Strana variante Linkoptimizer

[Pess]

Ho un grave problema con questo dannato virus: nonostante NON abbia nessun nuovo nome utente creato in "Documents and settings" e l'unico removal tool che mi parte non lo rileva, continuo ad avere tutti gli altri effetti di questo dannatissimo rootkit (mi blocca alcuni sito tra i quali proprio questo, mi blocca l'installazione di alcuni programmi quali virit o CC cleaner)...
E possibile che sia stato infettato da un altro rootkit diverso ma con gli stesi effetti?

Vi prego, aiutatemi

[Pess]

Ho fatto anche una scansione Online con Bit Defender e non ha trovato nulla, ma i programmi che dovrebbero risolvere tutti i problemi di apertura programmi e siti (Virit e CCcleaner ad esempio) non partono nemmeno se rinomino i file...

[wjmat]

Ciao benvenuto nel pronto soccorso di HU.
guarda qui la guida per la rimozione di Gromozon

[Pess]

Quote:

Originariamente inviato da wjmat

Ciao benvenuto nel pronto soccorso di HU.
guarda qui la guida per la rimozione di Gromozon

Si, quello è l'unico kit per la rimozione che mi parte e mi dice che non sono infetto... Ma a parte i file eseguibili e l'utente nascosto che non ritrovo sul mio PC ho tuti gli altri sintomi... Quello che mi preoccupa è che non funzionano proprio i programmi più aggiornati per la sua rimozione, quindi penso che o è una nuova variante del Gromzon, oppure è un rootkit diverso...

[wjmat]

Leggi le regole di sezione e poi prova a seguirela guida alla disinfezione per infetti ed esegui tutte le scansioni nell'ordine indicato.
I tool scaricateli da un altro e poi vediamo.
kaspersky preferiscilo a f-secure cosi lo installi e non ti serve la connessione
poi per il resto vediamo

[xcdegasp]

per a-squared usa la versione da linea di comando così dovremmo avere maggiori probabilità di successo

[Pess]

Grazie mille ragazzi!! In serata proverò la guida per la disinfezione sperando che vada tutto bene... Cmq spero solo che questo bastardo di un rootkit che mi ha colpito mi consenta di usare i programmi indicati nella guida, quelli che ho già provato me li bloccava anche se li rinominavo e scaricavo da un altro pc...

[Pess]

Forse ho qualche novità:ho installato AVG anti-rootkit free ed ho visto che mi trova un driver nascosto in System32 nella directory di Windows (estensione .SYS). Il nome sembra generato casualmente a se vado a cancellarlo ne ritrovo subito un altro con nome casuale diverso... Tutte le varie scansioni anche on-line che ho fatto non hanno prodotto risultati perciò mi pare strano che un eventuale generatore sia passato inosservato...

[wjmat]

della guida cosa sei riuscito a fare?

[Pess]

Il tool per la rimozione Prevx mi dice che il PC è pulito...

[wjmat]

questa guida
http://www.hwupgrade.it/forum/showthread.php?t=1599737

[Pess]

Appena posso la provo, anche se alcuni test della lista li ho già fatti ma senza risultato (come ad esempio PrevxCSI on-line)... Sento stranamente il formattone sempre più vicino

P.S.: Grazie mille dell'aiuto che mi state dando!!

[wizard1993]

oltre alla guida, che puoi fare nella sua interezza, installa prevx 2.0 in trial e lancia una scansione completa; dopo averlo aggiornato (se trova qualcosa (sicuramente) è uno dei pochi che sa rimuovere da vero)

[xcdegasp]

io attendo i log anche se non rilevassero nulla nella scansione

[Pess]

Quote:

Originariamente inviato da wizard1993

oltre alla guida, che puoi fare nella sua interezza, installa prevx 2.0 in trial e lancia una scansione completa; dopo averlo aggiornato (se trova qualcosa (sicuramente) è uno dei pochi che sa rimuovere da vero)

A parte un falso positivo (mi rilevava punkbuster che ho in FEAR Combat come malware), prevx 2.0 non mi ha trovato nulla... Ora provo gli altri tool...

[Pess]

In allegato i log di combofix e a-squared.

[Pess]

Oggi Spybot ha individuato ed eliminato "premium search" Dicendomi che poteva essere anche un rootkit... Puodarsi sia questo che mi sta dando tutti questi problemi? Esiste un removal tool in grado di eliminarlo in maniera definitiva?

[wjmat]

spybot non ti abbiamo detto di usarlo è molto limitato
continua con la guida
http://www.hwupgrade.it/forum/showthread.php?t=1599737

[lancetta]

Ciao vedo un hook che non deve esserci
scarica avenger da qua AVENGER
Scompattalo, avvialo, e copia nella nuova finestra, questo script:

Quote:

Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\explorer.exe
Files to delete:
C:\windows\system32\choqwmvq.nls
C:\DOCUME~1\MILITE~1\IMPOST~1\Temp\DMHPVF.exe
C:\DOCUME~1\MILITE~1\IMPOST~1\Temp\LVJMK.exe
C:\DOCUME~1\MILITE~1\IMPOST~1\Temp\BPKJHYFUQI.exe

clicca sul pulsante “Execute”,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

se all'avvio ti appare il desktop vuoto fai così: dal task manager file->nuova operazione (esegui) digiti explorer.exe e dovrebbero apparire le icone dopodichè riprova ad utilizzare i tool per la scansione della guida...dovrebbero funzionare....

[Pess]

Quote:

Originariamente inviato da lancetta

Ciao vedo un hook che non deve esserci
scarica avenger da qua AVENGER
Scompattalo, avvialo, e copia nella nuova finestra, questo script:

clicca sul pulsante “Execute”,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

se all'avvio ti appare il desktop vuoto fai così: dal task manager file->nuova operazione (esegui) digiti explorer.exe e dovrebbero apparire le icone dopodichè riprova ad utilizzare i tool per la scansione della guida...dovrebbero funzionare....

Purtroppo anche Avenger mi viene chiuso in automatico da questo bastardo, anche in modalità provvisoria...