*** Removal Tool LinkOptimizer / Gromozon ***

[EZU64]

No nessun programma di pulizia del registro. Ci sono diversi tool Acer di gestione varia. Ho notato che se vado su installazione applicazioni e clikko il pulsante "rimuovi" si apre IE e cerca di aprire un sito. Non è un buon segno!!!

[juninho85]

Quote:

Originariamente inviato da EZU64

No nessun programma di pulizia del registro. Ci sono diversi tool Acer di gestione varia. Ho notato che se vado su installazione applicazioni e clikko il pulsante "rimuovi" si apre IE e cerca di aprire un sito. Non è un buon segno!!!

proprio per nulla...quale variante ti eri beccato?

[schumy2006]

Quote:

Originariamente inviato da schumy2006

Ciao a tutti,
anch'io ho ripulito tutto grazie a Prevx1, ma ho notato che in PANNELLO DI CONTROLLO > STRUMENTI DI AMMINISTRAZIONE > SERVIZI, il servizio/account .\dTyMmUJxvj sotto la colonna CONNESSIONE e' ancora visibile.
Sicuramente non da' problemi, e' disabilitato ecc..., ma cmq c'e' un modo x eliminarne completamente la visualizzazione anche dai servizi ? Visto che e' stato rimosso, come mai l'account fittizio e' ancora in questa scheda ?

Ciao e GRAZIE !!

Quote:

Originariamente inviato da stesio54

mi comunicano che devi fare:
1)esegui--->cmd
2)sc stop <nomeservizio>
3)sc delete <nomeservizio>

Ciao, grazie infinite. Ho provato... Cmq l'account fittizio si chiama .\dTyMmUJxvj mentre il nome del servizio e' SeqSqd .
Quindi ho digitato in cmd:

sc stop SeqSqd
sc delete SeqSqd

Purtroppo pero' con entrambi i comandi mi da' questo messaggio:

[SC] OpenService FAILED 1060:
Il servizio specificato non esiste come servizio installato.

(...ed il servizio continua a rimanere visualizzato in SERVIZI...)

Spero qualcuno possa indicarmi una soluzione
Ciao !!

[EZU64]

Quote:

Originariamente inviato da juninho85

proprio per nulla...quale variante ti eri beccato?

Non saprei. Il pc aveva gli stessi sintomi descritti negli ultimi post, quindi non riuscivo ad avviare nessun tool (FixGrom Gmer Ice Avenger). Poi seguendo il consiglio ho rinominato FixGrom.exe in rootkit.exe ed ha ripulito il pc. Infatti ora va su tutti i siti prima bloccati e nessuna segnalazione viene comunicata dall'antivirus. Ho controllato nelle varie cartelle dove si annidano files infetti (programmi/file comuni/services etc) ma non c'è nulla di strano. Rimane 'sto maledetto connectionservices in "installazione applicazioni". Boh accetto suggerimenti

[juninho85]

Quote:

Originariamente inviato da EZU64

Non saprei. Il pc aveva gli stessi sintomi descritti negli ultimi post, quindi non riuscivo ad avviare nessun tool (FixGrom Gmer Ice Avenger). Poi seguendo il consiglio ho rinominato FixGrom.exe in rootkit.exe ed ha ripulito il pc. Infatti ora va su tutti i siti prima bloccati e nessuna segnalazione viene comunicata dall'antivirus. Ho controllato nelle varie cartelle dove si annidano files infetti (programmi/file comuni/services etc) ma non c'è nulla di strano. Rimane 'sto maledetto connectionservices in "installazione applicazioni". Boh accetto suggerimenti

installati regcleaner 4.3 e rimuovi la voce da "programmi installati"

[EZU64]

Non ci posso credere. Ho installato Regcleaner ma non lo lancia.Rimane attivo nei processi ma non succede nulla.

[EZU64]

Ho risolto con Ccleaner. Ora sembra tutto a posto. Mai fatto tanto c@@o per un virus.

[juninho85]

Quote:

Originariamente inviato da EZU64

Non ci posso credere. Ho installato Regcleaner ma non lo lancia.Rimane attivo nei processi ma non succede nulla.

hai eseguito il tool di cui al primo post oppure questo?

[EZU64]

Certo. Come dicevo precedentemente l'ho rinominato ed ha eseguito lo scan del pc. Ora credo sia tutto ok

[Rat-Man81]

Ragazzi ho un problemino... sono ormai un po di giorni che ho eliminato gromozon... con il primo tool che era uscito.
Quando e' uscito il secondo ho fatto fare una scansione anche dal tool aggiornato per sicurezza e non mi ha trovato nulla.

Adesso mi sono accorto che nella cartella Documents&Settings c'e' un altro utente oltre al mio e quello di mia sorella.
Sembra una copia di backup del mio utente.
Qualcuno puo dirmi come eliminarla, se posso eliminarla o se non e' una copia di backup???

[schumy2006]

Quote:

Originariamente inviato da schumy2006
Ciao a tutti,
anch'io ho ripulito tutto grazie a Prevx1, ma ho notato che in PANNELLO DI CONTROLLO > STRUMENTI DI AMMINISTRAZIONE > SERVIZI, il servizio/account .\dTyMmUJxvj sotto la colonna CONNESSIONE e' ancora visibile.
Sicuramente non da' problemi, e' disabilitato ecc..., ma cmq c'e' un modo x eliminarne completamente la visualizzazione anche dai servizi ? Visto che e' stato rimosso, come mai l'account fittizio e' ancora in questa scheda ?

Ciao e GRAZIE !!

Quote:

Originariamente inviato da stesio54
mi comunicano che devi fare:
1)esegui--->cmd
2)sc stop <nomeservizio>
3)sc delete <nomeservizio>

Quote:

Originariamente inviato da schumy2006
Ciao, grazie infinite stesio54. Ho provato... Cmq l'account fittizio si chiama .\dTyMmUJxvj mentre il nome del servizio e' SeqSqd .
Quindi ho digitato in cmd:

sc stop SeqSqd
sc delete SeqSqd

Purtroppo pero' con entrambi i comandi mi da' questo messaggio:

[SC] OpenService FAILED 1060:
Il servizio specificato non esiste come servizio installato.

(...ed il servizio continua a rimanere visualizzato in SERVIZI...)

Ho provato di tutto, ma la voce in servizi e' ancora presente !
Possibile che non ci sia una soluzione ??

[FiorDiLatte]

Quote:

Originariamente inviato da schumy2006

Ho provato di tutto, ma la voce in servizi e' ancora presente !
Possibile che non ci sia una soluzione ??

Devi usare il Gmer111 che ti eliminera' il servizio in questione o al massimo l'Icesword.


byezzz

[GmG]

Prova ad usare il tool Symantec, dovrebbe togliere il servizio.
http://securityresponse.symantec.com...FixLinkopt.exe

[schumy2006]

Vi ringrazio tanto !!
Cmq mi arrendo, il servizio non va via... o meglio, e' gia' stato eliminato dal tool Prevx, ma e' rimasta una traccia forse indelebile nella scheda dei servizi...

vabbe', prevx e' ottimo comunque !!

Ciao !!

[kuabba82]

Ragazzi eccomi...è da ieri che ho dovuto combattere con questo maledettissimo trojan...fortunatamente che girando un po' in rete ho trovato un tool aggiornato della prevx che me l'ha tolto...dopo mille scansioni e programmi vari tra cui il vecchio tool che non andava...

Ed anche a me è rimasta traccia del servizio...poco male.
Volevo chiedervi, ma per evitare di riprenderlo in futuro cosa devo fare? Nel forum in cui ho trovato il tool elencavano alcune patch microsoft da applicare, io le avevo quasi tutte tranne una che ho poi installato, secondo voi sto a posto così?

E poi una domanda...questo trojan l'ho preso con la connessione attiva ma non stavo navigando da nessuna parte da un paio di ore...quando mi sono rimesso al pc me lo sono trovato...ma è normale che anche non facendo nulla di nulla si incomba in questi problemi?

[juninho85]

1)è un rootki,non un trojan(putroppo)
2)il tool era linkato pure in questo thread
3)se hai installato la patch per i WMF sei apposto
4)normale

[Sh0K]

Ciao ragazzi, ho pensato bene di scrivere una mini guida sulla rimozione manuale del servizio da usare nel caso in cui i vari tool non vadano:
1) start - esegui - services.msc
2) Ordinare i servizi per tipo di connessione ed individuare il servizio sospetto
3) annotatevi sul blocco note o altro l'utente creato ed il nome del servizio che andremo a togliere manualmente
4) start - esegui - regedit - F3 - selezionate chiavi valori e dati, cercate l'utente e cancellatelo premendo CANC o Modifica\Elimina
5) start - esegui - regedit - F3 - selezionate chiavi valori e dati, cercate il servizio e cancellatelo premendo CANC o Modifica\Elimina

Capita che il servizio o nome utente non lo fà cancellare a causa di autorizzazioni create appositamente dal rootkit, per ovviare al problema:
1) Cliccate con il secondo tasto del mouse sulla chiave di registro incriminata poi su autorizzazioni
2) Cliccate su Administrator e/o sull'utente che utilizzate sempre, e sotto nelle autorizzazioni cliccate su Controllo completo
3) Rimanendo sulla scheda autorizzazioni cliccate su avanzate, nella scheda avanzate selezionate Administrator e/o l'utente che utilizzate sempre e mettete il segno di spunta su "sostituisci proprietario in sottocontenitori ed oggetti"
4) Date applica, ok e cancellate tranquillamente

Il rootkit crea anche delle sottocartelle di registro ad ogni servizio legato, percui dovete seguire questa procedura per accedere ed eliminare le chiavi/cartelle incriminate.

La procedura funziona anche sui file compressi segnati in verde che trovate su file comuni.

Testato su Windows Xp Professional

Mettere in rilievo in prima pagina se possibile, grazie

[kuabba82]

Quote:

Originariamente inviato da juninho85

1)è un rootki,non un trojan(putroppo)
Eh io non sono ancora informato sui rootkit...
2)il tool era linkato pure in questo thread

Bella forza...sto rootkit non mi faceva entrare in hwupgrade...
3)se hai installato la patch per i WMF sei apposto

Questa ce l'avevo già ma l'ho preso lo stesso...
4)normale

Comunque avevo notato un'altra cosa...prima dell'infezione avevo 10.3 GB liberi sull'HD. Quando ho scoperto l'infezione ne avevo 13 GB...ma questo rootkit cancella pure dei files? Perchè cercando un po' sul pc non ho trovato nulla che sia stato cancellato...eppure lo spazio libero è aumentato...

[juninho85]

non non elimina nulla...se installi la patch per i WMF non te lo becchi,c'è poco da discuterci sopra

[killerfabber]

mi intrometto nella discussione....
sono 10 giorni che lotto con questa bestiaccia, e finalmente col fixgrom di prevx l'ho fatto fuori...
il problema è che nonostante abbia kav6 aggiornato, me lo sono ribeccato!!!
l'ho capito subito quando nn mi apriva di nuovo hwupgrade, e anche kav mi ha segnalato tramite difesa proattiva il linkoptimizer, solo che come azioni possibili mi dava solo "ignora", file impossibile da eliminare o qualcosa di simile...
ora ho di nuovo ripulito con fixgrom, ma sono sicuro che me lo riprenderò...
la mia domanda è:
che devo fare per non ribeccare sto fastidioso parassita?
possibile che devo pagare anche il prevx1 per proteggermi a dovere? (non basta kav6..... )
devo spendere più soldi in abbonamenti per AV e robe simili che per mangare cazzarola...
grazie 1000 a tutti in anticipo

EDIT

cosa importantissima:
è vera la voce che con FIREFOX 2.0 i rischi di incorrere in queste cose sono decisamente minori?