*** Removal Tool LinkOptimizer / Gromozon ***

[pfaff]

Sono pulito (scansione è risultata negativa), cosa faccio, installo qualcosa?

[bReAkDoWn]

Quote:

Originariamente inviato da schumy2006

Volevo precisare che prevx1 event mi informa in questo modo:
appena mi collego:

SVCHOST.EXE Create Server Listener
(e dopo qualche secondo: )
SVCHOST.EXE NetBIOS OUT
SVCHOST.EXE HTTP Out
SVCHOST.EXE Create File
SVCHOST.exe Del File

e va avanti con questi avvisi....

Ho Prevx1 installato su 2 PC, ma solo su 1 PC mi segnala questi comportamenti da parte di SVCHOST... Questo PC era stato infettato da Gromozon che poi ho rimosso col tool Prevx... Successivamente ho installato il Service pack 2 per Win XP PRO, ...prima non c'era neanche l'SP1...

Cmq come mai queste segnalazioni su SVCHOST sono presenti solo su un PC ?
Sull'altro PC queste segnalazioni di Prevx1 riguardanti SVCHOST.EXE non ci sono (ha sempre avuto il service pack 2... e non e' mai stato infettato da Gromozon)...

Ma hai eliminato il servizio di cui parlavamo alcuni post sopra?

[schumy2006]

Ciao, scusa ma non ci ho capito molto su come eliminarlo...
Mi sono limitato a disabilitare l'avvio e a disattivare quell'account...

Ho scaricato Virit lite, l'ho aggiornato ed eseguito una scansione completa, ma non mi trova nulla...

Nel manuale di tgsoft dice che Virit elimina in automatico tutte le varianti finora scoperte....

Cos'altro devo fare ?
GRAZIE !!

[Special]

Quote:

Originariamente inviato da schumy2006

Ciao, scusa ma non ci ho capito molto su come eliminarlo...
Mi sono limitato a disabilitare l'avvio e a disattivare quell'account...

Ho scaricato Virit lite, l'ho aggiornato ed eseguito una scansione completa, ma non mi trova nulla...

Nel manuale di tgsoft dice che Virit elimina in automatico tutte le varianti finora scoperte....

Cos'altro devo fare ?
GRAZIE !!

Quote:

Originariamente inviato da Special

Avg Anti-Rootkit lo rileva ma non riesce ad eliminarlo.
blbeta di F-Secure non parte - Non riesce a prendere i privilegi (SeDebugPrivilege)
FixLinkopt di symantec non parte il file di "istallazione"
IceSword non parte
Sophos rileva diversi file, mi dice che li elimina ma poi non riesce a farlo.
SpywareBlaster è inutile
SUPERAntispyware non parte il file di istallazione
gmer non parte il file di istallazione
VirIT si istalla, parte, ma non rileva nulla.
rootkitrevealer non parte il file di istallazione.

Virit, se ti sei preso l'ultima versione, non serve a na cippa..

[sangueimpazzito]

Quote:

Originariamente inviato da schumy2006

Ciao, scusa ma non ci ho capito molto su come eliminarlo...
Mi sono limitato a disabilitare l'avvio e a disattivare quell'account...

Ho scaricato Virit lite, l'ho aggiornato ed eseguito una scansione completa, ma non mi trova nulla...

Nel manuale di tgsoft dice che Virit elimina in automatico tutte le varianti finora scoperte....

Cos'altro devo fare ?
GRAZIE !!

Leggi qua:

Quote:

Originariamente inviato da bReAkDoWn

Ma riferendomi al servizio che ti è rimasto, ti suggerisco di guardare nelle sue proprietà il nome del suo eseguibile, andare a cercarlo e vedere se effettivamente esista. Se esiste e non è possibile cancellarlo, prova a rinominarlo, e al prossimo avvio dovrebbe essere cancellabile. Puoi provare a rimuoverlo anche con il tool di rimozione di agent di nod32 se vuoi.
Poi potrai cancellare il servizio da prompt dei comandi con il comando sc delete nomeservizio.
Perlomeno questi passaggi funzionano con le vecchie varianti di agent/linkopt, adesso non so se qualcosa sia cambiato.

[schumy2006]

Quote:

Originariamente inviato da juninho85

trovate nuove varianti del link optimizer.
non riuscite ad apire hijackthis,un qualsiasi antivirus,antispyware,firewall,forum di informatica o qualsiasi altro programma che abbia a chè fare con la sicurezza?
leggete qui:
a procedura di rimozione del rootkit è costituita da più fasi ed è complessa da eseguire manualmente.
Gli utenti della versione PROFESSIONAL possono telefonare alla TG Soft Tel. 049631748 per l'assistenza tecnica.

Prima di procedere è necessario installare VirIT eXplorer e aggiornarlo all'ultima versione (menu TOOLS->Aggiornamenti OnLine) con i diritti di Administrator. E' importante aggiornarlo, perché in questa fase viene attivato un servizio di VirIT necessario alla rimozione del rootkit.

Dopo averlo aggiornato riavviare il computer, al successivo boot sarà attivo VirIT Secuirty Monitor (nella versione Professional) o VirIT Lite Monitor (nella versione Lite) vicino all'orologio di Windows.

Aspettare almeno 2 minuti prima di procedere alla fase 1, in questo periodo il sistema di Intrusion Detection di VirIT assegnerà le autorizzazioni necessarie all'utente corrente per accedere al servizio incriminato della fase 1.

FASE 1:

In questa fase dobbiamo disabilitare un servizio creato dal malware. Il nome del servizio è casuale, cioè cambia da infezione a infezione.

Gli utenti della PROFESSIONAL possono contattare l'assistenza tecnica, la quale indicherà il nome del servizio da disabilitare.


Dal pannello di controllo, clickare su STRUMENTI DI AMMINISTRAZIONE e dopo su SERVIZI.
Ora compare la lista dei servizi, nella colonna "Connessione" troverete le voci "Sistema Locale", "Servizio di rete" e una voce insolita:

".\nome casuale".



Il "nome casule" indica il nome di un utente creato dal malware nel vostro computer.

Selezionare il servizio incriminato relativo alla connessione ".\nome casuale", clickare il tasto destro del mouse, facendo comparire il menu a tendina e selezionare PROPRIETA'.

Dalle proprietà del servizio, dovete segnarVi la cartella ed il file del servizio che trovate sotto a "PERCORSO FILE ESEGUIBILE" (questo vi servirà per cancellare i file successivamente).

Successivamente impostare il TIPO DI AVVIO: DISABILITATO (importantissimo!)
A questo punto riavviare il computer e passare alla fase 2.

Se Windows non vi permette di disabilitare il servizio incriminato, allora dovete riavviare il computer in modalità provvisoria, ed eseguire la procedura:
1) Eseguire il programma REGEDIT e selezionare il percorso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOME_DEL_SERVIZIO_INCRIMINATO
2) Modificare il valore di START da 2 a 4 relativo al servizio incriminato
3) Riavviare il computer



FASE 2:

Prima di procedere è consigliabile chiudere tutti i programmi e aggiornare VirIT all'ultima versione (menu TOOLS->Aggiornamenti OnLine).

Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica.

La fase 2 va eseguita dalla modalità normale, seguendo alla lettera tutti i passi della procedura.

1) Eseguire il programma REGEDIT e selezionare il percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
2) Ridurre ad icona il REGEDIT
3) Eseguire il file C:\VIRITEXP\GOVIRITEXPSVC.BAT (IMPORTANTISSIMO!!!) (per gli utenti della Lite c:\vexplite\GOVIRITEXPSVC.BAT)
4) Da VirIT eXplorer clickare sul menu TOOLS->Process Manager
5) Scrivere nel box relativo a "Terminare i thread in base all'indirizzo" il valore 2a93671a oppure il valore 3ee85b73 (oppure 2bb34c8c) a seconda della variante, e dopo clickare varie volte sul pulsante "Kill Thread"

Rootkit valore

Trojan.Win32.Rootkit.D 2a93671a

Trojan.Win32.Rootkit.E 3ee85b73

Trojan.Win32.Rootkit.F 2bb34c8c

Trojan.Win32.Rootkit.G 2a2a3889

Trojan.Win32.Rootkit.H 3e1e6857

Trojan.Win32.Rootkit.I 3e524cd7

Trojan.Win32.Rootkit.J 2a1969d5

N.B: Si consiglia di ripetere l'operazione di Kill Thread per tutti i valori indicati

6) Uscire da VirIT eXplorer Pro
7) Adesso clickare sul programma Regedit ridotto ad icona, selezionare con tasto destro il nome AppInit_DLLs clickare su MODIFICA, compare la finestra Modifica stringa, scrivere nel campo Dati valore: prova.dll e confermare
8) Premere varie volte il pulsante F5, per verificare se su AppInit_DLLs rimane scritto nella colonna DATI il valore Prova.dll, altrimenti ripetere la fase 2.
9) Adesso lasciando aperti tutti i programmi premere il pulsante RESET del computer (quello del case) per riavviarlo brutalmente (importante). Se il computer è sprovvisto di pulsante di RESET, allora togliere l'alimentazione elettrica. Per i computer notebook, bisogna operare senza la batteria e collegarlo solo all'alimentazione della rete elettrica. Non servono a niente riavviare il computer o chiudere la sessione, perché il rootkit viene eseguito di nuovo, l'unico modo è quello di "resettare" il computer.

Al successivo riavvio verificare se AppInit_DLLs è uguale a "Prova.dll"


FASE 3:
Se AppInit_DLLs è diverso da "Prova.dll" si deve ripetere la FASE 2.

Adesso eseguire VirIT eXplorer Pro/Lite e procedere alla scansione anti-virus per rimuovere il rootkit.

VirIT, molto probabilmente troverà dei file infetti che verranno rimossi.
Nel caso VirIT eXplorer Pro trovi dei file SOSPETTI segnalati come POSSIBILI VIRUS DI NUOVA GENERAZIONE, contattare TG Soft per l'assistenza (solo per i clienti della versione Professional in assistenza)..

Per i clienti della versione Professional, si consiglia di inviare il file di esecuzione automatica, da VirIT Security Monitor clickare sull'uomo spia e dopo su INVIA MAIL.

Nella FASE 1, vi è stato detto di segnarVi il percorso del file del servizio incriminato, per eliminare questo file, si deve verificare se è un file CRITTOGRAFATO.
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.

N.B.: In Windows XP HOME Edition la scheda PROTEZIONE è visibile solo dalla modalità provvisoria.

In Windows XP Professional la scheda PROTEZIONE è visibile se non è selezionato nelle OPZIONI CARTELLA la voce "Utilizza condivisione file semplice (scelta consigliata)". Per accedere alle OPZIONI CARTELLA: da RISORSE DEL COMPUTER menu STRUMENTI->OPZIONI CARTELLA->VISUALIZZAZIONE nelle IMPOSTAZIONE AVANZATE togliere il flag da "Utilizza condivisione file semplice (scelta consigliata)".

Io mi sono fermato al punto 6, poiche' al 7 non trovo la voce AppInit_DLLs
in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows


Facendo pero' una ricerca nell'intero registro, la voce AppInit_DLLs l'ho trovata invece in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows

(mi sapete dire se si tratta della voce incriminata o se e' normale che ci sia ?)

Piu' precisamente AppInit_DLLs trovata nel percorso anzidetto ha i seguenti "valori":
Nome: AppInit_DLLs
Tipo: REG_SZ
Dati: SYS:Microsoft\Windows NT\CurrentVersion\Windows

Cosa faccio ? Continuo la procedura anche se AppInit_DLLs si trova in un altro percorso del registro ? Non vorrei fare danni................

CIAO e GRAZIE !!

[schumy2006]

Quote:

Originariamente inviato da sangueimpazzito

Leggi qua:
Originariamente inviato da bReAkDoWn
Ma riferendomi al servizio che ti è rimasto, ti suggerisco di guardare nelle sue proprietà il nome del suo eseguibile, andare a cercarlo e vedere se effettivamente esista. Se esiste e non è possibile cancellarlo, prova a rinominarlo, e al prossimo avvio dovrebbe essere cancellabile. Puoi provare a rimuoverlo anche con il tool di rimozione di agent di nod32 se vuoi.
Poi potrai cancellare il servizio da prompt dei comandi con il comando sc delete nomeservizio.
Perlomeno questi passaggi funzionano con le vecchie varianti di agent/linkopt, adesso non so se qualcosa sia cambiato.

Il percorso del file che ho trovato da PANNELLO DI CONTROLLO > STRUMENTI DI AMM.NE > SERVIZI
e' il seguente:
C:\programmi\File comuni\System\esk.exe

ma del file esk.exe nessuna traccia....

mha...

[sangueimpazzito]

Hai controllato che non sia un file nascosto?

[schumy2006]

Quote:

Originariamente inviato da sangueimpazzito

Hai controllato che non sia un file nascosto?

Si ho controllato, non si vede nulla......

CIAO !!

[schumy2006]

Ieri sera mi ha risposto il supporto Prevx dicendomi che entro l'11 o al max. il 12 ottobre sara' rilasciato il nuovo tool gratuito x la rimozione delle altre varianti !!!
GRANDI !!!

Cmq nessuno mi ha ancora risposto se la AppInit_DLLs che ho trovato e' quella dannosa...

Facendo una ricerca nell'intero registro, la voce AppInit_DLLs l'ho trovata in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows

e quindi NON nel percorso decscritto x fare la procedura con VirIT...

(mi sapete dire se si tratta della voce incriminata o se e' normale che ci sia ?)

Piu' precisamente AppInit_DLLs trovata nel percorso anzidetto (...IniFileMapping\win.ini\Windows) ha i seguenti "valori":
Nome: AppInit_DLLs
Tipo: REG_SZ
Dati: SYS:Microsoft\Windows NT\CurrentVersion\Windows

Posso continuare la procedura o aspetto il nuovo tool Prevx ?

Ciao e GRAZIE !!

[Sh0K]

Raga io vi dò un'altro consiglio per risolvere "velocemente" il problema:
1. se l'os incriminato è infetto mettete l'hard disk in un altro computer
2. fate la scansione con prevx1 (non il tool), virit e avast
3. rimettete l'hard disk nel pc, eliminate i file infetti rimanenti in file comuni, eliminate l'utente sdXxxar da strumenti di amministrazione gestione computer utenti e gruppi locali user, eliminate il servizio creato nel registro ma ricordate che l'utente admin deve diventare proprierario di quella chiave di registro

Ho risolto così per diversi clienti poi fate vobis

[groot]

Quote:

Originariamente inviato da Sh0K

Raga io vi dò un'altro consiglio per risolvere "velocemente" il problema:
1. se l'os incriminato è infetto mettete l'hard disk in un altro computer
2. fate la scansione con prevx1 (non il tool), virit e avast
3. rimettete l'hard disk nel pc, eliminate i file infetti rimanenti in file comuni, eliminate l'utente sdXxxar da strumenti di amministrazione gestione computer utenti e gruppi locali user, eliminate il servizio creato nel registro ma ricordate che l'utente admin deve diventare proprierario di quella chiave di registro

Ho risolto così per diversi clienti poi fate vobis

una delle migliori soluzioni, però alcuni "virus" si rimuovono solo se è in "moto" il sistema operativo, comunque è sicuramente il primo passo da fare.

O usare AVAST! CD.

[eraser]

Quote:

Originariamente inviato da schumy2006

Ieri sera mi ha risposto il supporto Prevx dicendomi che entro l'11 o al max. il 12 ottobre sara' rilasciato il nuovo tool gratuito x la rimozione delle altre varianti !!!
GRANDI !!!

Per curiositá, chi é che ti ha risposto dell'assistenza tecnica?

Comunque si, in generale le date dovrebbero essere queste. Mi stupisco che abbiano dato queste date perché in parte dipende anche da me, ergo significa che devo muovermi

[Kukuzza]

Quote:

Originariamente inviato da Sh0K

Raga io vi dò un'altro consiglio per risolvere "velocemente" il problema:
1. se l'os incriminato è infetto mettete l'hard disk in un altro computer
2. fate la scansione con prevx1 (non il tool), virit e avast
3. rimettete l'hard disk nel pc, eliminate i file infetti rimanenti in file comuni, eliminate l'utente sdXxxar da strumenti di amministrazione gestione computer utenti e gruppi locali user, eliminate il servizio creato nel registro ma ricordate che l'utente admin deve diventare proprierario di quella chiave di registro

Ho risolto così per diversi clienti poi fate vobis

è fattibile anche da un'altra partizione sulla stessa macchina?

[Sh0K]

Quote:

Originariamente inviato da Kukuzza

è fattibile anche da un'altra partizione sulla stessa macchina?

Credo di si, basta che l'os stia sulla seconda partizione.

[bReAkDoWn]

Quote:

Originariamente inviato da schumy2006

Cmq nessuno mi ha ancora risposto se la AppInit_DLLs che ho trovato e' quella dannosa...

Facendo una ricerca nell'intero registro, la voce AppInit_DLLs l'ho trovata in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows

e quindi NON nel percorso decscritto x fare la procedura con VirIT...

(mi sapete dire se si tratta della voce incriminata o se e' normale che ci sia ?)

Piu' precisamente AppInit_DLLs trovata nel percorso anzidetto (...IniFileMapping\win.ini\Windows) ha i seguenti "valori":
Nome: AppInit_DLLs
Tipo: REG_SZ
Dati: SYS:Microsoft\Windows NT\CurrentVersion\Windows

Posso continuare la procedura o aspetto il nuovo tool Prevx ?

Ciao e GRAZIE !!

Allora, la voce che hai trovato nel registro non è quella interessata dal malware, quindi puoi tranquillamente lasciarla perdere.

Ricapitolando la situazione, gmer ti funziona? Se sì potresti fare due log: rootkit e autostart e postarli nel forum in modo da poterli esaminare. Perchè alla fine, se non hai servizi casuali, se non hai rootkit, se non hai il bho di linkoptimizer, non sei infetto. Perlomeno per quanto riguarda il malware di cui stiamo parlando in questo thread.
A quel punto o hai qualcos'altro o quell'svchost sta eseguendo dei compiti legittimi di sistema. Magari guardando l'indirizzo esatto a cui tenta di connettersi si potrebbero ricavare informazioni più specifiche.

[schumy2006]

Quote:

Originariamente inviato da bReAkDoWn

Allora, la voce che hai trovato nel registro non è quella interessata dal malware, quindi puoi tranquillamente lasciarla perdere.

Ricapitolando la situazione, gmer ti funziona? Se sì potresti fare due log: rootkit e autostart e postarli nel forum in modo da poterli esaminare. Perchè alla fine, se non hai servizi casuali, se non hai rootkit, se non hai il bho di linkoptimizer, non sei infetto. Perlomeno per quanto riguarda il malware di cui stiamo parlando in questo thread.
A quel punto o hai qualcos'altro o quell'svchost sta eseguendo dei compiti legittimi di sistema. Magari guardando l'indirizzo esatto a cui tenta di connettersi si potrebbero ricavare informazioni più specifiche.

Ciao, problema risolto. Era abilitato il servizio NetBIOS su TCP/IP..
Su un sito ho letto cmq che tenerlo abilitato non e' il massimo della sicurezza, percio' l'ho disabilitato ed ora quegli avvisi "SVCHOST create server listener" ecc.. ecc... (ed il fatto che svchost risultasse in sempre in listening) ora non ci sono piu'...

Se qualcuno pensa di avere il netbios attivo e vuole disabilitarlo tanto x stare + tranquillo, basta andare in Pannello di controllo > Connessioni di rete > right-click sulla connessione usata (in genere c'e' il modem usato) > Proprieta' > Rete > doppio click su PROTOCOLLO INTERNET (TCP/IP) > Avanzate > WINS > Disabilita NetBIOS su TCP/IP > OK

Pero' mi resta un dubbio... Su un PC Win XP home, questo servizio netbios su TCP/IP risulta abilitato, ma SVCHOST non si mette in ascolto su netbios-ssn e gli avvisi di Prevx1 Event (SVCHOST Create server listener - SVCHOST NetBIOS out - ecc...) non ci sono... Come mai ?

Il pc su cui invece SVCHOST si comportava nel modo descritto (prima di disabilitare il netbios su tcp/ip) e' Win XP PRO...

E' dovuto semplicemente al diverso comportamente tra XP PRO e HOME ?
O e' stato un malware ad attivare il netbios ?

Ciao !!

[schumy2006]

Quote:

Originariamente inviato da eraser

Per curiositá, chi é che ti ha risposto dell'assistenza tecnica?

Comunque si, in generale le date dovrebbero essere queste. Mi stupisco che abbiano dato queste date perché in parte dipende anche da me, ergo significa che devo muovermi

Ciao eraser , il messaggio di Prevx era firmato da un certo Jacques...
Ciao e buon lavoro, siete i migliori !!!

[eraser]

Ecco a chi mi tocca fare il cazziatone, a Jacques

[eraser]

A chi é tutt'ora infetto chiedo un altro favore:

Vedete se sul pc infetto avete:

1) una dll sotto system32 creata da poco, dalle dimensioni di circa 12kb e con un nome random, tipo msvaa.dll o wraa.dll etc...etc....

2) un file exe sotto C:\Windows\temp dal nome <random>1.exe

Se li avete per favore mandatemeli in un file zip all'email [email protected]

Quanti piu me ne mandate tanto piú velocemente uscirá il tool