Accedi per seguire   
Seguaci 0
Lorenz

Rimozione Di Linkoptimizer: Dove E Come Controllare?

12 messaggi in questa discussione

Salute a tutti! :P

Stamattina ho fatto il mio primo incontro ravvicinato col mostriciattolo in oggetto, e credo d'averlo rimosso col tool di Prevx indicato qui. Il PC sembra tornato a nuova vita, e ho visto che nella lista degli utenti non compare più l'utente molto strano che aveva creato LinkOptimizer e rilanciando il tool non mi rileva più il trojan, vorrei però avere la ragionevole certezza di averlo tirato via. C'è qualche controllo ulteriore che mi consigliate?

Per completezza d'informazione (in modo che possa risultare utile anche a chi leggerà queste righe), pare molto probabile che l'infezione sia avvenuta tramite una mail che, nel testo, aveva inserito un link ad un sito che rappresenta il vero e proprio veicolo d'infezione. Purtroppo questa persona ha cancellato la mail, in ogni caso, controllare con molto scrupolo ciò che arriva via posta elettronica e i siti su cui si naviga.

Grazie a tutti! ;-) :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Potrebbe essere rimasto qualche rimasuglio (che comunque dovrebbe essere inattivo)

per eliminare tutto (nel caso occorra) bisogna affidarsi al vecchio sistema dei log di Gmer e della rimozione tramite Avenger

http://www.gmer.net/gmer110.zip

USO

Decomprimi il programma

Avvialo,portati sul tag "Rootkit"

Clicca su "Scan"

Attendi la fine della scansione e clicca su "Copy"

Apri il block notes di windows clicca su modifica e seleziona incolla e salva il log in un file

Fai uno scan anche dell'Autostart e salva anche questo

.

Questo serve per verificare eventuali presenze di malware che usano tecniche di rootkit per nascondersi al sistema...

Per rimuovere le voci rimaste:

Avenger:

http://swandog46.geekstogo.com/avenger.zip

Decomprimi l'archivio

Avvia il file avenger.exe

Seleziona l'opzione "Input Script Manually"

Clicca sulla lente d'ingrandimento

Ti si apre lafinestra "View/edit script"

All'interno del box bianco, copia e incolla il seguente codice

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A3XXXXXXXXXXX-B3A2-2003-XXXXXXXXXXXXXXXXX}

Files to delete:

C:\WINDOWS\XXXXX1.dll

C:\WINDOWS\system32\XXX.XXX

le voci evidenziate (in grassetto) sono da sostituire in base a quelle trovate che variano da Pc a Pc

poi...

clicca su Start>Esegui scrivi control userpasswords2 clicca su Ok

e controlla se l'utenza aggiunta con nome casuale (tipo: xvdfersx) esiste ancora e nel caso eliminala

Avvia Hijack e fissa le voci sospette rimaste

Se in installazione applicazioni, esiste inoltra una voce "LinkOptimizer" NON cliccare sopra per rimuoverla, altrimenti reinstalla il malware, ma usare My Uninstaller per rimuovere la voce

Stessa cosa se vedi una voce "Service Connections"

____________________________________________

pare molto probabile che l'infezione sia avvenuta tramite una mail che, nel testo, aveva inserito un link ad un sito che rappresenta il vero e proprio veicolo d'infezione.

Andiamo bene :) <_< <_< <_< <_<

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie mille Kuma! :P

Avevo già controllato l'utenza, che non c'è più, il resto appena possibile lo controllerò. Grazie ancora!! :up1: :up1: :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Allora, il tool di Prevx ha fatto un ottimo lavoro ma non aveva cancellato proprio tutto, infatti si sono ripresentati alcuni problemi... ma con Gmer e The Avenger ho rimosso il resto e sono già 3 giorni che il PC in questione funziona senza problemi...

Da quanto ho visto, il tool è UTILISSIMO poiché per prima cosa ti permette di usare la macchina (quel maledetto mostriciattolo rende quasi inutilizzabile il PC), e quindi, anche se è rimasto qualcosa, lo si può rimuovere senza troppi problemi.

Grazie Kuma!!! :):P:P:wub:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao!

Ho "eliminato" linkoptimizer con Vir.it, nel senso che Norton non lo segnala piu ma rimane la voce in installazione applicazioni, quindi c'è da eliminare dell'altra roba. ho visto le istruzioni che kuma ha messo nel 2005:

-sono ancora attuali?

-quando apro evenger e si apre il riquadro "view edit script" non capisco bene che codice devo mettere

-poi cosa bisogna fare? nel senso che evenger non serve piu e devo installare anche hijack?

-questa procedura risolve in modo definitivo il problema?

Grazie per l'aiuto!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao e Ben arrivato/a nel forum, ...Fisher

Ti invito a personalizzare la tua presenza in WinInizio aggiungendo una firma e un'avatar al tuo profilo personale; se non sai come fare

clicca qui

Se vuoi presentarti alla comunità perchè non fai un salto in "Benvenuto", la discussione creata proprio per accogliere i nuovi iscritti. (Naturalmente non sei obbligato a farlo ;) )

Ricordati, infine, di aprire nuove discussioni usando titoli specifici: un titolo troppo generico come "Aiuto" o "Consiglio" è inutile perchè non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Buona permanenza in WinInizio!

************************************

Come nel 2005 :):P:P:wub::P

LinkOptimizer è un virus di quest'estate...

Prova comunque a dare una passata con questo tool:

http://www.prevx.com/gromozon.asp

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao a tutti.

Ho letto con interesse quanto scritto in precedenza e vorrei esporvi i miei problemi per avere un vostro aiuto nella risoluzione. Navigando in google alla ricerca di prezzi per componenti hw l'antivirus avast aggiornato mi ha segnalato la presenza di un trojan che ho eliminato. Pensavo che tutto si fosse risolto invece....ciccia. Ogni volta che apro IE il Resident di S&D mi chiede la modifica del valore aggiunto di

-BHO

voce 937E2A72-D020-E8F3-75AD-13A5FF00C4FF

-Internet Explorer Searches

voce 937E2A72-D020-E8F3-75AD-13A5FF00C4FF

-Internet Explorer Searches

voce CFBFAE00-17A6-11D0-99CB-00C04FD64497

al che io nego la modifica e proseguo.

Questo avviene ogni qualvolta apro una pagina nuova di IE. Mi impedisce anche l'accesso ad alcuni siti come quello cui Lorenz fa riferimento ( il tool di PREVX) dicendomi che è impossibile visualizzare la pagina ed altri inerenti a discussioni sui trojan, ecc. lasciandomi però l'accesso ai siti di gmer e avenger. Non mi reindirizza la pagina di apertura, non crea nuovi utenti, ecc. apparentemente mi procura SOLO quei fastidi.

Fatta una scansione con AD-AWARE mi trova due chiavi di registro ADWARE LINK OPTIMIZER che io elimino, ripetuta con S&D non trovato nulla, scansito con AVAST tutto pulito, ma perfidamente se apro una nuova sessione di Internet il tutto ricomincia.

Ho letto in altri forum che consigliano Hijack this ma che l'utilizzo di questo programma è un pò pericoloso se non gestito al meglio.

Cosa mi consigliate?

:):P:P

Grazie per l'aiuto

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao e Ben arrivato/a nel forum, ...

Se vuoi presentarti alla comunità perchè non fai un salto in "Benvenuto", la discussione creata proprio per accogliere i nuovi iscritti. (Naturalmente non sei obbligato a farlo :) )

Ricordati, infine, di aprire nuove discussioni usando titoli specifici: un titolo troppo generico come "Aiuto" o "Consiglio" è inutile perchè non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Buona permanenza in WinInizio!

********************************************************

Prova a dare una passata con quest'altro tool (uscito da pochi giorni):

http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Poi scarica VIRIT http://www.tgsoft.it/italy/index_ita.html

Aggiornalo e fai una scansione (meglio se dalla modalità provvisoria)

Al termine dovresti essere in grado di collegarti anche ai siti in cui non ti era consentito

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

:):P Grazie Kuma per il tuo sollecito interessamento ho proceduto come da te indicato e tutto è tonato OK

Ciao

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0