Luke57

Ciao, hai eseguito correttamente le operazioni con Avenger? Per i file verdi: start>esegui>cmd (lo scrivi nello spazio bianco)>OK Entri nel prompt dei comandi e digiti: cd C:\Programmi\File comuni\Microsoft Shared-------- >premi invio dir > C:\files.txt----------- >Premi invio Chiudi il prompt e in C: dovresti trovare files.txt, copi e incolli il contenuto in un post nel forum. Mi riposti i due log con GMer (Rootkit e Autostart)? Grazie

Ciao, hai fatto bene! verifica se il serviziio aggiunto se n'è andato. In caso negativo con Avenger inserisci la seguente scritta: Registry values to replace with dummy: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\SecGsu

Ciao, prova a fare questa procedura: Scarica MyUninstaller da qui: http://www.nirsoft.net/utils/myuninst.html con questo programmino potrai disistallare LinkOptimizer se è presente nel tuo computer (impossibile farlo da pannello di controllo, installazioni/applicazioni) Apri il programmino (click su myuninst.exe, attendi che vengono elencate le applicazioni presenti, evidenzi Linkoptimizer, click con il dx e scegli Delected; 1)Start>esegui>control userpasswords2 (lo scrivi nello spazio bianco)>OK Nella finestra Account utente, dovresti avere un'utenza sospetta con nome casuale (oltre le consuete Administrators e Utente, Aspnet), tipo XYZFG. Segnati il nome dell'utenza ed eliminala (click con il destro e scegli elimina); 2) Rendi visibili file e cartelle nascosti: da gestione del computer>strumenti>Opzioni Cartella Seleziona Visualizza Spunta "mostra file e cartelle nascoste" Togli la spunta da "nascondi file protetti di sistema (consigliato) Premi OK Vai in C:\Documents and Settings, dovresti trovare una cartella con lo stesso nome dell'utenza, elimina anch'essa Controlla se in queste cartelle: C:\Programmi, C:\Programmi\File Comuni, C:\Programmi\File Comuni\System, C:\Programmi\File comuni\Microsoft Shared se ci sono altri file con estensione .exe di colore verde (in quanto criptati) 4) scarica avenger sul desktop http://swandog46.geekstogo.com/avenger.zip scompatta il file.zip Avvia il file avenger.exe Seleziona l'opzione "Input Script Manually" Clicca sulla lente di ingrandimento Ti si apre una finestra "View/edit script" All'interno del box bianco,copia e incolla le seguenti scritte : Registry values to replace with dummy: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\UpdWko HKLM\Software\Microsoft\Windows\CurrentVersion\Run\rxyd1.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{773E57C3-11B4-C5B8-D6C5-25DC1F59441C} Files to delete: C:\WINDOWS\afbmd1.dll C:\WINDOWS\lpt5.zhw C:\Programmi\File comuni\Microsoft Shared\cry.exe C:\WINDOWS\TEMP\rxyd1.exe Clicca sul pulsante Done Clicca 2 volte sull'icona del semaforo verde Rispondi due volte Yes Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente Posta il log di Avenger (C:/avenger.txt) con l´esito dello script Con hijackthis, premi Open the misc tools section, poi clicca su Open Ads Spy e togli la spunta dalla casella Quick Scan, se trovi il file C:\WINDOWS\lpt5.zhw lo selezioni e premi Remove Selected Scarica ATF cleaner da qui: http://www.atribune.org/ccount/click.php?id=1 (per eliminare i file temporanei) Avvialo. Clicca sul menu maine poi seleziona la casella Select All. Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!.

Ciao, intanto con hiajckthis, premi "do a system scan only", cerchi e spunti: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe Premi fix checked Cerca ed elimina, se c'è, il file: C:\WINDOWS\svchost.exe (in questa posizione, non quello che si trova in system32) Poi Scarica Gmer : http://www.gmer.net/gmer110.zip Scompatti il programma Avvialo,portati sul tag "Rootkit" Clicca su "Scan" Attendi la fine della scansione e clicca su "Copy" Incolli il log generato in un file di testo, ciccando su modifica e selezionando incolla, salvi il fiel di testo Nello stesso modo fai un log di GMer dalla posizione Autostart Lo copi e lo incolli nel file di testo suddetto che poi alleghi in un post nel forum.

Ciao, avvia il file avenger.exe Seleziona l'opzione "Input Script Manually" Clicca sulla lente di ingrandimento Ti si apre una finestra "View/edit script" All'interno del box bianco,copia e incolla le seguenti scritte: Files to delete: C:\Programmi\File comuni\System\AKURb.exe C:\Programmi\File comuni\System\CjRl.exe C:\Programmi\File comuni\System\cWNNx.exe C:\Programmi\File comuni\System\gEY.exe C:\Programmi\File comuni\System\HFPlm.exe C:\Programmi\File comuni\System\hxPi.exe C:\Programmi\File comuni\System\iEH.exe C:\Programmi\File comuni\System\KSZCB.exe C:\Programmi\File comuni\System\nXLWKG.exe C:\Programmi\File comuni\System\OCC exe C:\Programmi\File comuni\System\QBV.exe C:\Programmi\File comuni\System\tGke.exe C:\Programmi\File comuni\System\TmZ.exe C:\Programmi\File comuni\System\TxBbJ.exe C:\Programmi\File comuni\System\tZc.exe C:\Programmi\File comuni\System\WluWk.exe C:\Programmi\File comuni\System\xaY.exe Clicca sul pulsante Done Clicca 2 volte sull'icona del semaforo verde Rispondi due volte Yes o Sì Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente. Controlla nello script generato dal programma se questi file sono stati eliminati tutti. Se hai anche eliminato LinkOptimizer dal pannello di controllo, dovrsti aver finito.

Ciao, infatti Avenger non l'ha trovata. Hai fatto gli altri controlli? Posta un log di hiajckthis e uno di GMer dalla posizione Rootkit.

Ciao, prova a eseguire queste operazioni: scarica avenger sul desktop http://swandog46.geekstogo.com/avenger.zip scompatta il file.zip Avvia il file avenger.exe Seleziona l'opzione "Input Script Manually" Clicca sulla lente di ingrandimento Ti si apre una finestra "View/edit script" All'interno del box bianco,copia e incolla le seguenti scritte: Registry values to replace with dummy: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\UpdWfl HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {6405264F-7C5A-8F7A-1515-250B96275DC8} HKLM\Software\Microsoft\Windows\CurrentVersion\Run\dmjo1.exe Files to delete: C:\WINDOWS\ldxca1.del C:\WINDOWS\ldxca1.dll C:\Programmi\File comuni\System\AAr.exe C:\WINDOWS\Temp\dmjo1.exe C:\WINDOWS\system32\clock$.qum Clicca sul pulsante Done Clicca 2 volte sull'icona del semaforo verde Rispondi due volte Yes o Sì Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente Posta il log di Avenger (C:/avenger.txt) con l´esito dello script 2) start>esegui>control userpassword2 (lo scrivi nello spazio bianco)>OK nella finestra Account Utente, verifica le utenze (Administrators, Utente, Aspnet sono regolari), se la trovi una con nome casuale, tipo XPGZQ e via dicendo segnati il nome ed eliminala, ciccando con il tasto dx e scegliendo elimina 4)Rendi visibili file e cartelle nascosti: da gestione del computer>strumenti>Opzioni Cartella Seleziona Visualizza Spunta "mostra file e cartelle nascoste" Togli la spunta da "nascondi file protetti di sistema (consigliato) Premi OK Vai in C:\Documents and Settings, dovresti trovare una cartella con lo stesso nome dell'utenza, elimina anch'essa. Svuota il cestino 3) Controlla in C:\Programmi\File comuni\System\ la presenza di altri file colorati di verde con estensione .exe. Fai sapere i loro nomi 4) Apri HijackThis, >Open the misc tools section, > Open Ads Spy... togli l segno di spunta dalla casella Quick Scan. Se presente il file C:\WINDOWS\system32\clock$.qumselezionalo mettendo un segno di spunta nella casella e premi Remove selected

Ciao, devi allegare anche il log di Gmer eseguito dalla posizione Autostart Utilizzando MyUninstaller appare nell'elenco delle appplicazioni con il suo nome effettivo, vale a dire LinkOptimizer.

Ciao, ultimamente è diffusa un'infezione (da Linkoptimizer) che ha tra le purtroppo numerose prerogative, oltre a quella di insediare un rootkit (ma non sempre), di creare files .exe nella cartella che hai indicato. Scarica Virit da qui: http://www.tgsoft.it/italy/index_ita.html versione prova 30 gg., lo aggiorni alle ultime definizioni e fai una scansione dalla modalità provvisoria. Informaci del risultato della scansione.

Ciao, da qui lo scarichi: http://swandog46.geekstogo.com/avenger.zip lo scarichi sul desktop ed estrai i file. Poi segui le operazioni suggerite nel mio psot precedente.

Ciao, per prima cosa, se hai sempre LinkOptimizer tra le applicazioni, scarica MyUninstaller da qui: http://www.nirsoft.net/utils/myuninst.html con questo programmino potrai disistallare LinkOptimizer (impossibile farlo da pannello di controllo, installazioni/applicazioni) 1)Start>esegui>control userpasswords2>OK Nella finestra Account utente, dovresti avere un'utenza sospetta con nome casuale (oltre le consuete Administrators e Utente, Aspnet), tipo XYZFG. Segnati il nome dell'utenza ed eliminala (click con il destro e scegli elimina) 2) Rendi visibili file e cartelle nascosti: da gestione del computer>strumenti>Opzioni Cartella Seleziona Visualizza Spunta "mostra file e cartelle nascoste" Togli la spunta da "nascondi file protetti di sistema (consigliato) Premi OK Vai in C:\Documents and settings, dovresti trovare una cartella con lo stesso nome dell'utenza, elimina anch'essa 3) serve a me per verifica, anche se ne sono quasi certo: start>esegui>services.msc>OK, nella finestra Servizi dovresti avere questo SecGsu o /*SecGsu*, che nella colonna Connessione riporta Nome casuale (simile all'utenza trovata) click con il tasto dx>Proprietà, guarda il percorso del file eseguibile che dovrebbe essere questo: C:\Programmi\File comuni\Microsoft Shared\jut.exe ( se vai in questo percorso dovresti trovare questo file jut.exe di colore verde , in quanto criptato, se trovi altri .exe dello stesso fallo sapere) Se tutto quello che ti ho detto sopra corrisponde al vero, esegui la procedura seguente, altrimenti fammi sapere le inconguenze. 4) con The Avenger: copia il contenuto del riquadro qui sotto negli appunti (CTRL+C). Registry values to replace with dummy: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs Files to delete: C:\WINDOWS\noogq1.dll C:\WINDOWS\lpt9.syh C:\Programmi\File comuni\Microsoft Shared\jut.exe CITAZIONE: avviare The Avenger e selezionare Input Script Manually - clicca sulla icona con la lente di ingrandimento - si aprirà una nuova finestra con scritto View/edit script - incollare quanto copiato sopra premendo Ctrl+V - cliccare Done - cliccare l´icona con il semaforo con la luce verde per avviare lo script - rispondere Yes due volte se il PC non si riavvia da solo, riavvialo manualmente Posta il log di Avenger (C:/avenger.txt) con l´esito dello script 5)per eliminare il servizio malefico: start>esegui>sc stop SecGsu>OK start>esegui>sc delete SecGsu>OK start>esegui>sc stop "SecGsu">OK start>esegui>sc delete "SecGsu">OK 6) eliminare voce di registro Start>esegui>regedit>OK Ti porti in questo percorso KLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects, cliccando sui + accanto alle single voci, trovi : 35C76661-420D-5003-C85E-053D1BF28D6A, la elimini con tasto dx del mouse su di essa e scegli elimina. 7) con hijackthis, premi Open the misc tools section, poi clicca su Open Ads Spy e togli la spunta dalla casella Quick Scan, se trovi il file C:\WINDOWS\lpt9.syh lo selezioni e premi Remove Selected 8) con MyUninstaller disistalli LinkOptimizer, se sempre presente (lo apri, selezioni la voce da rimuovere e la rimuovi)

Ciao, Scarica Gmer : http://www.gmer.net/gmer110.zip CITAZIONE: Decomprimi il programma Avvialo,portati sul tag "Rootkit" Clicca su "Scan" Attendi la fine della scansione e clicca su "Copy" Apri il block notes di windows clicca su modifica e seleziona incolla Adesso seleziona tutto il contenuto del block notes e fai un copia e incolla nel forum Allega anche il log della posizione Autostart Allega anche un log di hiajckthis.

Ciao, per aiutarti devo vedere Scarica Gmer : http://www.gmer.net/gmer110.zip CITAZIONE: Decomprimi il programma Avvialo,portati sul tag "Rootkit" Clicca su "Scan" Attendi la fine della scansione e clicca su "Copy" Apri il block notes di windows clicca su modifica e seleziona incolla Adesso seleziona tutto il contenuto del block notes e fai un copia e incolla nel forum Allega anche il log della posizione Autostart

Ciao, in caso di interpretazioni dubbie e aiuti vari, chiedi pure.

Ciao, sì è la presenza di questo processo: C:\WINDOWS\Temp\aosh1.exe che si ritrova poi in avvio, qui: O4 - HKLM\..\Run: [aosh1.exe] C:\WINDOWS\Temp\aosh1.exe oltre a queste R3 - Default URLSearchHook is missing O2 - BHO: Class - {BD9F327E-44FB-F2C7-0DBF-AED00CEE3E14} - C:\WINDOWS\llmke1.dll (file missing) sintomatiche di infezioni o residui di LinkOptimizer.

Ciao, puoi fare queste verifiche? start>esegui>control userpasswords2>OK si apre la finestra Account utente, verifica se hai un'utenza sospetta (oltre a quelle consuete Administrators e Utente) con un nome casuale, tipo GYZX e simili; start>esegui>services.msc>OK , nell'elenco dei servizi verificare se ne trovi uno con nome casuale, dove nella colonna Connessione, invece che Sistema locale o Servizio di rete riporta nome casuale; da risorse del computer>pannello di controllo, installazioni/applicazioni, verifica se trovi l'applicazione LinkOptimizer; se sì non tentare di rimuoverla, rimanda a un sito estero di dubbia legittimità; Se hai presenti questi sintomi, posta anche un log di GMer da qui: http://www.gmer.net/gmer110.zip CITAZIONE: Decomprimi il programma Avvialo,portati sul tag "Rootkit" Clicca su "Scan" Attendi la fine della scansione e clicca su "Copy" Apri il block notes di windows clicca su modifica e seleziona incolla Adesso seleziona tutto il contenuto del block notes e fai un copia e incolla nel forum. Fai uno scan anche dell'Autostart e allegalo insieme all'altro. Questo serve per verificare eventuali presenze di malware che usano tecniche di rootkit per nascondersi al sistema.

Ciao, quel tipo di malware, come dici giustamente, Virit lo dovrebbe rilevare. L'utenza Aspnet è legittima, così come il servizio, per cui puoi riabilitarlo. Quindi la variante di Linkoptimizer possiamo escluderla, per il resto affidati ai consigli di Kuma. Scusami per l'errore precedente.

Ciao, può darsi che sia un comando limitato alla versione di XP se non ti appare la finestra di Account utente. Non conosco windows 2000, però prova da Risorse del Computer>Pannello di controllo>Strumenti di Amministrazione>Account utente a fare la verifica delle utenze. Altrimenti puoi vedere da Risorse del Computer>Pannello di controllo>strumenti di Amministrazione>Servizi (non so se con windows 2000 si accede all'elenco dei servizi in altro modo) se nell'elenco dei Servizi se ne trova uno sconosciuto che alla voce Connessione riporta un nome casuale, ad esempio XYAGF o via dicendo. E' un'altra caratteristica del trojan suddetto

Ciao, scusa la mia sbadataggine il comando è: control userpasswords2 A questo punto la finestra dell'account utente si apre di sicuro.

Ciao, innanzi tutto mi scuso per aver segnalato un link contravvenendo alle norme regolamentari. Per quanto riguarda la verifica di eventuali utenze indebite, intendevo dire che control userpassword2 lo scrivi nello spazio bianco che si apre dopo aver premuto start ed esegui (va scritto lasciando uno spazio fra le due parole) e dando poi l'invio. Dovrebbe apparire la finestra Account utente con le indicazioni sugli utenti del computer (di norma l'Amministratore e l'utente abituale). Se si trova un'utenza sconosciuta con un nome casuale, può essere opera del trojan suddetto.

Ciao, almeno Aleomba ma è probabile cha anche Etr600, siano colpiti da una varianet di linkoptimizer/trojan agent. Per verificare: start>esegui>control userpasswords2 (lo copi nello spazio)>OK Se fra le utenze, si trova una sconosciuta con nome random, il sospetto è legittimo. Verificare anche da pannello di controllo, installazioni/applicazioni se c'è l'applicazione LinkOptimizer. In tal caso è inutile rimuoverla, si viene rimandati a un sito ucraino. E' un malware che usa tecniche di rootkit, non facile da estirpare. In questo link c'è un'ottima guida per la rimozione: LINK RIMOSSO come da regolamento Se vuoi le tecniche puoi inserirle qui

Ciao, inoltre hai utilizzato una vecchia versione di hiajckthis, posta un log con la versione più recente (vedi qui): http://forum.wininizio.it/index.php?showtopic=21584

Ciao, saluto tutti calorosamente e intervengo per dire che quel CLSID lasciato da LinkOptimizer nel registro di sistema è stato refrattario, almeno nel mio caso, anche all'uso di BHO demon in quanto il programma non può accedervi. Per eliminarla si deve agire così: start>esegui>regedt32>OK ( entrare nel registro con regedt32) Trovare la BHO, click con il dx su di essa, nel menu contestuale scegliere Autorizzazioni, sulla finestra che si apre premere Avanzate, nel menu andare su Proprietario e impostare la proprietà all'utente del computer>OK. Tornare alla pagina Autorizzazioni e consentire il controllo completo spuntando le relative caselle>OK. Eliminare la voce a questo punto dovrebbe essere facile (click con il tasto dx del mouse e scegliere Elimina)