| Autore |
 Discussione  |
|
Ohm
Moderatore
Città: Nazza lo sa...
810 Messaggi |
 Inserito il - 15/08/2006 : 20:03:25
|
Ebbene, letta la discussione di Michal in "Suggerimenti" (gli invisibili) il suo ultimo post accennava al LinkOptimizer...
Vi posso assicurare che è davvero un osso duro, si proprio perchè utilizza queste strabenedette tecniche di rootkit... ma soprattutto esistono svariate varianti collegabili più o meno allo stesso "target".
Un'ottima lettura l'ho trovata spulciando sul sito di tgsoft [scusate eventuale errori] comunque utilizzando virit riuscirete a dar filo da torcere a questo malware. In seguito vi riporto il link:
htt ://[www].viritpro.info/articoli/rootkit_d-e.htm
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 15/08/2006 : 20:30:47
|
la mia opinione è che il link optimizer(quello che utilizza tecniche di rootkit) per adesso non si toglie...l'unico modo è il format c:
non c'è antivirus che lo tolga completamente....ne antispyware....nulla
virit cmq mi è sembrato il migliore nella rimozione....con lui ci vuole un giorno prima che si riformi completamente....
questo è il mio parere...ciaooooooooo |
 |
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 15/08/2006 : 20:44:52
|
| magari con alcuni accorgimenti risolvi definitivamente il problema, lo indebolisci con virit e poi lo debelli con gli altri programmi come ho fatto io... |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 16/08/2006 : 05:00:37
|
Scusate se sono scettico, ma da cosa ho letto sui rootkit agiscono a livello kernel, quindi molto basso, che sappia io (a meno di una patch specifica e mirata a lui) non so se sia poi tanto reale la sua rimozione, che non si rifaccia vivo per un tempo può essere un fatto, che non ci sia più sul sistema è un ipotesi (visto che non lo si può riconoscere con certezza).
Mi associo quindi a Vanx nel dire che un bel formattone (almeno per ora..) è una soluzione da prendere in considerazione se per voi (come è nel mio caso) le ipotesi restano solo tali.... |
|
|
|
Ohm
Moderatore
Città: Nazza lo sa...
810 Messaggi |
Inserito il - 16/08/2006 : 12:30:50
|
Ho beccato una delle varianti, sinceramente non ci penso per ora a formattare anche se la tentazione si fa sentire :). Di sicuro non l'ho tolto definitivamente dal sistema, però gli ho reso la vita difficile, ripulendo il registro da eventuali chiavi pericolose o collegate ad esso, rimuovendo e bloccando poi il rootkit travestito da servizio di sistema per giunta criptato. Ho rimosso anche un utente creato dallo stesso rootkit che gli permette l'avvio e infine i vari ed eventuali file utilizzati da esso. Ma ho sempre la sensazione che da un giorno ad un altro mi ritrovo dinuovo a punto e a capo. Bhè se questo non avverrà allora son riuscito o a eliminarlo (cosa poco probabile) o a "bloccarlo" (cosa forse più probabile) o impedirgli il "suo corretto funzionamento" :) (cosa molto probabile! :P).
E' vero, difficilmente sarà possibile eliminare definitivamente dal sistema tal malware, però possiam sempre impedirgli il suo funzionamento...
Mi raccomando di installare la patch dei WMF
e dar sempre un occhio ai bollettini microsoft
|
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 16/08/2006 : 16:51:00
|
io come al solito faccio esperimenti e ho lasciato un pc libero in rete per vedere che cavolo faceva sto link optimizer....e utilizzando IE me lo sono chiappato subito...
premetto che a me aveva tolto l'uso di task manager...e dopo che lo riattivato mi ha tolto la possibilità di terminare processi...
all'avvio non veniva caricato nulla..hijickthis non dava nulla tranne la solita bho infetta...gli antivirus nelle scansioni nulla tranne un file nei temp che veniva eliminato sempre ma che rispntava ogni dieci minuti....
per eliminarlo le ho provate tutte ma nulla....se andavo in installazione applicazioni mi dava sempre sto link optimizer installato...
l'unico modo per non vederlo più è stato di formattare quel pc....
spero che voi siate più fortunati.... |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 16/08/2006 : 17:54:35
|
| non per dire sempre la solita minestra, ma avere diversi programmi é sempre utile anche perché si stanno attrezzando verso questo tipo di minaccia....htt*://[www].superantispyware[.com]/whatsnew.html?version=3,%202,%200,%201028 e questo é già un pò vecchiotto, anche la webroot e spy doctor si stanno indirizzando nello studio di questi problemi, e non dimentichiamo virit... |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 16/08/2006 : 20:24:43
|
sopra ho detto che virit mi è sembrato uno dei migliori software che io abbia utilizzato per la rimozione di rootkit...
infatti io ho due pc uno è quello che uso in questo momento che è ottimizzato per la sicurezza...
l'altro è uno che uso per fare dei test e capire come funzionano acluni virus e come poterli togliere...
ti diro che nel pc test che aveva contratto il link optimizer(per mia scelta) nessuno dei software da te proposti lo ha eliminato neanche se messi a catenaccio con una scansione dietro l'altra.....
non ha funzionato ne avg..ne avast...ne antivir...ne virit...ne nod32..ne kasper...ne spysweeper....ne mcafee..ne bitdefender...ne norton..ne pc cilin...(la lista è ancora lunga)
e non citarmi super antispyware..perchè sebbene tu lo abbia il link optimizer te lo sei preso pure te...e il bello di antispyware è che dovrebbe prevenire l'infezione e non curarla.....
anzi ti dirò che se sei riuscito a debellare la variante di link optimizer che utilizza i rootkit sei il primo....informati magari vinci qualche premio...e debellato non vuol dire bloccato ma cancellato...
ciaoooo |
Modificato da - pedrus in data 16/08/2006 21:40:24 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 16/08/2006 : 20:50:00
|
Citazione:
Messaggio inserito da aris73
non per dire sempre la solita minestra, ma avere diversi programmi é sempre utile anche perché si stanno attrezzando verso questo tipo di minaccia
si stanno indirizzando nello studio di questi problemi, e non dimentichiamo virit...
non ho detto che l'hanno risolto.........e non vado oltre.... |
Modificato da - pedrus in data 16/08/2006 21:43:49 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 16/08/2006 : 21:40:46
|
questo potrebbe servire htt*://[www].suspectfile[.com]/forum/viewtopic.php?t=156
e htt*://[www].fyyre.net/~cardmagic/pages/download/ds105en_en.html |
Modificato da - aris73 in data 16/08/2006 21:45:48 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 19/08/2006 : 23:21:31
|
Per informazione generale : e da un pò che sto setacciando internet per reperire informazioni su linkoptimizer versione rootkit
Suluzioni valide non ancora trovate.
Riconoscimento quasi certo con la presenza nel log Hjt di queste 3 voci:
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {225F192F-050D-0505-BA04-638E6269372F} - C:\WINDOWS\xxxxx1.dll (file missing) dove le x sono 5 caratteri alfabetici random con 1 finale (questo è il file rootkit).
O4 - HKLM\..\Run: [xxxx1.exe] C:\WINDOWS\TEMP\xxxx1.exe eseguibile con 4 caratteri alfabetici random.
Concordo con Vanx per il format, almeno per ora.
Ciao. |
|
|
|
gters
Junior Member
50 Messaggi |
Inserito il - 20/08/2006 : 01:23:05
|
| io mi chiedo che divertimento trovano queste persone a costringere le persone a cancellare mesi di lavoro o di sfago.. |
|
|
|
Ohm
Moderatore
Città: Nazza lo sa...
810 Messaggi |
Inserito il - 20/08/2006 : 02:24:52
|
Per quanto riguarda la soluzione (valida) della formattazione posso dirvi solo che dalla data in cui ho iniziato questo thread ad oggi non ho più riscontrato il linkoptimizer, sono sicuro semplicemente perchè generalmente i file xxxxn.dll e xxxxn.exe, contenuti rispettivamente in C:\windows e C:\windows\temp non vengono più creati.
Prima che procedessi alla rimozione del servizio di rete, creato dal trojan, tali file venivano rigenerati ogni qualvolta li cancellassi, ed anche le chiavi di registro venivano ripristinate! Ho disabilitato il servizio di rete creato dal trojan, ed eliminato l'eseguibile del trojan stesso, mascherato in servizio di sistema (crittografato) e con i permessi esclusivi (lettura,modifica...ecc...) concessi ad un utente fittizio (.\xxxxxxxx anche questo fatto fuori).
Per ora non ho più i problemi di prima. Ma mai gridar vittoria!
Il motivo della creazione di questi malware... bhè secondo me, prima di tutto credo che ci sia qualcuno che riesca a goderne in denaro $$$, altro motivo, magari come per i virus (con V maiuscola), per far rendere conto di come i sistemi microsoft siano deboli. In effetti per beccarsi il linkoptimizer basta aprire un'immagine!!! :) Siamo più specifici una wmf!
Leggendo poi il bollettino microsoft, altra falla molto pericolosa sta proprio nel kernel! Ebbene è possibile creare un utente con superprivilegi... ed in effetti per far ciò che ho beccato, penso proprio che tale variante di linkoptimizer utilizzi anche questa falla! :)
|
|
|
|
Daisy
New Member
49 Messaggi |
Inserito il - 20/08/2006 : 15:06:02
|
Ciao Omega, ho eseguito anch'io le tue stesse "manovre" per fronteggiare il linkoptimizer (come dettagliatamente descritto nella discussione da me aperta htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=6587) e da un paio di giorni il pc è tornato ad essere una bomba! Speriamo che duri! 
L'unica differenza è che l'eseguibile crittografato (quello verde) io me lo ritrovavo in "C:Programmi\File comuni\Microsoft Shared" come file nascosto (magari questo dipende dalla variante beccata, no?).
Tuttavia il linkoptimizer è ancora presente nella lista "Installazione applicazioni", tu sei riuscito a toglierlo da lì?
E il servizio incriminato io l'ho soltanto disattivato... si può eliminare definitivamente dalla lista?
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 20/08/2006 : 17:55:17
|
Daisy puoi provare a rimuoverlo manualmente con delete delete Doctor htt*://[www].pianetapc.it/downloads.php?id=39
e non mi trovo daccordo sul format, la soluzione si trova... |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 20/08/2006 : 18:26:55
|
Citazione:
Messaggio inserito da aris73
e non mi trovo daccordo sul format, la soluzione si trova...
cioè quale? |
|
|
|
Discussione |
|
LinkOptimizer
Forum Bloccato
