Accedi per seguire   
Seguaci 0
nicnic

Ancora Link Optimizer

56 messaggi in questa discussione

EDIT by KUMA: spostato nella sezione dei log di HJT

_________________________________________________

Prima di tutto un saluto :P e un "meno male che ci siete!!!" :)

Mi riaggancio al thread di Lorenz perchè, dopo aver capito che due PC del mio ufficio erano stati infettati proprio da LinkOptimizer, ho seguito tutte le vostre indicazioni fino alla scansione con GMER e quindi alla generazione dei due filetti di log di Rootkit e Autorun.

Però adesso sono indecisa su cosa devo eliminare con Avenger, non vorrei togliere troppo per eccesso di zelo :P .

Potete aiutarmi a "leggere" i due log?

Quello di Rootkit ha dato solo questa riga:

File C:\System Volume Information\tracking.log

è da eliminare?

Quello di Autorun è più lungo e lo posto se mi dite che è il caso di farlo...

Grazie a tutti in anticipo :wub:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao ,

certo che puoi allegarlo l'altro log ....

PS__quel file da te citato , non è altro che un log collocato in un punto di ripristino del sistema, quindi non è da eliminare...

al limite allega anche un log hijackthis

Se ancora non lo hai fatto , ti consiglierei anche di fare uno scan con il Gromozon Rootkit Removal Tool della Prevx ....

Al termine della procedura verrà creato un log con il risultato della scansione in C:\Gromoton_removal.txt , allega anche quello

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao fabrizio e subito grazie!

Far girare il Tool della Prevx è stata la prima cosa che ho fatto dopo che mi sono accorta dell'inefficacia dell'antivirus McAffee e di AdAware su questo probema

Allego il log Gromozon_removal, il log di GMER (solo per Autorun) e il log di Hijackthis dal quale risulta esserci una voce:

O2 - BHO: Class - {1AE13247-D830-7080-51D9-F6B633D18BAB} - C:\WINNT\trybi1.dll (file missing)

che immagino collegata al fetido virus e che ho tentato di eliminare almeno tre volte inutilmente :sigh:

Inoltre facendo un trova all'interno del registro ho scoperto che ci sono ancora un mucchio di voci e chiavi legate al servizio creato dal virus, che rimane lì nonostante io abbia tolto l'utente e il tool di Prevx abbia tolto il resto!

che faccio...? o_O

hijackthis.log

gromozon_removal.log

AutorunLog.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

scarica avenger sul desktop

http://swandog46.geekstogo.com/avenger.zip

Decomprimi l'archivio

Avvia il file avenger.exe

Seleziona l'opzione "Input Script Manually"

Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"

All'interno del box bianco,copia e incolla le scritte in rosso

registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\SrvVjz

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1AE13247-D830-7080-51D9-F6B633D18BAB}

Clicca sul pulsante Done

Clicca sull'icona del semaforo verde

Rispondi Yes

Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Una volta riavviato il pc,collegati e posta il contenuto del file C:\Avenger.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

aggiorna anche la Java Machine con l'ultima versione

( prima di procedere con l'installazione della nuova versione , disinstalla la vecchia)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho fatto girare Avenger, facendogli cancellare le chiavi che mi ha indicato Luke, ma...nel file Avenger.txt non c'è scritto nulla... Ed in effetti nel registro quelle chiavi sono ancora presenti :o .

Anzi, per essere più precisa sembra scomparsa la chiave relativa al BHO, mentre rimangono le chiavi relative al servizio "SrvVjz"

Provo ancora a far girare avenger in modalità provvisoria...

Modificato da nicnic

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ecco, in modalità provvisoria le voci relative al servizio sono state cancellate :P

Però nel registro esistono ancora delle chiavi legate al servizio che non c'è più, cose tipo

LOCAL_MACHINE->SYSTEM->CONTROLSET001->enum->root->LEGACY_SRVVJZ.

...toglierle a mano o non toglierle a mano, questo è il problema... o forse sono troppo puntigliosa? :wub: voi che dite?

Grasssssie sempre :):P:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

in che senso il log è vuoto ?

comunque elimina tutto quello di cui sei a conoscenza riconducibile all'infezione in questione ....

i problemi dopo le varie procedure sono sempre presenti ?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ecco, in modalità provvisoria le voci relative al servizio sono state cancellate :P

Però nel registro esistono ancora delle chiavi legate al servizio che non c'è più, cose tipo

LOCAL_MACHINE->SYSTEM->CONTROLSET001->enum->root->LEGACY_SRVVJZ.

...toglierle a mano o non toglierle a mano, questo è il problema... o forse sono troppo puntigliosa? :wub: voi che dite?

Grasssssie sempre :):P:P

Ciao, toglile pure. Se non se ne vanno, fai sapere le directory precise dove sono collocate che riutilizziamo Avenger.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao a tutti, seguendo quanto dettomi da GmG in un altro thread posto un log (o come si kiama) dopo aver fatto un controllo con il programma scaricato da prevx.com\gromozon sempre che riesca a trovare il modo di allegare il file, ok ho trovato, sxo che il file sia qllo giusto. ho letto di alcuni che hanno inserito altri file x capire meglio ma devo ank'io e se si come faccio? (scusate l'ignoranza) :)

gromozon_removal.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Per bizio77

Scarica GMER http://www.gmer.net/gmer.zip

Esegui gmer.exe

Clicca sul Tab "Rootkit"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il block notes di windows, clicca su modifica e seleziona incolla, Salvi il file di testo che poi allegherai in un post.

Poi

Clicca sul Tab "Autostart"

Spunta la casella "Show All"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il block notes di windows, clicca su modifica e seleziona incolla, Salvi il file di testo che poi allegherai in un post.

Postami i due log.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Per bizio77

Scarica GMER http://www.gmer.net/gmer.zip

Esegui gmer.exe

Clicca sul Tab "Rootkit"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il block notes di windows, clicca su modifica e seleziona incolla, Salvi il file di testo che poi allegherai in un post.

sta facendo qsta scansione volevo solo dirti che appena ho aperto mi ha detto che alcune cose erano state modificate e se volevo fare una scansione gli ho detto si e mo sta andando avanti, mi pare lunghetto, appena finisco ti allego i file, sxo di aver capito i passaggi ma al limite rileggo 4-5 volte le cose e prima o poi capirò.. :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Bizio 77 e benvenuto anche da parte mia...

tra poco Luke, o GmG ti diranno come procedere... nel frattempo devo chiederti cortesemente di evitare di scrivere in stile SMS, perchè oltre a non essere consentito dal regolamento, rende la lettura difficile, e cosa più importate impedisce al motore di ricerca di indicizzare le parole... :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, toglile pure. Se non se ne vanno, fai sapere le directory precise dove sono collocate che riutilizziamo Avenger.

Ciao Luke :)

Ho provato a eliminare a mano le voci di registro collegate al servizio creato da link optimizer. Ma non mi permette di cancellare assolutamente nulla, neanche dalla modalità provvisoria :locked:

In effetti i computer adesso funzionano (o sembra che funzionino) bene e quindi non so se è giusto intestardirsi su questo aspetto :P

In ogni caso i percorsi su cui sono collocate all'interno del registro sono:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRVVJZ\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\Current\System\CurrentControlSet\Enum\ROOT\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SRVVJZ\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVVJZ\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\System\CurrentControlSet\Enum\ROOT\LEGACY_SRVVJZ

HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SRVVJZ

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

- Avvia il file avenger.exe con un doppio click

- Seleziona l'opzione "Input Script Manually"

- Clicca sulla lente di ingrandimento

Nel box bianco della finestra "View/edit script" che si aprirà ,

copia / incolla quanto segue

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SRVVJZ\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\Current\System\CurrentControlSet\Enum\ROOT\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SRVVJZ\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SRVVJZ\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_SRVVJZ

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\System\CurrentControlSet\Enum\ROOT\LEGACY_SRVVJZ

HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SRVVJZ

- Clicca sul tasto Done

- clicca poi sull'icona del semaforo

- Rispondi Yes alla richiesta

Il pc dovrebbe riavviarsi ( se non lo fà , riavvialo tu)

Posta il log che trovi in C:\Avenger.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Adesso ci sono!

Grazie a Fabrizio e grazie a tutti quelli che si sono interessati :):P:P

L'ultimo scan con Avenger è stato decisivo, nel registro non trovo più alcunchè riferito al malefico virus

Posto comunque il log che il programma ha generato, le voci che sembrano non essere state cancellate in realtà non esistono più perchè erano sottovoci di elementi già cancellati e quindi il programma non le trovava più per forza!

Bravi bravi bravi e anche molto pazienti! Grazie ancora :wub:

avenger.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ciao Bizio 77 e benvenuto anche da parte mia...

tra poco Luke, o GmG ti diranno come procedere... nel frattempo devo chiederti cortesemente di evitare di scrivere in stile SMS, perchè oltre a non essere consentito dal regolamento, rende la lettura difficile, e cosa più importate impedisce al motore di ricerca di indicizzare le parole... :)

ciao ti chiedo scusa, mi riprometto di mettermi a dare un'occhiata più approfondita al regolamento... :angel_not:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Per bizio77

Scarica Virit da qui:

http://www.tgsoft.it/italy/index_ita.html

versione prova 30 gg., lo aggiorni alle ultime definizioni e fai una scansione dalla modalità provvisoria.

Informaci del risultato della scansione.

ciao GmG, prima di tutto grazie infinite per la disponibilità! ti stavo allegando il file con il risultato della scansione quando rileggendo meglio il tuo post ho notato che mi avevi detto di fare la scansione in modalità provvisoria, intanto questo è il risultato con la modalità normale, ho notato che una chiave di registro è stata identificata ma non rimossa (e forse è questo il motivo per cui mi dicevi di farla in modalità provvisoria) il fatto è che non so come mettere il pc in modalità provvisoria con XP, non l'ho mai fatto :)

virit.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao a tutti, ho fatto più o meno come diceva GmG, nel senso che la scansione con quel programma di prova l'ho fatta prima con modalità normale e poi con modalità provvisoria, perchè mi ero accorto dopo di cosa c'erascritto esattamente, il risultato e che ora il pc non riesce più ad avviarsi in modalità normale, che ci fossero dei file infetti che eliminati hanno mandato in subbuglio XP? cosa posso fare? ora sono sul pc del mio collega....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Nella guida che ti ha postato andorra24 c'è scritto

Ripetere nuovamente i passaggi sopra illustrati, questa volta deselezionando la voce "/SAFEBOOT" al punto 4, quindi chiudere tutti i programmi e riavviare normalmente il computer.

Hai eseguito questa procedura?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Nella guida che ti ha postato andorra24 c'è scritto

Hai eseguito questa procedura?

si è proprio questo il punto, cioè ho ripreso i punti e poi ho dato riavvia, solo che la schermata di riavvio di qindows si blocca con la scritta in grande al cenro del monitor WINDOWS XP in bianco su sfondo azzurro e basta, il disco rigido è come se fosse fermo, nessuna lucetta rossa, boh

tu hai visto che avevo già fatto un log della prima scansione quando era però in modalità normale? diciamo che in modalità provvisoria eccetto i files trovati su c ha ritrovato le chiavi di registro e poi la prima l'ha eliminata e la seconda no (esattamente come nella modalità normale)

Modificato da bizio77

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0