Salve a tutti. Volevo cheidere aiuto per una rimozione problematica di LinkOptimizer dal Pc di un amico che ha WinXP Pro SP2...Ieri mi ha chiamato dicendo che non gli funzionava inernet, ha il PC in rete in ufficio ma lo usa anche per navigare per cose sue.....In effetti IE non andava online, poi ho scoperto che era colpa della Google toolbar che ho rimosso e tutto ha ripreso a funzionare normalmente. Senonché mentre cercavo di capire quale fosse il problema, ho eseguito la scansione del PC con AdAware 6 che ha rilevato e dice di aver rimosso LinkOptimizer (ha trovato 3 referenze), ho quindi installato SpyBot S&D e fatto una scansione, ma non ha rilevato nulla di nuovo. C'era già come antivirus AVG e ho installato in aggiunta AVG AntiSpyware che ad una scansione non hanno rilevato nulla di anomalo a parte 3 cookies traccianti, eliminati. Il problema è che rimangono tracce di "stranezze" sul PC:
1. Da Pannello di controllo-Sistema-Avanzate-Profili utente si vede un fantomatico utente rtkgWJLe che elimino e prontamente al riavvio si ripresenta, e che resta invisibile dal pannello di gestione utente.
2. Ho cercato di utilizzare HiJackThis ma dopo pochi secondi dall'apertura viene chiuso all'improvviso e non riesco a far analizzare il sistema.
3. Il tool di rimozione di Linkoptimizer scaricato dal sito Symantec non parte nemmeno in esecuzione. Ne ho provati altri due a campione ma nessuno si avvia.
4. Ho provato a fare una scansione online con il Panda Antivirus ma si blocca prima della scansione dicendo che c'è un problema ad installare l'ActiveX necessario.
5. Nei processi attivi che posso vedere in TM trovo un " wowexec.exe" che se non avesse lo spazio davanti al nome sarebbe un processo per la compatibilità dei SW a 16 bit su XP, solo che se analizzo i processi da Start-Programmi-Accessori-Utilità di Sistema-MSI-Ambiente di software-Task in esecuzione esso non compare...
6. AVG ad un certo punto ha trovato due files infetti, con questi nomi: NortonNetwork.exe e macromediastorage.exe entambi presenti nella cartella c:\Windows\system32\ che ho eliminato sia come files che come presenze nel registro di sistema.
7. Ho trovato la presenza di un software denominato D-zilla che ho disinstallato e di cui ho rimosso tutto quello che potevo dal registro di sistema.
:muro:
Da tutte queste "stranezze" probabilmente le infezioni sono anche più di una. Qualcuno di voi mi può suggerire cosa posso fare per cercare di ripulire il PC del mio amico? Attualmente gli ho intimato assolutamente di non usare quella macchina per connettersi all'Home banking, e gli ho creato un account senza privilegi di amministratore per navigare per le sue cose personali... Mi è venuto in mente che non ho provato il tool remover in modalità provvisoria. HiJackThis sarebbe inutile provarlo perchè ovviamente i processi attivi sarebbero ridotti...oppure ha un senso provarlo in modalità provvisoria, almeno per vedere se funziona?

Spero di non essere stata troppo lunga nella descrizione, ma è un mio vizio essere pignola in queste cose....Attendo consigli da voi che siete più esperti :)

vai in start>pannello di controllo>prestazioni e manutenzione>strumenti di amministrazione>servizi.

scorri la lista controllando la colonna connessione fino a trovarne uno con scritte senza senso(es.Nhpwnoièwmuè),cliccaci col tasto destro>proprietà

copia ed incolla qui il percorso del file a cui fa riferimento.Poi imposti tipo di avvi0 disabilitato e clicchi su "arresta"

Vai a cancellare il file al quale faceva riferimento il servizio e cancelli anche la cartella in \Documents and settings\ dell'utente sconosciuto. poi fai una scansione con avg e cancelli tutto quello che trova

:mbe:

Salve a tutti. Volevo cheidere aiuto per una rimozione problematica di LinkOptimizer dal Pc di un amico che ha WinXP Pro SP2...Ieri mi ha chiamato dicendo che non gli funzionava inernet, ha il PC in rete in ufficio ma lo usa anche per navigare per cose sue.....In effetti IE non andava online, poi ho scoperto che era colpa della Google toolbar che ho rimosso e tutto ha ripreso a funzionare normalmente. Senonché mentre cercavo di capire quale fosse il problema, ho eseguito la scansione del PC con AdAware 6 che ha rilevato e dice di aver rimosso LinkOptimizer (ha trovato 3 referenze), ho quindi installato SpyBot S&D e fatto una scansione, ma non ha rilevato nulla di nuovo. C'era già come antivirus AVG e ho installato in aggiunta AVG AntiSpyware che ad una scansione non hanno rilevato nulla di anomalo a parte 3 cookies traccianti, eliminati. Il problema è che rimangono tracce di "stranezze" sul PC:
1. Da Pannello di controllo-Sistema-Avanzate-Profili utente si vede un fantomatico utente rtkgWJLe che elimino e prontamente al riavvio si ripresenta, e che resta invisibile dal pannello di gestione utente.
2. Ho cercato di utilizzare HiJackThis ma dopo pochi secondi dall'apertura viene chiuso all'improvviso e non riesco a far analizzare il sistema.
3. Il tool di rimozione di Linkoptimizer scaricato dal sito Symantec non parte nemmeno in esecuzione. Ne ho provati altri due a campione ma nessuno si avvia.
4. Ho provato a fare una scansione online con il Panda Antivirus ma si blocca prima della scansione dicendo che c'è un problema ad installare l'ActiveX necessario.
5. Nei processi attivi che posso vedere in TM trovo un " wowexec.exe" che se non avesse lo spazio davanti al nome sarebbe un processo per la compatibilità dei SW a 16 bit su XP, solo che se analizzo i processi da Start-Programmi-Accessori-Utilità di Sistema-MSI-Ambiente di software-Task in esecuzione esso non compare...
6. AVG ad un certo punto ha trovato due files infetti, con questi nomi: NortonNetwork.exe e macromediastorage.exe entambi presenti nella cartella c:\Windows\system32\ che ho eliminato sia come files che come presenze nel registro di sistema.
7. Ho trovato la presenza di un software denominato D-zilla che ho disinstallato e di cui ho rimosso tutto quello che potevo dal registro di sistema.
:muro:
Da tutte queste "stranezze" probabilmente le infezioni sono anche più di una. Qualcuno di voi mi può suggerire cosa posso fare per cercare di ripulire il PC del mio amico? Attualmente gli ho intimato assolutamente di non usare quella macchina per connettersi all'Home banking, e gli ho creato un account senza privilegi di amministratore per navigare per le sue cose personali... Mi è venuto in mente che non ho provato il tool remover in modalità provvisoria. HiJackThis sarebbe inutile provarlo perchè ovviamente i processi attivi sarebbero ridotti...oppure ha un senso provarlo in modalità provvisoria, almeno per vedere se funziona?

Spero di non essere stata troppo lunga nella descrizione, ma è un mio vizio essere pignola in queste cose....Attendo consigli da voi che siete più esperti :)

se c'è link optimizer è dura, probabilmente hai anche i simpatici spoolw.exe e
igfxsvc.exe; con hijack prova in modalità provvisoria,prova eventualmente a passare prewx2, avg antirootkit e vedere cosa ti dà gmer , a me un pc con linkoptimizer ed altre boiate ha portato via 3 orette di lavoro....o al limite un bel format :O

Grazie dei consigli...forse riuscirò ad andare dal mio amico venerdì e proverò i suggerimenti che mi avete dato.
Bugs Bunny, se trovo un servizio dal nome strano posterò qui il riferimento.
Spero di sistemare...mi mettono sempre un po' di ansia i Pc con virus e schifezze varie...ma i miei amici chiamano sempre me perchè dicono che sono "esperta"... :doh:
Si, forse rispetto a loro lo sono, ma ne ho ben di cose da imparare ancora! :stordita:
A presto con la conclusione della situazione...speriamo positiva!
Buona serata.

Purtroppo ieri non son riuscita ad andare dal mio amico...è tornato tardi dal lavoro e doveva uscire con la fidanzata...vabbè, alle fidanzate non si può dir di no :) i virus invece se il computer è spento non fanno danni.
Appena riesco a metterci le mani sopra a quel PC e a fare quello che mi avete suggerito vi informo dei risultati...grazie ancora.
Buon weekend!

Salve a tutti, finalmente sono riuscita a rimettere le mani sul PC infetto del mio amico...che casino!
Andiamo con ordine in base ai vostri suggerimenti, tutti eseguiti in modalità provvisoria:
Bugs Bunny:
ho guardato fra i servizi attivi e ho trovato il seguente: UpdOig
E' in modalità automatica ma non risulta avviato perchè il tasto destro mi mostra solo l'opzione "Avvia" cliccabile fra le attività.
Il percorso del file collegato è: C:\Programmi\File Comuni\System\IFS.exe e manualmente non si elimina, dice che il file è in uso. Me lo ha cancellato un successivo utilizzo del Kit di rimozione Gromozon + Linkoptimizer di Prevx e sono anche riuscita a cancellare tutte le cartelle relative allo strano utente nascosto rtkgWJLa, ce n'erano tre con questo nome nel nome cartella.
Ho trovato anche strana una cartella nel disco C:\d887776853a86a7619\ con dentro un file di testo che si chiama "msxml4-KB927978-enu.log"...
mcatk:
ho cercato i files spoolw.exe e igfxsvc.exe fra i files nascosti ma non li ho trovati...in compenso hijack e gmer non funzionano nemmeno in modalità provvisoria e neanche riesco a rinominarli. Appena ci metto "mano" con il mouse sembra che ci sia un refresh globale del desktop e mi spariscono le finestre delle cartelle che li contengono e non riesco ad avviarli.

Tra l'altro in modalità provvisoria non riesco nemmeno ad andare online è così non posso nemmeno usare dei tools via web. Mentre in modalità normale questo sito non era raggiungibile né con IE né con Mozilla, così come i siti di www.pcalsicuro.it e www.pandasoftware.com

Da un altro PC sono riuscita a scaricare un Tool di Nod32 per il trojan Agent.VP che era segnalato su una guida alla rimozione di Linkoptimizer trovata sul sito www.notrace.it e con questo tool sono riuscita a cancellare due files strani chew si trovavano in C:\Windows\ e in C:\Windows\System32\ dai nomi NortonNetwork.exe e macromediastorage.exe ma al successivo riavvio il secondo si è ricreato e ogni tanto AVG lo rileva come infetto ma non mi permette di attuare nessuna azione tranne "Ignore". Non si è più ricreato invece l'utente strano rtkgWJLa. Poi ho trovato un file dal nome dialer.exe nella cartella C:\Programmi\Windows NT\ ma se provo a cancellarlo con il Tool di nod32 in realtà me lo rotrovo subito dopo....
:muro:
Alla fine di tutto ho installato la versione di prova di Prevx 2.0, l'ho aggiornata e ho detto al mio amico di farla girare e poi di chiamarmi non appena finisce per dirmi se ha trovato qualcosa...non ce la facevo più a star lì anche per la cena, almeno mangio tranquilla...

Se avete pazienza di farmi sapere come posso muovermi ora o se la situazione è così disperata che un format è la soluzione meno dolorosa....:cry:

Grazie mille e buona serata.

1)apri il task manager
2)termina explorer.exe
3)vai su file>nuova operazione>cerca l'eseguibile di hijackthis ed aprilo,quindi fai un log
5)sempre nel task manager,vai su file>nuova operazione>explorer.exe

a questo punto posti il log

sempre terminando explorer.exe ecc,fai una scansione con gmer e vedi se ti da voci in rosso.

dialer.exe è un file innocuo che viene installato con windows

Chiedo scusa se ci metto così tanto tempo a provare i vostri suggerimenti, ma il mio amico è imprendibile...durante la settimana lavora e nel weekend sfugge con la morosa...Spero domani sera di potermi avvicinare al PC e mettere in pratica i vostri consigli...altrimenti mi toccherà formattargli il PC, allora si che sarò nei guai! :cry:
Grazie ancora, spero di darvi buone nuove presto.

Oggi sono finalmente riuscita a beccare il mio caro amico all'uscita dal lavoro. Il programma PrevX 2.0 installato settimana scorsa non aveva rilevato nulla e nemmeno oggi che l'avevo fatto girare appena arrivata e dopo l'agiornamento...Sempre non restavano aperti Hijackthis e Gmer e questo forum dal browser non andava....Ho seguito i consigli di Bugs Bunny e di seguito posto l'ultima scansione di Hijackthis, ma prima vi racconto il resto della scorsa mezz'ora :)
Sono riuscita ad aprire il sito di pcalsicuro.it e ho seguito le istruzioni del post "Gromozon - il ritorno?" http://www.pcalsicuro.com/main/2007/03/gromozon-il-ritorno/
perchè i sintomi sembravano gli stessi, dopo qualche difficoltà sono riuscita forse a debellare l'antipatico fastidio sul PC del mio amico cancellando con Avenger il file C:\windows\system32\oaitmcvb.tmp che era legato ad una chiave di registro segnalata nell'articolo e collegata a explorer.exe. Dopodichè tutto sembra essere tornato alla normalità: niente più utente strano, i programmi Hijackthis e Gmer funzionano senza dover arrestare explorer.exe....solo IE si avvia nel taskmanager ma non come finestra visibile. Per questo problema ho pensato di provare ad installare la versione 7 dato che ora c'è la 6 sul PC.
Per verifica posto l'ultima scansione eseguita in ordine di tempo dopo la pulizia che ho fatto, così eventualmente mi suggerite se devo fixare ancora qualcosa. In questi giorni di attesa ho letto un po' degli altri post per farmi un'idea di come fare a ripulire un PC ancora meglio....siete davvero i migliori!

Ecco il LOG, e con GMER non c'erano voci colorate di rosso in nessuna delle sezioni di analisi...Per sicurezza farò girare di nuovo il tool di rimozione di gromozon&C trovato su pcalsicuro.it....intanto vi ringrazio ancora tutti per l'aiuto!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17.26.34, on 23/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Prevx2\PXAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\Prevx2\PXConsole.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Sun\StarOffice 8\program\soffice.exe
C:\Programmi\Sun\StarOffice 8\program\soffice.BIN
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\1\Desktop\remove malware\HiJackThis_v2.exe
C:\WINDOWS\system32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {309199D5-6D76-3796-EE29-3093E5A0AE37} - C:\WINDOWS\bhlbh1.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: Class - {77968663-E35F-7032-6BBF-0FB41EDA72D1} - C:\WINDOWS\bhlbh1.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx2\PXConsole.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: StarOffice 8.lnk = C:\Programmi\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D812CDD0-83C6-40B9-B452-3A33F8DFEF4E}: NameServer = 212.216.112.112,212.216.172.62
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Prevx Agent (PREVXAgent) - Prevx - C:\Programmi\Prevx2\PXAgent.exe
O23 - Service: UpdOiq - Unknown owner - C:\Programmi\File comuni\System\lFS.exe (file missing)
O24 - Desktop Component 0: (no name) - http://193.204.40.13/monnalisa/gal/Stagione%202005/Broni/4_10.jpg

--
End of file - 5880 bytes