Accedi per seguire   
Seguaci 0
Kuma

Link Optimizer (dettagli E Rimozione)

60 messaggi in questa discussione

Ciao ,

Scarica MyUninstaller

Dopo averlo decompresso , avvialo con un doppio click

Nella lista delle applicazioni evidenzia ConnectionService e mediante il tasto destro del mouse scegli delete (NON uninstall)

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Per cancellare la voce ConnectionServices dall'elenco delle applicazioni posso usare anche Ccleaner che ha anch'esso la funzione Delete... ma come faccio a capire se l'ho già eliminato ed è rimasta solo la voce nell'elenco... oppure il 'maligno' è ancora nel mio pc?

Modificato da Opp85

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ccleaner cancella solo la voce nella lista , mentre MyUninstaller elimina anche il collegamento nel registro ....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ok come sempre grazie mille... Ora eseguo.

Ne sapete sempre una più del diavolo :dia:

anzi in questo caso... una più degli hacker :)

Modificato da Opp85

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Nuova variante del Gromozon

Il file, una volta eseguito, crea una copia di sé stesso sotto la directory di sistema di Windows con un nome casuale e viene eseguito all'avvio del sistema grazie all'aggiunta della chiave di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato]

in questa maniera il trojan parte con il caricamento di explorer.exe. Vengono modificati i permessi di accesso alla chiave di registro in modo tale da renderne piu difficile la rimozione. Una volta caricato si inietta all'interno di explorer.exe e crea un thread in cui, una volta al secondo, fa una scansione delle finestre aperte sul desktop e ne controlla i titoli.

Se il titolo contiene una delle parole presenti in un elenco contenuto all'interno del codice malevolo, il trojan ricava il PID del processo relativo alla finestra in questione e termina l'esecuzione del programma.

Tra le parole controllate e bloccate possiamo trovare:

gmer

catchme

avenger

hijackthis

hardware upgrade forum

p2p forum italia

suspectfile

….

per un totale di 20 parole, controllate in sequenza durante l'esecuzione del thread. Le stringhe sono codificate attraverso un meccanismo di xor, add e sub. Sembra che le routine di decrypt, a prima vista, siano state scritte manualmente e non utilizzando un'unica routine generale visto che le key vengono passate distintamente come parametri prestabiliti e sono sempre differenti da una routine all'altra.

Il trojan, come il vecchio gromozon, ha anche funzioni di dialer. Fortunatamente, rispetto al vecchio gromozon, non sono presenti funzionalitá da rootkit per cui la rimozione risulta essere piú semplice.

Al momento si puó tranquillamente utilizzare questa procedura manuale:

- Controllare la presenza della chiave di registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe =

attraverso regedit.

- Se presente, prendere nota del percorso del file chiamato. Dopo di che scaricate Avenger e decomprimetelo sul desktop.

- Fatto questo, aprite il task manager premendo la combinazione di tasti CTRL-ALT-CANC e terminate il processo explorer.exe. Il desktop scomparirá, non vi preoccupate.

- Sempre con il task manager aperto cliccate su FILE - NUOVA OPERAZIONE (ESEGUI) - SFOGLIA, cercate sul desktop avenger e lanciatelo

- Una volta eseguito, cliccate sulla voce "Input script manually" e poi clicca sull'icona della lente di ingrandimento. Vi si aprirá una finestra, copiateci quello che è scritto qui sotto in corsivo:

Files to delete:

[qui dovete metterci il percorso che avete trovato nella chiave di registro]

Registry keys to delete:

hkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

- Cliccate su done e poi cliccate sull'icona del semaforo. Il pc si riavvierá, al successivo restart del PC dovrebbe comparire un log con la conferma dell'avvenuta rimozione

Grazie a Marco Giuliani.

Fonte

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, in caso di mancato funzionamento di Avenger,si può eliminare la sottochiave explorer.exe manualmente, però bisogna resettare i permessi.

In pratica, avviare il registro di sistema:

start>esegui>regedt32 (digitarlo nello spazio)>OK

Avviato l'editor del registro, cliccare sul segno + accanto alle suddette voci:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe, cliccare con il tasto dx del mouse su explorer.exe>Autorizzazioni>Avanzate, premere il tab.Proprietario , impostare la proprietà all'utente del computer>OK. Tornare alla pagina precedente, mettere la spunta a Controllo completo e di lettura>OK.

Poi provare a eliminare explorer.exe con click tasto dx e scegliere elimina.

Senza mettere mano al al registro, si può usare anche questo programma

http://www.malwarebytes.org/RegASSASSIN.zip

Avviare il programma

Assicurarsi che le opzioni

"Reset permissions"

e

"delete registry key and all subkeys"

siano spuntate

nella casella inserire il valore

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Cliccare su "delete"

Rispondere SI' ed aspettare il msg di avvenuta cancellazione

(grazie a Lucass che me lo ha segnalato)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Gromozon ora sfrutta la nuova vulnerabiltà dei cursori animati.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Accedi per seguire   
Seguaci 0