aziende antivirus che non sono intervenute,naturalmente, se in america il malware si vede 1 su un milione di pcs,nessuna azienda ha interesse a sviluppare un tool efficace, tanto,con le firme virali dovrebbero arginare il pericolo,bloccandolo prima dell'esecuzione del file,la colpa è anche dell'utente, che esegue files che non deve eseguire,non aggiorna il sistema,non aggiorna l'antivirus,visita siti porno/warez e usa p2p senza sapere cosa sta facendo,symantec, ha svillupato il removal tool perchè in italia è abbastanza diffuso e per altri fattori che non sto qui a spiegare,comunque,non è accettabile che io, normale utente, debba avvisare le varie aziende dell'imminente pericolo ed avvolte arriva la risposta che dice che il file non è infetto :D,poi vagli a spiegare il tutto,un utente infetto,aveva mca*** come antivirus ed era stato infettato da grozom,ha contattato l'assistenza,la risposta è stata un link verso il nostro sito,roba da matti :D io pago voglio assistenza seria.
Senza contare le aziende che non ancora individuano maggior parte dei files che appartengono alla saga "grozom".
Resta il fatto che chi ha creato questa bestia si tiene aggiornato leggendo tutti i forums,la tecnica di programmazione è molto alta quindi qualche pensiero su possibili realizzatori c'è,ma me la tengo per me :D
Comunque, andorra ha detto una cosa giusta,le varie schede sono state basate sulla nostra, a me,poco mi importa se qualcuno ha copiato qualcosa o ha preso spunto dalla nostra,l'importante per me è assistere l'utente quando ne ha bisogno e sono felice quando risolve,se avessi fatto questo chiedendo soldi,adesso sarei con due belle cubane,rum e coca :D :D.
Non si traduce una guida o se ne fa un altra per alzare le visite,maggior visibilità sui motori di ricerca,popolarità ma si fa, se lo si vuole fare per passione.

Ciao

Gianluca
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi Alexsandra » 28/10/06 07:34

lucas/s ha scritto:Perchè mi/ci serviva leggerlo per saperlo?? :D :D

Behh, il mi non serve, a te e allo staff di Suspectfile non serve leggerlo, per il ci invece credo proprio che molti utenti non abbiano la tua preparazione in materia, e scritta in italiano può certamente far comodo
Sul livello di tecnologia, avrei qualcosa da dire,alcuni virus sono molto + sofisticati del "grozom",comunque la "colpa" è delle aziende antivirus che non sono intervenute,naturalmente, se in america il malware si vede 1 su un milione di pcs,nessuna azienda ha interesse a sviluppare un tool efficace, tanto,con le firme virali dovrebbero arginare il pericolo,bloccandolo prima dell'esecuzione del file,la colpa è anche dell'utente, che esegue files che non deve eseguire,non aggiorna il sistema,non aggiorna l'antivirus,visita siti porno/warez e usa p2p senza sapere cosa sta facendo,symantec, ha svillupato il removal tool perchè in italia è abbastanza diffuso e per altri fattori che non sto qui a spiegare,comunque,non è accettabile che io, normale utente, debba avvisare le varie aziende dell'imminente pericolo ed avvolte arriva la risposta che dice che il file non è infetto :D,poi vagli a spiegare il tutto,un utente infetto,aveva mca*** come antivirus ed era stato infettato da grozom,ha contattato l'assistenza,la risposta è stata un link verso il nostro sito,roba da matti :D io pago voglio assistenza seria.
Senza contare le aziende che non ancora individuano maggior parte dei files che appartengono alla saga "grozom".
Resta il fatto che chi ha creato questa bestia si tiene aggiornato leggendo tutti i forums,la tecnica di programmazione è molto alta quindi qualche pensiero su possibili realizzatori c'è,ma me la tengo per me :D
Su questo sono pienamente d'accordo con te, tanto è vero che ho scritto delle news a riguardo http://www.pc-facile.com/news/sicurezza_e_una_cultura/ , http://www.pc-facile.com/news/sicurezza_ma_esiste/
Comunque, andorra ha detto una cosa giusta,le varie schede sono state basate sulla nostra, a me,poco mi importa se qualcuno ha copiato qualcosa o ha preso spunto dalla nostra,l'importante per me è assistere l'utente quando ne ha bisogno e sono felice quando risolve,se avessi fatto questo chiedendo soldi,adesso sarei con due belle cubane,rum e coca :D :D.
anche quì nulla da eccepire, quello che viene pubblicato è dei legittimi proprietari, e è impensabile poter appropriarsi di quanto avete e state facendo, anzi ho cercato di metterlo in luce http://www.pc-facile.com/news/quando_ar ... /44838.htm
Non si traduce una guida o se ne fa un altra per alzare le visite,maggior visibilità sui motori di ricerca,popolarità ma si fa, se lo si vuole fare per passione.
beh questo non è il nostro caso, oltre che far parte dello staff, conosco personalmente gli admin e non è stato fatto tutto questo "Lavoraccio" di traduzione del tutorial di M.Giuliani per alzare le visite, lo spirito del sito e dello staff tutto è rivolto allo studio e alla prevenzione, la pubblicazione di questa traduzione è principalmente rivolta agli utenti che non conoscono il problema e........ l'inglese

Forse non ho spiegato bene al primo post scopi e intendi di questo topic, credo che ora siano un pò più chiari, se hai altri dubbi fammi sapere

Ciao Luca.
- Il primo fondamento della sicurezza non e' la tecnologia, ma l'attitudine mentale.

Win7 + Office 2003 Ita
Avatar utente
Alexsandra
Utente Senior
 
Post: 2358
Iscritto il: 09/01/06 20:31

Postdi Luke57 » 28/10/06 08:33

Luke57 ha scritto:Ciao, usa il tool della Nod per il file:
c:\windows\lexmark-tool.exe

Dal registro di sistema, arrivato a
userinit= REG_SZ c:\windows\system32\userinit.exe,"c:\windows\lexmark-tool.exe.
doppio click sulla voce, nella finestra Modifica stringa che ti appare
nello spazio bianco troverai:
c:\windows\system32\userinit.exe,"c:\windows\lexmark-tool.exe
seleziona
c:\windows\lexmark-tool.exe
in modo da lasciare nello spazio
c:\windows\system32\userinit.exe, (virgola compresa)
premi canc>OK
(ATTENZIONEa nonn cancellare userinit.exe, il computer non si riavvierà).
Adesso non ho tempo di guardare tutto il log, ci risentiamo domani.

Ciao, inoltre con AVGPfix elimina anche questo file:
C:\Programmi\Windows NT\mGFkHr.exe
e tutti i file verdi che sono in questa cartella.

Inoltre esegui questi comandi:
start>esegui>sc stop QnJKP>OK
start>esegui>sc delete QnJKP>OK
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi just another newbie » 28/10/06 13:56

Luke57 ha scritto:Ciao, inoltre con AVGPfix elimina anche questo file:
C:\Programmi\Windows NT\mGFkHr.exe
e tutti i file verdi che sono in questa cartella.

Inoltre esegui questi comandi:
start>esegui>sc stop QnJKP>OK
start>esegui>sc delete QnJKP>OK



Ciao Luke, ciao a tutti gli altri.
Ero sul pc infetto e avevo qualche difficoltà con internet (ora sono con il mio), quindi sono andato un pò a memoria con le tue indicazioni e un pò ho seguito una guida (non ricordo più quale) che dava una procedura per casi in cui quasi tutti i tool e prog utili non funzionano.

Con pserv ho eliminato il servizio con nome random QnJKP

Con agvpfix ho eliminato i due file in verde presenti in C:\Programmi\WindowsNT.
I miei si chiamavano mGFkHr.exe e kjFiRn.exe.

Con RegSeeker ho fatto una ricerca delle voci inutili inserendo i nomi dei due file verdi e il nome dell'account del servizio con nome random (account: MxBQVa).

ho eseguito i comandi:
sc stop QnJKP
sc delete QnJKP

Ho lanciato Gmer che non mi ha trovato file nascosti.

Ho lanciato Avenger e ho inserito
----------------------------------------------
Citazione:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset003\services\QnJKP

Files to delete:
C:\Programmi\Windows NT\kjFiRn.exe
C:\Programmi\Windows NT\mGFkHr.exe
----------------------------------------------

Per quello che ho capito questo passaggio con Avenger credo sia stato inutile.

Alla chiave di registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon,
accanto alle voce Userinit avevo la stringa
c:\windows\system32\userinit.exe,"c:\windows\lexmark-tool.exe.

Il file Lexmark-Tool.exe aveva identica data di creazione dei due file in verde presenti in c:\Programmi\WindowsNT. Lo trovavo in esecuzione ad ogni riavvio.
Ho usato agvpfix per cancellare il file Lexmark-Tool.exe.

Ho modificato manualmente la stringa alla voce Userinit nel registro,
cancellando la parte "c:\windows\lexmark-tool.exe

Rilancio RegSeeker e faccio una ricerca con i vari nomi dei file del malware.
Solo la voce QnJKP restituisce voci che non so interpretare, le altre sono a posto.

Finalmente mi parte HJT e questo è il log. Se qualcuno ha voglia di darci una guardata...

Logfile of HijackThis v1.99.1
Scan saved at 14.31.13, on 28/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\WinPortrait\wpctrl.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\WinPortrait\floater.exe
C:\Programmi\StopDialers\StopDialer.exe
C:\PROGRA~1\Nokia\NOKIAP~1\VFSWRA~1.EXE
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\#g\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unina.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programmi\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [BHR4.1] C:\Programmi\Zamaan's Software\Browser Hijack Retaliator 4.1\BHR4.1.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialer.exe
O4 - Global Startup: HELPExpress.lnk = C:\Programmi\HELPExpress\bin\matcli.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Download All by Gigaget - C:\Programmi\Giganology\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - C:\Programmi\Giganology\Gigaget\geturl.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Scaricare usando &BitSpirit
- C:\Programmi\BitSpirit\bsurl.htm
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/S ... anager.ocx
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: CPPI - Unknown owner - C:\DOCUME~1\utente\IMPOST~1\Temp\CPPI.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SFPWQ - Unknown owner - C:\DOCUME~1\utente\IMPOST~1\Temp\SFPWQ.exe (file missing)

A me il problema per ora *sembra* risolto. Ma, ripeto, ne capisco davvero poco. Se non fosse stato per Luke...

Luke, ti ringrazio davvero, sei stato gentilissimo e disponibile.

Se ci ho capito qualcosa, nella variante che mi è capitata invece di
www . google . com e tutti gli altri nomi l'.exe si chiama Lexmark-Tool.exe.
E' così? Qualcun altro ha incontrato questo file?
just another newbie
Utente Junior
 
Post: 14
Iscritto il: 25/10/05 15:05

Postdi Luke57 » 28/10/06 17:52

Ciao, più che altro hai fatto molto bene tutto da te ;)
Quel file lexmarx (come il nome della nota marca) l'avevo rivisto in qualche altra infezione, da loptimizer.
Con hijackthis (fix checked), elimina queste voci:
R3 - Default URLSearchHook is missing
O23 - Service: CPPI - Unknown owner - C:\DOCUME~1\utente\IMPOST~1\Temp\CPPI.exe (file missing) - questo non so che cosa sia, se lo sai lasc ialo stare-
O23 - Service: SFPWQ - Unknown owner - C:\DOCUME~1\utente\IMPOST~1\Temp\SFPWQ.exe (file missing)

Riavvia il computer e controlla che non si riformino le voci fissate.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Linkoptimizer » 29/10/06 23:30

Ci sono anche io,Norton mi ha comunicato che il file content.IE5 ecc.ecc.(non riesco a scrivere il percorso) è infettato dal virus Trojan.Linkoptimizer,l'accesso al file è stato negato.Il mio sistema operativo è window 98 SE,ancora devo chiudere o riavviare da quando ho preso il virus.Mi sono scaricato il tool Fixlinkopt,ma non è partito perchè mancava qualcosa.Ho fatto una scansione con hijackthis,ed è uscito anche a me ad R3-Default URLSearchHook is missing.Mi sono scaricato anche un tool mascherato da Megalabit,ma temo di lanciarlo,non so'nemmeno se è compatibile col mio S.O.Non ho letto la vostra discussione,cosa che faro',ma gli occhi mi danno fastidio.Potete fare qualcosa per me che sono una mezza schiappa.Leggevo che bisogna cancellare la stringa R3 ma non leggo l'inglese e non so'come si usa Hijckthis.Ditemi qualcosa,innanzitutto che scopo ha questo virus.Grazie e saluti a tutti.Link
Come devo fare?che scopo ha questo Troian.
Linkoptimizer
Newbie
 
Post: 6
Iscritto il: 29/10/06 22:47

Postdi Linkoptimizer » 30/10/06 00:27

Scusate vi posto anche la mia situazione,sono un po'scosso,perchè non so che fare,il mio sistema è win 98 e molti programmi non posso scaricarli,per favore fatemi sapere se devo cancellare qualcosa dal mio log e come,Grazie e perdonatemi,ma sono confuso ed atterrito,il mio pc da domani dovrebbe entrare in una rete di piu'pc,è pericoloso per gli altri pc .Vi saluto e fatemi sapere,grazie.Link

Logfile of HijackThis v1.99.1
Scan saved at 0.21.16, on 30/10/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK.EXE
C:\PROGRAMMI\CREATIVE\LAUNCHER\CTLAUNCHER.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMMI\FILE COMUNI\REAL\UPDATE_OB\EVNTSVC.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\PROGRAMMI\ALICE TI AIUTA\SMARTBRIDGE\MOTIVESB.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMMI\ALICE TI AIUTA\BIN\MAD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\ALICE TI AIUTA\BIN\MPBTN.EXE
C:\PROGRAMMI\MOTIVE\ASSTCOMMON\MOTIVEDIRECTORY.EXE
C:\WINDOWS\TEMP\PRINTKEY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACRORD32.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {1A6BB2E8-6802-540F-D30B-7C2EB249A684} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [MGA_CD_Install] D:\MGASETUP.EXE /No_Welcome /Lang:Italiano
O4 - HKLM\..\Run: [Creative Launcher] C:\Programmi\Creative\Launcher\CTLauncher.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [Firewall] "C:\Programmi\WinAntiVirus Pro 2006\FWSvc.exe" /win98
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h ... xdm824YYIT
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Shared ... /cabsa.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/se ... loader.cab
O16 - DPF: TradinGear - https://streaming1.imiweb.it/internal/q ... cation.cab
Come devo fare?che scopo ha questo Troian.
Linkoptimizer
Newbie
 
Post: 6
Iscritto il: 29/10/06 22:47

Postdi Luke57 » 30/10/06 10:25

Ciao, con win98 è un bel problema. L'unico penso che sia virit:
http://www.tgsoft.it/italy/index_ita.html
versione di prova 30gg, scarica la versione 6.1.28 in base alle istruzioni indicate nella pagina (stampa la pagina).
Dopo averlo installato, riavvia in modalità provvisoria (premi ripetutamente il tasto F8 all'accensione del computer prima che si carichi windows.Nella schermata che appare, scegli modalità provvisoria spostandoti con le freccette e confermando con invio).
A quel punto fai la scansione.
Posta il report della scansione.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Linkoptimizer » 30/10/06 14:44

Caro Luke,innanzitutto grazie per avermi risposto.Non sono tanto veloce nel fare le cose,comunque ho scaricato il Virit Lite,trial30,non so se è l'ultimo,comunque l'ho aggiornato in fase di scaricamento,e mi sembra che sia il 6.1.28.
Ho fatto una scanzione del pc,mi ha tolto uno spywere.gain.B,che avevo già eliminato stamattina con Spybot,forse era un'altra versione chi sà? o forse non l'avevo tolto bene,ripeto sto'alle prime armi.
Poi mi ha rimosso un finto virus,che avevo nei documenti,che mi serviva per scherzare con le email,facendo finta d'infettare i pc dei miei conoscenti,un bel gioco,ma giustamente essendo .exe,la preso per un virus.
Poi e qui'non capisco,ma tentero'di fare un'altra scanzione in provvisorio,mi ha lasciato dentro 2 trojan Win32.Dialer.CW o varianti.Non è che Norton si sia sbagliato nel parlare del Linkoptimizer,o sono la stessa cosa di questi trovati da Virit?
Ecco il mio log:

VirIT eXplorer Lite Log

SCANSIONE DELLA MEMORIA
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
30/10/2006 - 13:39:45

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\Downloaded Program Files\CONFLICT.1\60C002.exe Possibile variante da Trojan.Win32.Dialer.CW
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll Infetto da Spyware.Gain.B
* * * RIMOSSO * * *
C:\WINDOWS\Downloaded Program Files\60C002.exe Possibile variante da Trojan.Win32.Dialer.CW
C:\Documenti\LO SCOPO DELLA VITA.exe Infetto da Joke.Setup
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 4.
Files Sospetti: 0.
Files Analizzati: 41562.
Files Totali: 41562.
Chiavi Registro rimosse: 0.
Virus Rimossi: 2.
Come devo fare?che scopo ha questo Troian.
Linkoptimizer
Newbie
 
Post: 6
Iscritto il: 29/10/06 22:47

Postdi Linkoptimizer » 30/10/06 14:57

Scusami ancora Luke,ti posto quello che ho trovato sulla pagina di virit:


COME INSTALLARE Vir.IT eXplorer Lite

Eseguire il file VNLTxxxx.EXE (xxxx indica la versione del software) seguendo le indicazioni a video;

Procedere all'aggiornamento delle firme e/o del motore direttamente da Vir.IT eXplorer Lite premendo sul pulsante della parabola. Per i successivi aggiornamenti il software opererà in automatico quanto sarà attiva la connessione ad internet;

Per la rimozione di virus e malware è consigliabile procedere dalla modalità provvisoria

Eseguire file?ma che significa,e come si fà,si usa la funzione ESEQUI? c'entra il DOS?,o il LInguaggio Script,ti dico queste cose perchè sto'litigando da qualche giorno per aprire un file.TxT che mi è arrivato per posta da alice ti aiuta,perchè la mia velocità di connessione non và bene. Lo so'che non centra nulla col virus,ma visto la tua disponibilità,approfitto per capirci un po'di piu'.Ti ringrazio per tutto e ti faro'sapere della scansione fatta da provvisorio F8.Ciao.Link
Come devo fare?che scopo ha questo Troian.
Linkoptimizer
Newbie
 
Post: 6
Iscritto il: 29/10/06 22:47

Postdi Luke57 » 30/10/06 19:08

Ciao, eseguire un eseguibile è lanciare il file co doppio click.
Apri hijacthis, premi "do a system scan only", cerca e spunta le voci seguenti:
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {1A6BB2E8-6802-540F-D30B-7C2EB249A684} - (no file)
O4 - HKLM\..\Run: [Firewall] "C:\Programmi\WinAntiVirus Pro 2006\FWSvc.exe" /win98

premi fix checked.

Disistalla WinAntiVirus Pro 2006 (è un malwaare), cancella questa cartella:
C:\Programmi\WinAntiVirus Pro 2006.

Riavvia il computer e rifai un log di hiajckthis.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Linkoptimizer » 30/10/06 21:58

Grazie Luke.Andando per ordine:
ho fatto la scansione in modalità provvisoria con Virit,ma non è cambiato nulla,non mi ha rimosso questi 2 file:

C:\WINDOWS\Downloaded Program Files\CONFLICT.1\60C002.exe Possibile variante da Trojan.Win32.Dialer.CW
C:\WINDOWS\Downloaded Program Files\60C002.exe Possibile variante da Trojan.Win32.Dialer.CW


Chiavi Registro infette: 0.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 15073.
Files Totali: 15073.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

Poi ho fatto come mi hai detto,ho selezionato le 3 stringhe del log di Hijacthis e le ho cancellate,ho riavviato e non c'erano piu'.Ma alla scansione con virit,sempre presenti i 2 files infetti di sopra,ma puo'trattarsi di altro e non dell'incidente del 29/10,quando Norton mi ha avvertito di aver preso un troianLinkoptimizer.il cui percorso è C: windows Temporary internet Files content.IE5|VJXFBTSW|www.Riveet[1].com
Ho cercato in ogni posto la cartella antivirus Pro 2006,tranne che nel registro, ricordo che lo scaricai tempo fà,poi disinstallai,ma da allora ho perso il controllo di Norton sulle email in entrata ed uscita,se metto l'opzione mi dà errore.Non è che questi 2 file si nascondono in Norton stesso?,o si trovano tra i file occultati del sistema?,spesso IE si blocca.Pero'devo anche dirti che sul destop c'è un collegamento di un sito di download vari, da molto tempo,molto lungo,che non sono mai riuscito ad eliminare nè spostare,nemmeno in provvisorio,impossibile eliminarlo anche dal dos,tanto è lungo il nome,e poi non so'come fare il passo-passo.
Ti ringrazio di nuovo,se puoi darmi ulteriori consigli,devo essere sicuro di non avere qualcosa nel pc,che potrebbe passare ad altri pc,visto che sto'facendo una piccola rete domestica,scusami per la lungaggine.Ciao.Link
Come devo fare?che scopo ha questo Troian.
Linkoptimizer
Newbie
 
Post: 6
Iscritto il: 29/10/06 22:47

Postdi death_star_ » 02/11/06 23:02

ciao a tutti, ho un problema che rientra più o meno nei casi trattati,

ho installato virit light, ma non parte più
avg antivirus, che non trova nulla
prevxremovaltool non parte ....
FixLinkopt non parte ....
gmer ... non parte ...

ho sicuramente un virus gromozon
in più nella cartella C:\WINDOWS\system32\ il file lpt4.ggj che sicuramente è un virus, indicato da virit prima che smettesse di funzionare e un altro che non so se lo sia lpt8.jdr

nei programmi del task manager mi compaiono 3 o più explorer.exe anche se io non ho aperto il programma ...

in più il file iioq1.exe che è sicuramente creato da un gromozon, in quanto mi è già capitato che ci fosse ma lo aveva rimosso prevx ...

potete aiutarmi a risolvere questo problema evitandomi di formattare nuovamente sempre per lo stesso motivo? ... :(
vi ringrazio ...
death_star_
Newbie
 
Post: 1
Iscritto il: 02/11/06 22:49

Postdi Linkoptimizer » 10/11/06 22:11

ho rifatto la scanzione,devo cancellare altro.Grazie.

Logfile of HijackThis v1.99.1
Scan saved at 21.40.09, on 10/11/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK.EXE
C:\PROGRAMMI\CREATIVE\LAUNCHER\CTLAUNCHER.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMMI\FILE COMUNI\REAL\UPDATE_OB\EVNTSVC.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [MGA_CD_Install] D:\MGASETUP.EXE /No_Welcome /Lang:Italiano
O4 - HKLM\..\Run: [Creative Launcher] C:\Programmi\Creative\Launcher\CTLauncher.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h ... xdm824YYIT
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMMI\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMMI\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Shared ... /cabsa.cab
O16 - DPF: TradinGear - https://streaming1.imiweb.it/internal/q ... cation.cab
Come devo fare?che scopo ha questo Troian.
Linkoptimizer
Newbie
 
Post: 6
Iscritto il: 29/10/06 22:47

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "Approfondimento su Link Optimizer":


Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti