| Autore |
 Discussione  |
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 20/08/2006 : 18:30:41
|
|
già il fatto di bloccarlo é una buona soluzione, aspettando che i vari software si attrezzino per la rimozione totale, e questo stai certo accadrà..... |
 |
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
 Inserito il - 20/08/2006 : 19:02:49
|
Citazione:
Messaggio inserito da aris73
già il fatto di bloccarlo é una buona soluzione, aspettando che i vari software si attrezzino per la rimozione totale, e questo stai certo accadrà.....
da quello che ho potuto vedere avevo una variante diversa da quella che si è pigliato omega...io non avevo il processo da fermare nei servizi.....o meglio c'era ma non aveva il solito nome..ma penso fosse camuffato da servizio legittimo(tipo un ulteriore svchost)...di conseguenza non sono riuscito a fermarlo e ogni volta i due file si rigeneravano..quindi ho cominciato a tenere doccio i log del firewall...ma niente non sono riuscito a capire quale era il fatidico servizio...tra l'altro anche se fosse non riuscivo a terminarli da task manager ne ad arrestarli dai servizi....
altra cosa se fa uso di rootkit il solo fatto di non eliminarlo non ti da la certezza di averlo bloccato....infatti tranne omega mi sembra che tutti lo vedono ancora in installazione applicazioni..ma potrei anche sbagliarmi...
poi cmq non sono i software degli antivirus che devono intervenire ma microsoft che deve rilasciare una patch...visto che il suddetto opera a livello kernel...mentre gli antivirus no...
ciaoo
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 20/08/2006 : 20:32:44
|
| il tuo discorso non fà una piega, ma penso che i vari antivirus, antispy etc. etc. sarebbe ora che si attrezzassero....o no, anche perché se vogliono dare un prodotto decente e all'altezza di ogni situazione si devono adeguare alle nuove minacce... |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 21/08/2006 : 00:17:01
|
Qualcuno di voi ha provato qualche programma di rilevazione del rootkit tipo :Rootkit revealer?
Nel frattempo come prevenzione conviene scaricare la pach microsoft:
htt*://[www].microsoft[.com]/technet/security/bulletin/MS06-001.mspx
in quanto, come già detto, il figlio di ..... sfrutta l'exploit-Wmf quando si scarica un'immagine pic.tiff ed il file [www].google[.com] (che non è un sito web.)
Alla prossima.
Ciao. |
|
|
|
Ohm
Moderatore
Città: Nazza lo sa...
810 Messaggi |
Inserito il - 21/08/2006 : 21:08:43
|
Citazione:
Messaggio inserito da Daisy
...[CUT]...
Tuttavia il linkoptimizer è ancora presente nella lista "Installazione applicazioni", tu sei riuscito a toglierlo da lì?
E il servizio incriminato io l'ho soltanto disattivato... si può eliminare definitivamente dalla lista?
Per rimuovere il collegamento (perchè in effetti è solo un collegamento!) dalla lista dei software installati nel proprio sistema basta che apri il regedit (Start->Esegui->regedit)
poi localizzi la chiave
hkey_local_machine->software->microsoft->windows->current version->Uninstall e cerchi la cartellina col nome LinkOptimizer, quindi la cancelli! (Per sicurezza, se ti ricordi il nome dei file xxxxn.dll e xxxxn.exe clicca sempre nel regedit su risorse del computer quindi modifica->trova e cancella tutte le occorrenze che trovi :)... mi raccomando leggi bene e con cautela altrimenti potresti provocar seri danni al sistema!)
Per quanto riguarda il servizio, no ancora non sono riuscito ad eliminarlo.... ci posso solo "giochicchiare"... vedrò se riuscirò a codare qualcosa che sia in grado di toglierlo oppure procedere con qualche manovra manuale :)
|
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 21/08/2006 : 23:27:50
|
Citazione:
Messaggio inserito da Omega
Ebbene, letta la discussione di Michal in "Suggerimenti" (gli invisibili) il suo ultimo post accennava al LinkOptimizer...
Vi posso assicurare che è davvero un osso duro, si proprio perchè utilizza queste strabenedette tecniche di rootkit... ma soprattutto esistono svariate varianti collegabili più o meno allo stesso "target".
Un'ottima lettura l'ho trovata spulciando sul sito di tgsoft [scusate eventuale errori] comunque utilizzando virit riuscirete a dar filo da torcere a questo malware. In seguito vi riporto il link:
htt ://[www].viritpro.info/articoli/rootkit_d-e.htm
fatto tutto secondo la guida del link da te postato. sembra tutto ok, ma quando ho riavviato e ho fatto la scansine con virit explorer lite, ha trovato il rootkit e
l ha rimosso ma il bho.agent.bc l ha messo in quarantena perche non lo poteva rimuovere. forse perche non lo conosce ancora? non l ho visto nella lista dei trojan/bho nella guida
in istallazioni applicazioni c è ancora il "link optimizer" |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 22/08/2006 : 10:24:13
|
se riesci invialo alla tgsoft, anche perché già sono stati rilasciati degli aggiornamenti... l'ultimo addirittura oggi |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 22/08/2006 : 12:15:11
|
Citazione:
Messaggio inserito da aris73
se riesci invialo alla tgsoft, anche perché già sono stati rilasciati degli aggiornamenti...l'ultimo addirittura oggi
tgsoft è quella di virit explorer?
come faccio....prendo l icona che è nella cartella "quarantena" l' allego e la spedisco?
scusa ma è la prima volta che mi capita di prendere un virus cosi serio, e grazie a questo forum sono riuscito a rifar funzionare bene(spero che duri)il pc. aveva colpito soprattutto la linea adsl
grazie |
Modificato da - gnacche in data 22/08/2006 12:16:08 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 22/08/2006 : 13:05:00
|
| non t'ha dato l'opzione già quando l'ha trovato di poterlo inviare..?? |
|
|
|
gnacche
Advanced Member
Città: perugia
330 Messaggi |
Inserito il - 22/08/2006 : 16:56:26
|
Citazione:
Messaggio inserito da aris73
non t'ha dato l'opzione già quando l'ha trovato di poterlo inviare..??
non mi ha chiesto solo se lo volevo mettere in quarantena,comunque oggi pomeriggi ho riavviatoe è partita una scansione di virit......sorpresa........l ha rimosso |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 22/08/2006 : 19:31:11
|
| nessuna sorpresa, hanno appena rilasciato degli aggiornamenti.... |
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 22/08/2006 : 21:03:00
|
Interessante come tecniche nate nel mondo unix si stiano diffondendo anche su windows :P e se vista implementerà una gestione utenze alla unix... credo proprio che i rootkit aumentino di molto :P
Sarebbe un grande aiuto avere i sorgenti del kernel e poterlo modificare a piacimento per renderlo più sicuro e facilitare la rimozione dei rootkit ( ogni riferimento a linux è puramente casuale :D ). |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 23/08/2006 : 20:42:07
|
| sicuramente sarà interessante, ma stanno nascendo anche programmi per tutelarsi da tutto ciò, uno lo ha fatto bit defender,htt*://[www].softpedia[.com]/get/Antivirus/BitDefender-RootkitUncover.shtml, che fa tutto in automatico, un'altro si chiama gmer,htt*://[www].gmer.net/, ma già é molto più complicato da usare... |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 25/08/2006 : 01:11:23
|
Bisogna essere ottimisti come Aris:
Che ne dite di questo tool di rimozione automatico antirootkit.:
htt*://[www].sophos.it/products/free-tools/sophos-anti-rootkit.html
Ciao. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 26/08/2006 : 15:12:12
|
mio caro amico, nella vita se non si é ottimisti, la si vedrebbe come un tunnel senza uscita... per il programma come al mio solito prima lo provo e poi ti saprò dire..hai provato quello di bit defender...??? |
|
|
|
Discussione |
|
LinkOptimizer
Forum Bloccato
