Linkoptimizer Irremovile Aiuto

lovesong · March 16, 2007

Salve,

E' da circa una settimana che sto combattendo con un virus (credo un'ultima versione del Link Optimizer...) Ho iniziato a fare diverse scansioni con vari programmi istallati (AntiVir,Ad-Aware,spyboot, avg, adsr, a squared, spyware doctor, symantec fixlinkopt, prevx1) ma non hanno trovato niente.

Il bello è venuto quando ho cercato di fare la scansione con HijackThis, non mi riesce piu ad aprirlo ne il programma e ne l'istallazione...All'inizio ho pensato dipendesse in qualche modo dal programma ma quando faccio ricerche su Google di Antivirus e HijackThis mi si chiude immancabilmente la pagina ma solo per queste determinate ricerche per il resto Google funziona bene!

Sono riuscito solo a far partire x raypc di cui vi posto il log

Vi prego aiutatemi.

Logfile of X-RayPc Build 39029 (Installed 1174048064)

Scan saved at 16/03/2007 12.27.58

Registry Settings:

IE Start Page (User) : http://www.google.it/advanced_search?hl=it

IE Start Page (Global) : about:blank

IE Blank Page : C:\WINDOWS\system32\blank.htm

IE Search Page (User) : http://www.google.com

IE Search Page (Global) : http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

HOSTS Directory : %SystemRoot%\System32\drivers\etc

C:\WINDOWS\system32\services.exe (108544 e77f6fa2a15390f1727f4c1c55b69da6)

C:\WINDOWS\system32\lsass.exe (13312 0815e8da286775fa432c7c9ee5e10ba1)

C:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

C:\WINDOWS\Explorer.EXE (1034752 178d42bd8fc34a9837417a6ce1d6bb7b)

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe (59008 dc995da2d258c0590c3ae07ec68bfee6)

C:\Programmi\Alwil Software\Avast4\ashServ.exe (132736 8e33da0415023ea7a9378afa04d9bf4d)

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe (108160 26a15d8d5c81a3b053e82b01a5d8208e)

C:\WINDOWS\System32\alg.exe (44544 d4a42bf3c11302aa3ccd857034ef1e54)

C:\Programmi\Internet Explorer\IEXPLORE.EXE (93184 c49ed6e4358ffaecfe70fc8f3c67d224)

C:\PROGRA~1\WINZIP\winzip32.exe (2592841 d1b38119f5b01a809b239b2e31656496)

C:\Documents and Settings\user\Impostazioni locali\Temp\x-raypc.exe (348928 df5ba440e4384adcd1a0bf653da84387)

Service: ALG C:\WINDOWS\System32\alg.exe (44544 d4a42bf3c11302aa3ccd857034ef1e54)

Service: aswUpdSv C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe (59008 dc995da2d258c0590c3ae07ec68bfee6)

Service: AudioSrv C:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: avast! Antivirus C:\Programmi\Alwil Software\Avast4\ashServ.exe (132736 8e33da0415023ea7a9378afa04d9bf4d)

Service: CryptSvc C:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: DcomLaunch C:\WINDOWS\system32\svchost -k DcomLaunch

Service: Dhcp C:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: ERSvc C:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: Eventlog C:\WINDOWS\system32\services.exe (108544 e77f6fa2a15390f1727f4c1c55b69da6)

Service: helpsvc C:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: lanmanworkstation C:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: Netman C:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: Nla C:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: PlugPlay C:\WINDOWS\system32\services.exe (108544 e77f6fa2a15390f1727f4c1c55b69da6)

Service: ProtectedStorage C:\WINDOWS\system32\lsass.exe (13312 0815e8da286775fa432c7c9ee5e10ba1)

Service: RasMan C:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: RemoteRegistry C:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: RpcSs C:\WINDOWS\system32\svchost -k rpcss

Service: SamSs C:\WINDOWS\system32\lsass.exe (13312 0815e8da286775fa432c7c9ee5e10ba1)

Service: Schedule C:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: SharedAccess C:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: srservice C:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: TapiSrv C:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: W32Time C:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: WebClient C:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: winmgmt C:\WINDOWS\system32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

Service: wscsvc C:\WINDOWS\System32\svchost.exe (14336 73955b04f209d8a1c633867841267a96)

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe (108160 26a15d8d5c81a3b053e82b01a5d8208e)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [PostBootReminder] C:\WINDOWS\system32\SHELL32.dll (8479744 98def9ae2c9f8fc7fecf9d0de23f2c90)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [CDBurn] C:\WINDOWS\system32\SHELL32.dll (8479744 98def9ae2c9f8fc7fecf9d0de23f2c90)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [WebCheck] C:\WINDOWS\system32\webcheck.dll (280576 9adae07a13e295a98f5ee7726354c28f)

O4 - HKLM\..\ShellServiceObjectDelayLoad: [sysTray] C:\WINDOWS\system32\stobject.dll (122368 6474c3d1c136c60291b8a5ee9ed1735b)

O16 - DPF: (Microsoft XML Parser for Java)- - C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd (1162 0f7667aa2dfebb40816a75bfa972166d)

O16 - DPF: {233c1507-6a77-46a4-9443-f871f945d258} (Shockwave ActiveX Control)- http://download.macromedia.com/pub/shockwa...director/sw.cab - C:\WINDOWS\Downloaded Program Files\erma.inf (1793 772c765e564814e6e08e573b491e9c79)

O16 - DPF: {8ad9c840-044e-11d1-b3e9-00805f499d93} (Java Plug-in 1.5.0_11)- http://java.sun.com/update/1.5.0/jinstall-...ows-i586-jc.cab - C:\WINDOWS\Downloaded Program Files\jinstall-1_5_0_11.inf (902 c0f4b01be43e874244b91d12e927298b)

O16 - DPF: {cafeefac-0015-0000-0011-abcdeffedcba} (Java Plug-in 1.5.0_11)- http://java.sun.com/update/1.5.0/jinstall-...indows-i586.cab

O16 - DPF: {cafeefac-ffff-ffff-ffff-abcdeffedcba} (Java Plug-in 1.5.0_11)- http://java.sun.com/update/1.5.0/jinstall-...indows-i586.cab - C:\Programmi\Java\jre1.5.0_11\bin\npjpi150_11.dll (75528 3b3f6984dbf972daff1b7e9c44e2fe75)

O16 - DPF: {d27cdb6e-ae6d-11cf-96b8-444553540000} (Shockwave Flash Object)- http://fpdownload.macromedia.com/get/flash...ent/swflash.cab - C:\WINDOWS\Downloaded Program Files\swflash.inf (5065 f8e541e95f1ddf1c221b7c40fcbaa709)

020 - HKLM\..\Notify: [crypt32chain] C:\WINDOWS\system32\crypt32.dll (601600 5588d8afd51d060f82315c50d7590323)

020 - HKLM\..\Notify: [cryptnet] C:\WINDOWS\system32\cryptnet.dll (63488 f8dd2e38ecc275ae94edc7c0492416ef)

020 - HKLM\..\Notify: [cscdll] C:\WINDOWS\system32\cscdll.dll (102400 38c69b2bc3182a85f0b323c9d1eb7e26)

020 - HKLM\..\Notify: [scCertProp] C:\WINDOWS\system32\wlnotify.dll (93184 72e4cad810a967449caab723e99c74b1)

020 - HKLM\..\Notify: [schedule] C:\WINDOWS\system32\wlnotify.dll (93184 72e4cad810a967449caab723e99c74b1)

020 - HKLM\..\Notify: [sclgntfy] C:\WINDOWS\system32\sclgntfy.dll (21504 5ff2551a3d740476f06b20f59cd7f0be)

020 - HKLM\..\Notify: [sensLogn] C:\WINDOWS\system32\WlNotify.dll (93184 72e4cad810a967449caab723e99c74b1)

020 - HKLM\..\Notify: [termsrv] C:\WINDOWS\system32\wlnotify.dll (93184 72e4cad810a967449caab723e99c74b1)

020 - HKLM\..\Notify: [wlballoon] C:\WINDOWS\system32\wlnotify.dll (93184 72e4cad810a967449caab723e99c74b1)

Kuma · March 16, 2007

Ciao e Ben arrivato/a nel forum, ...lovesong
Ti invito a personalizzare la tua presenza in WinInizio aggiungendo una firma e un'avatar al tuo profilo personale;

se non sai come fare clicca qui

Se non lo hai già fatto, e vuoi presentarti alla comunità perchè non fai un salto in "Benvenuto", la discussione creata proprio per accogliere i nuovi iscritti. (Naturalmente non sei obbligato a farlo )

Ricordati, infine, di aprire nuove discussioni usando titoli specifici: un titolo troppo generico come "Aiuto" o "Consiglio" è inutile perchè non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Buona permanenza in WinInizio!

Mi riporti qui i valori che hai in questa chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individuare nella finestra di destra USERINIT

doppio click sulla chiave e copia i valori (poi incollali qui)

Per il momento non eliminare nulla...

lovesong · March 16, 2007

C:\WINDOWS\system32\userinit.exe,

Luke57 · March 16, 2007

Ciao, guarda se hai questa chaive di registro e, se sì, che cosa c'è al suo interno:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (se c'è è aggiunta dal malware).

Steve75 · March 16, 2007

Ciao ,

Scarica Virit

Installalo/aggiornalo e fai uno scan completo del sistema

Fai anche uno scan con AVG Antirootkit

* al limite fai anche uno scan online Kaspersky in questo modo

POsta i 3 log

Kuma · March 16, 2007

La chiave è OK...

visto che dici,E' da circa una settimana.... prova semplicemente a fare un ripristino di configurazione ad una data antecedente il problema

lovesong · March 16, 2007

"c:\windows\system32\mkcssrhd.ver"

lovesong · March 16, 2007

Ciao, guarda se hai questa chaive di registro e, se sì, che cosa c'è al suo interno:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (se c'è è aggiunta dal malware).

c'è questo

"c:\windows\system32\mkcssrhd.ver"

Luke57 · March 16, 2007

"c:\windows\system32\mkcssrhd.ver"

Ciao, è la nuova versione del malware che ha abbondonato Userinit.

Guarda qui:

http://www.tgsoft.it/italy/index_ita.html

Va eliminata l'intera chiave explorer.exe

(click tasto dx del mouse sulla voce e scegli Elimina. Se non si facesse eliminare, evidenzi la voce click tastodx> nella nuova finestra scegli Autorizzazioni>Avanzate>proprietario>imposti la proprietà al nome Utente>OK, torni alla pagina precedente metti tutte le spunte alle voci controllo completo e in lettura>OK. Provi poi a eliminare la voce con click tasto dx e scegli elimina)

Poi va eliminato anche il file

c:\windows\system32\mkcssrhd.ver

che è sicuramente camuffato e trattasi di un'applicazione.

lovesong · March 16, 2007

ciao ho fatto quello che mi hai detto, hijacksi apre però mi è sparito il desktop

forse ho cancellato xplore e ora sono costretto a far partire i programmi dal task manager.

sai qual è l'eseguibile del ripristino di configurazione sistema? magari lo eseguo e poi rifaccio quello che mi hai consigliato, perchè vedi io nel regedit ho cancellato la chiave "explorer" di destra.

come faccio a farmi riapparire il desktop ed e a ripristinare esplorer altrimenti?

Kuma · March 16, 2007

ciao ho fatto quello che mi hai detto, hijacksi apre però mi è sparito il desktop
forse ho cancellato xplore e ora sono costretto a far partire i programmi dal task manager.

sai qual è l'eseguibile del ripristino di configurazione sistema? magari lo eseguo e poi rifaccio quello che mi hai consigliato, perchè vedi io nel regedit ho cancellato la chiave "explorer" di destra.

come faccio a farmi riapparire il desktop ed e a ripristinare esplorer altrimenti?

system32\restore\rstrui.exe

lovesong · March 16, 2007

non mi appare start non mi appare la barra delle applicazioni e il desktop ha solo il colore di fondo.

Posso eseguire tutto dal task manager.

ho eseguito il ripristino di configurazione sistema ma mi ha ripristinato solo il problema del linkoptimizer niente desktop.

Che faccio?

lovesong · March 16, 2007

questo è il log di hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 16.32.00, on 16/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Programmi\Internet Explorer\IEXPLORE.EXE

C:\Hijakthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/advanced_search?hl=it

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Tin.it

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\RunOnce: [*Restore] C:\WINDOWS\system32\restore\rstrui.exe -c

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{29D52F02-B531-4977-B10B-41B28D257420}: NameServer = 85.37.17.58 85.38.28.94

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)

Luke57 · March 16, 2007

Ciao, apri regedit.exe , aperto l'editor segui il percorso HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, clic su quest'ultima cartella, verifica che tra le stringhe ci sia la seguente:

Shell Explorer.exe

Se non c'à, Modifica>Nuovo>stringa, nello spazio scrivi Shell>OK.

Creata la nuova stringa, doppio click su Shell e in dati valori scrivi

Explorer.exe>OK. Chiudi il registro.

lovesong · March 16, 2007

In questo percorso:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, c'è il valore

Shell Explorer.exe ma senza .

in sistemini non c'è questo è il io sistem ini:

; for 16-bit app support

[drivers]

wave=mmdrv.dll

timer=timer.drv

[mci]

[driver32]

[386enh]

woafont=app850.FON

EGA80WOA.FON=EGA80850.FON

EGA40WOA.FON=EGA40850.FON

CGA80WOA.FON=CGA80850.FON

CGA40WOA.FON=CGA40850.FON

lovesong · March 16, 2007

:wub: :angry: :up1: :angry: :angry: :whip: :whip:

GRANDE LUKE SEI UN SANTO!

TUTTO RISOLTO.

GRAZIE INFINITE.

SE TI PUò INTERESSARE QUESTO è IL NUOVO LOG DI HJT

DAGLI UNO SGUARDO SE TI VA, CHE TI HO GIà STRESSATO ABBASTANZA

GRAZIE ANCORA.

Logfile of HijackThis v1.99.1

Scan saved at 17.21.33, on 16/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Hijakthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/advanced_search?hl=it

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Tin.it

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)

CHE DICI IL FILE MISSING LO FIXO?

Kuma · March 16, 2007

Ciao... installa un firewall migliore di quello di XP... leggi qui:

http://forum.wininizio.it/index.php?s=&amp...st&p=251104

Fissa queste voci con Hijakc( tieni tutte le applicazioni chiuse quando le fissi)

O20 - AppInit_DLLs:

Quel file missing, lascialo, a volte Hijack segnala file legittimi come inesistenti... il file non è pericoloso ed e' una parte del programma Microsoft Windows media player 10 e precedenti.

Se poi puoi evitare di scrivere tutto in maiuscolo ... che secondo le regole di Internet equivale ad urlare

(grazie)... Ok OK... capito.... eri contento

lovesong · March 16, 2007

Grazie e scusa per il maiuscolo, ma come hai intuto ero felice.

Kuma · March 17, 2007

:wub: dalla sfilza di Emoticons e poi dalla scritta "Tutto risolto"

Felice che hai risolto... se hai ancora bisogno restiamo a disposizione

Linkoptimizer Irremovile Aiuto

19 messaggi in questa discussione

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Crea un account o accedi per lasciare un commento

Crea un account

Accedi