| Autore |
 Discussione  |
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 28/05/2006 : 12:51:53
|
x quanto riguarda il log fixa questa voce
R3 - Default URLSearchHook is missing (infetta) |
 |
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 28/05/2006 : 17:10:01
|
x quanto riguarda process.exe alcuni tool usati dai programmi vengon rilevati come maligni,non lo sono,meglio dire in questo caso,Process.exe serve per terminare i processi attivi nel task manager,impostare la priorità ecc ecc,inutile dirti che alcuni malware utilizzano anche loro questo programma,per terminare i programmi di sicurezza,oppure per impostare una priorità + alta al processo maligno,il creatore aggiunge nel file .cmd, i files e le chiavi da eliminare ecco come si aggiorna,tutto è collegato ai vari forum di sicurezza stranieri,che li comunicano i files le nuove chiavi del registro maligni,qui la pagina degli aggiornamenti
htt*://siri.urz.free.fr/Fix/ChangeLog.php
|
|
|
|
gigino
Junior Member
68 Messaggi |
 Inserito il - 30/05/2006 : 09:31:45
|
Ciao a tutti.
Ho effettuato una scansione con SmitfraudFix ma nn ha sortito alcun effetto (i problemi persistono).
Vi invio il rapporto:
htt*://freefilehosting.net/?id=pdryl6vd
Possibile che nn esista un programma che risolva il mio problema?
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 31/05/2006 : 10:04:34
|
| gigino ma hai fixato la voce ke t'ho detto..? |
|
|
|
gigino
Junior Member
68 Messaggi |
Inserito il - 31/05/2006 : 17:56:23
|
| Si Aris, ho fixato la voce che mi consigliavi ma nn è successo nulla.... i problemi permangono!!!! |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 31/05/2006 : 20:59:09
|
| questo é un bel dilemma....aspetta ke adesso vediamo una cosa.. |
|
|
|
gigino
Junior Member
68 Messaggi |
Inserito il - 04/06/2006 : 21:44:19
|
Qualcuno mi aiuti per favore!!!!!!!!!!!!!!!
Ho provato oltre 15 programmi ma niente!!!!!!
|
|
|
|
martin2006
New Member
49 Messaggi |
Inserito il - 04/06/2006 : 22:56:36
|
quote]Messaggio inserito da gigino
Qualcuno mi aiuti per favore!!!!!!!!!!!!!!!
Ho provato oltre 15 programmi ma niente!!!!!!
[/quote]
Io ho avuto un problema simile. Ho visto infatti che nel log hai questo file: linkoptimizer.dll, un fastidioso Trojan-dialer che indirizza su siti con dialer o semplicemente apre ulteriori finestre del browser.
Riavvia in modalità provvisoria
Dovresti eliminare:
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programmi\LinkOptimizer\LinkOptimizer.dll
R3 - Default URLSearchHook is missing
Premi fix checked
Cancella poi la cartella contenente il file "linkoptimizer.dll". Assicurati di avere accesso a "cartelle e file nascosti", cerca ed elimina l'intera cartella C:\Programmi\LinkOptimizer\
Dovresti cercare anche la stringa "linkoptmizer.dll" nel regedit ed eliminarla. Ma fai massima attenzione perchè è il registro di sistema 
Scarica anche CCleaner da qui:
htt*://[www].pc-facile[.com]/CCleaner_s255/
ti serve per la pulizia dei file temporanei in Windows e Ie.
Fai una scansione con Virit, è l'unico antivirus che mi rilevava tale spyware.
htt*://[www].tgsoft.it/italy/index_ita.html
Spero tu risolva e di non aver dimenticato nulla, perchè a me ricompariva e ci ho messo 1 mese prima di eliminarlo
Ciao. |
|
|
|
martin2006
New Member
49 Messaggi |
Inserito il - 04/06/2006 : 23:03:03
|
P.S. Dimenticavo.
Guarda qui. C'è la descrizione del file Linkoptimizer e il programma per eliminarlo.
htt*://[www].superadblocker[.com]/definition/linkoptimizer/
Provalo. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 05/06/2006 : 15:58:00
|
| oh evviva finalmente forse siamo riusciti a trovare il colpevole, barvo martin... |
|
|
|
gigino
Junior Member
68 Messaggi |
Inserito il - 08/06/2006 : 10:36:31
|
Ciao Ragazzi.
Volevo informarvi che ho provato VIRIT.
Tra tutti i programmi scaricati è il + brutto sotto la veste grafica ma il piu efficace!!!!
Nel registro ha trovato:
{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.B
Nel computer ha trovato:
- C:\Programmi\Adobe\Adobe Bridge\browser\es262-32.dll Infetto da Backdoor.RBot.FA (RIMOSSO)
- C:\Programmi\LinkOptimizer\LinkOptimizer.dll Infetto da BHO.LinkOptimizer.C (QUARANTENA)
- C:\Programmi\LinkOptimizer\LinkOptimizer.dll.bak Infetto da BHO.LinkOptimizer.C (RIMOSSO)
- C:\WINDOWS\system32:lnaa.dll:$DATA Infetto da BHO.Agent.AK (RIMOSSO)
vi tengo informati sugli aggiornamenti
Ciao
Gigino |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 08/06/2006 : 16:26:32
|
| ok gigino ma non dimenticare di fare quello ke t'ho detto... |
|
|
|
gigino
Junior Member
68 Messaggi |
Inserito il - 09/06/2006 : 15:58:32
|
Ciao ragazzi.
Non vorri cantare vittoria troppo subito ma sembra che il problema sia finalmente risolto!!!!!!!
Unica cosa, ogni volta che scansiono con VirIT mi trova nel registro {DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.B (nonostante mi dica di averlo rimosso);
cosa mi consigliate?
|
Modificato da - gigino in data 09/06/2006 15:59:25 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 09/06/2006 : 16:10:53
|
RegCleaner (pulizia registro) htt*://[www].worldstart[.com]/weekly-download/archives/reg-cleaner4.3.htm
guida htt*://[www].tutorialpc.it/regcleaner.asp
ccleaner (pulizia cache) htt*://[www].majorgeeks[.com]/download4191.html
pulisci con questi |
|
|
|
-SkYz-
New Member
40 Messaggi |
Inserito il - 11/06/2006 : 08:34:49
|
Ciao mi sono appena registrato...
ho avuto il tuo stesso problema e come te anche io sono stato infettato da LinkOptimizer...
A quanto pare esistono diverse varianti del suddetto spyware, le piu semplici sono quelle dove un rapporto di HijackThis elenca dei file "xxxxxx.exe" che vengono eseguiti all'avvio di Windows e li bastava semplicemente fixare le voci ed eliminare i file al successivo riavvio ed eseguire un buon anti-spyware che il gioco era fatto...
Ma adesso il "bastardello" è diventato più furbo è "blindato" dentro il PC è risulta invisibile ad ogni tipo di scansione.
Gli unici programmi che lo rilevano e che ho provato personalmente sono:
Come antispyware: VirIT - SUPERAntiSpyware - eTrust PestPatrol
Come antivirus riporto qui in basso il report datomi da [www].virustotal[.com] esaminando la DLL infetta
AntiVir 6.34.1.37 06.04.2006 uristic/Crypted.Patched
Authentium 4.93.8 06.02.2006 no virus found
Avast 4.7.844.0 06.02.2006 Win32:Agent-gen
AVG 386 06.02.2006 no virus found
BitDefender 7.2 06.04.2006 no virus found
CAT-QuickHeal 8.00 06.03.2006 no virus found
ClamAV devel-2006 0426 06.04.2006 no virus found
DrWeb 4.33 06.04.2006 no virus found
eTrust-InoculateIT 23.72.28 06.04.2006 no virus found
eTrust-Vet 12.6.2240 06.02.2006 no virus found
Ewido 3.5 06.04.2006 no virus found
Fortinet 2.77.0.0 06.03.2006 suspicious
F-Prot 3.16f 06.02.2006 no virus found
Ikarus 0.2.65.0 06.02.2006 no virus found
Kaspersky 4.0.2.24 06.04.2006 no virus found
McAfee 4776 06.02.2006 no virus found
Microsoft 1.1441 06.04.2006 no virus found
NOD32v2 1.1578 06.04.2006 probably a variant of Win32/TrojanDownloader.Agent.BQ
Norman 5.90.17 06.02.2006 no virus found
Panda 9.0.0.4 06.04.2006 no virus found
Sophos 4.05.0 06.04.2006 no virus found
Symantec 8.0 06.04.2006 no virus found
TheHacker 5.9.8.154 06.01.2006 no virus found
UNA 1.83 06.02.2006 no virus found
VBA32 3.11.0 06.04.2006 no virus found
come vedete solo in 4 antivirus lo riconoscono...
Inoltre...
Una scansione del PC con Nod32 dopo essere stato infetto da LinkOptimizer mi ha fatto notare delle cose...
Nella cartella c:\programmi\ è presente un file con gli attributi di "sola lettura", "nascosto" e "crittografia" ed è proprio lui, il nostro bastardello che come dicevo prima si è blindato nel nostro HD (vi rimando ad una spiegazione sui file crittografati su questa pagina htt*://[www].ilsoftware.it/articoli.asp?ID=2195 ) in breve un file crittografato non puo essere: rimosso, aperto, modificato, cancellato, puoi solo cambiare nome, estensione e muoverlo all'interno del tuo HD come e dove ti pare ma solo su quella partizione NTFS dove è collocato (perche il suo algoritmo di protezione sfrutta il file system di quella partizione) se leggete la spiegazione potete pure capire che "winXP ProEd" è piu vulnerabile di "winXP HomeEd" per questo tipo di attacchi proprio perchè permette l'annidamento dei virus sfruttando il controllo EFS(Encrypting File System).
Con un tool di decriptazione di tali file "EFS key" ho provato a cercare di aprire il xxxxxxx.exe presente in c:\programmi\ (dimenticavo di dire che il suo nome cambia tutte le volte che riavviate il PC in maniera random es. jdelxa.exe oiasdj.exe ecc.) e con "piacevole" sorpresa il file è protetto da password.
Ora la domanda è... qual'è il software spia che nel nostro PC esegue la fase di Decrypt?
E una mia supposizione ma credo che la risposta sta in c:\windows\system32\Process.exe
Aris73 ha scritto:
----------------------------------------------------------
x quanto riguarda process.exe alcuni tool usati dai programmi vengon rilevati come maligni,non lo sono,meglio dire in questo caso,Process.exe serve per terminare i processi attivi nel task manager,impostare la priorità ecc ecc,inutile dirti che alcuni malware utilizzano anche loro questo programma,per terminare i programmi di sicurezza,oppure per impostare una priorità + alta al processo maligno,il creatore aggiunge nel file .cmd, i files e le chiavi da eliminare ecco come si aggiorna,tutto è collegato ai vari forum di sicurezza stranieri,che li comunicano i files le nuove chiavi del registro maligni,qui la pagina degli aggiornamenti
----------------------------------------------------------
Process.exe è letto come infetto da i seguenti antivirus:
AntiVir 6.34.1.32 05.24.2006 no virus found
Authentium 4.93.8 05.24.2006 no virus found
Avast 4.6.695.0 05.24.2006 no virus found
AVG 386 05.24.2006 no virus found
BitDefender 7.2 05.24.2006 no virus found
CAT-QuickHeal 8.00 05.24.2006 no virus found
ClamAV devel-20060426 05.24.2006 no virus found
DrWeb 4.33 05.24.2006 no virus found
eTrust-InoculateIT 23.72.16 05.23.2006 no virus found
eTrust-Vet 12.6.2226 05.24.2006 no virus found
Ewido 3.5 05.24.2006 no virus found
Fortinet 2.77.0.0 05.24.2006 no virus found
F-Prot 3.16c 05.24.2006 no virus found
Ikarus 0.2.65.0 05.24.2006 no virus found
Kaspersky 4.0.2.24 05.25.2006 no virus found
McAfee 4769 05.24.2006 potentially unwanted program PrcViewer
Microsoft 1.1440 05.22.2006 no virus found
NOD32v2 1.1555 05.24.2006 Win32/PrcView
Norman 5.90.17 05.24.2006 no virus found
Panda 9.0.0.4 05.24.2006 Application/Processor
Sophos 4.05.0 05.24.2006 no virus found
Symantec 8.0 05.24.2006 no virus found
TheHacker 5.9.8.147 05.24.2006 Aplicacion/Processor.20
UNA 1.83 05.24.2006 no virus found
VBA32 3.11.0 05.24.2006 no virus found
Ora l'altra domanda è...
DA CHI CACCHIO VIENE ESEGUITO PROCESS.EXE DATO CHE IL MIO LOG IN "HijackThis" NON LO RIPORTA?
Avendo avuto la stessa "infezione" di linkoptimizer ho potuto notare che effettivamente le la DLL presente in c:\programmi\LinkOptimizer\linkoptimizer.dll non veniva creata sempre... ad ogni riavvio... ma solo in determinati momenti...
mi succedeva mentre ero connesso... mentre aprivo e chiudevo explorer... infatti GIGINO noterai che pur cancellando la chiave nel registro e la DLL nella cartella programmi\linkoptimizer, dopo un po riappare, e VirIT riparte con la scansione e la falsa rimozione.
Credo che a questo punto sia un controllo ActiveX ad attivare il file, perche succede solo con l'apertura di explorer e la navigazione...
Allora come togliere sto maledetto?
intanto vorrei farti installare un software... Togli VirIT non serve ed installati System Safety Monitor htt*://syssafety[.com]/product.html spero sei un mezzo utente esperto... quel programma serve per monitorare tutto ciò che il PC esegue in background il software ti da una lista dei processi sicuri e non sicuri inoltre puoi anche attivare la monitorizzazione del registro (ti consiglio di farlo anche se è una rottura, rottura perchè avrai messaggi ogni qual volta compi un azione o esegui un programma) e attendi... aspetto che ti ricompaia sto maledetto e System Safety ti dara un bel rapporto su chi lo ha eseguito e su cosa sia successo in quell'istante nel tuo HD... quindi potrai eliminarlo in maniera perfetta...
Oppure fai come ho fatto io...
Installati NOD32 ottimo antivirus a mio parere anche piu di Kaspersky ultimamente
* Pannello di Controllo -> Java -> Elimina File (elimini tutto) Applet, Applicazioni e altri file
* Pannello di controllo -> Opzioni Internet -> Protezione -> reimposta il livello predifinito
* CCcleaner (software consigliato da Aris73) pulisci tutto tranne il registo (quindi non premere su tasto problemi xkè te ne crea di più)
* Disinstalla le Java di Sun e le MS Virtual Machine
* Riavvia il PC
* Attendi che NOD32 faccia il suo dovere appena appare LinkOptimizer.dll e disinfetti...
* Verifica se in C:\programmi\ si rigenera il solito xxxxxxxx.exe con nomi diversi se si è bloccato buon segno
* Pulisci il registro con Registry First Aid è a pagamento però ma il migliore fra i pulitori
* Fai un ultima pulizia con un antyspyware (io utilizzo SpyDoctor + nod32 ottima accoppiata )
* Prega a tutti i santi!!
PS: preferirei pero che utilizzi il primo metodo System Safety Monitor e ci posti un log di quello che ha fatto sto maledetto cosi lo mettiamo qui e ci togliamo il pensiero una volta e persempre piu che fare tentativi con vari programmi e se hai ancora Process.exe mandamelo... ti dico poi come...
|
|
|
|
Discussione |
|
popup e dealer
Forum Bloccato
