Olimpo Informatico

[Capitan Jack Sparrow]

Ragazzi sono in crisi, ho letto tutti i post possibili scaricato tutti i vari tool ma al momento ke li lancio, non me li fa partire. Cosa devo fare? Chi ha qualche idea? Mi fa lanciare solo myunistaller, ora il ConnectionServices non c\'è più, ma i problemi persistono! Nemmeno Hijack mi fa partire, aspetto risposte o idee!

[Smjert]

Se non ce l'hai già scaricati questo tool della Symantec, riavvia in Modalità Provvisoria (F8 al boot) e avvialo, premi Start e aspetta che abbia finito.
Riavvia in modalità normale e prova a fare il log di HijackThis (cliccando su Do a system scan and save a log file).
Postami il contenuto del log del tool della Symantec FixLinkopt.log
Se sei riuscito a farlo posta anche il log di HijackThis.
Se non riesci a fare il log di HijackThis probabilmente hai qualche altra schifezza che te lo blocca, quindi fatti una scansione online con Kaspersky scegliendo database esteso (dopo gli aggiornamenti appare il pulsante Next, cliccalo e poi vai su Scan Settings, lì seleziona la voce Extended, dai ok e fai la scansione).
Alla fine della scansione se ha trovato qualcosa appare il pulsante Save Report As, con quello salvi il log.
Posta poi il contenuto del log di Kaspersky

[Capitan Jack Sparrow]

Ecco il contenuto del con Fixlinkopt:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.2
SeTakeOwnershipPrivilege acquired
Failed to acquire SeDebugPrivilege
service: SrvSxc (logon as: .\NzS, passed filters)

Trojan.Linkoptimizer has not been found on your computer.

Purtroppo Hijack non me lo fa usare, stavo provando l'altra cosa ma mi ci vuole domani mattina quando torno al lavoro. Ma per quel log che ti ho postato ora sai dirmi qualcosa in +?

[Smjert]

Sì che a quanto pare non hai il LinkOptimizer.. e forse conviene che tu crei un'altra discussione dato che il tuo problema non centra più con questo topic, se ne crei un'altra ti scrivo altri procedimenti da fare.. oppure un moderatore la potrebbe splittare.

[Capitan Jack Sparrow]

Ti spiego, sul computer dove lavoro il pomeriggio ci lavora una ragazza, quello che avevo notato io sul pannello di controllo, non era il link Optimizer, ma il ConnectionServices ......visto che in questo Topic si parlava anche di quello volevo sapere cosa potevo fare visto che i file di questi tool non me li fa partire e molte volte mi chiude anche Firefox!

[Smjert]

Scusa non avevo visto che il Thread Starter ne aveva parlato...

Allora scarica ancora fai girare il tool della prevx contro il rootkit gromozon.
Non è necessario installare tutta la suite come ti verrà chiesto alla fine.
Se non parte fagli fare la scansione da Modalità Provvisoria.
Poi posta il log (c:\gromozon_removal.log).
Se non sei riuscito a farlo partire oppure il log dice che il Gromozon (alias LinkOptimizer) non è stato trovato segui questo procedimento:
Vai sulla barra di avvio, Start->Esegui->digita regedit, dai invio, ti appare l'editor di registro, a sinistra ci sono delle cartelle con struttura ad albero (il + serve per far apparire le sottocartelle).
Naviga fino a questa cartella (o meglio chiave) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e segnati il nome dei valori (nella schermata di destra) e il loro percorso (sotto la colonna Dati), fai la stessa cosa partendo partendo però da HKEY_CURRENT_USER.
Posta qui quello che hai trovato.

[holifay]

Eh, è meglio se ognuno apre un nuovo topic, senza accodarsi a quello degli altri

Il tool symantec ha trovato il servizio SrvSxc al quale accede l´utente NzS. Poi è stato killato dal trojan, che è senz´altro linkoptimizer...le ultime varianti sono in grado di bloccare anche il fix symantec

Prova a riavviare in modalità provvisoria e a lanciare il log di HijackThis da lì.

[chemicalbit]

[Capitan Jack Sparrow]

Allora Kaspersky non ha trovato nulla mi dice ke è tutto pulito, mentre ho avviato in mod. Provvisoria ma niente da fare non mi fa lanciare Hijack e tutti quei tool, mi dite che posso fare visto che ogni remover toolkit non me li fa lanciare!

[Capitan Jack Sparrow]

Allora Kaspersky non ha trovato nulla mi dice ke è tutto pulito, mentre ho avviato in mod. Provvisoria ma niente da fare non mi fa lanciare Hijack e tutti quei tool, mi dite che posso fare visto che ogni remover toolkit non me li fa lanciare!

[Capitan Jack Sparrow]

Ecco quello che c'è nel Run del HKEY_LOCAL_MACHINE
avgnt "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min

BluetoothAuthenticationAgent: rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

MsgCenterExe "C:\Programmi\File comuni\Real\Update_OB\RealOneMessageCenter.exe" -osboot

NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe

NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

NvMediaCenter RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

nwiz nwiz.exe /install

SoundMan SOUNDMAN.EXE

HKEY_CURRENT_USER

CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe

H/PC Connection Agent "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"

MsnMsgr "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background

Ditemi opra che devo fare, anche se ho il sospetto che il file sospetto sia quell'nwix.exe

Aspetto vostre notizie!!!

[Smjert]

No, Nwiz.exe non centra è un processo di Nvidia.
Da quello che mi hai postato non vedo niente di anomalo..
Accidenti la vedo dura se non riesci a far andare niente.. allora cerca questa chiave (sempre in modalità provvisoria) HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
se c'è cancella direttamente tutta la cartella (chiave) Run dalla finestra di sinistra, prova poi a riavviare, vai di nuovo in modalità provvisoria e prova a far andare i tool.

[holifay]

Prova così: scarica Virit e aggiornalo. Non è necessario installarlo, dovresti riuscire ad estrarre i file e metterli direttamente in una cartella.

Poi riavvia in modalità provvisoria e fai una scansione. Cancella quello che dovesse trovare. Se trova qualcosa, ripeti la scansione una seconda volta.

Al termine scarica GMER da www.gmer.net Adesso GMER dovrebbe partire. Fai due log: uno dal tab rootkit e l´altro dal tab autostart. Basta premere Scan e poi Copy per copiarlo. Incolla i risultati qui

Se non riesci neanche così, fai un fischio

[Capitan Jack Sparrow]

Allora mi tocca fare un fischio perchè non c'è niente da fare, non mi fa lanciare Gmer ne Avenger ne Hijack, quel tool che mi hai consigliato l'ho usato ha trovato qualcosa ho cancellato e controllato di nuovo come mi hai detto di fare invece niente poi con Gmer! Aiuto

[chemicalbit]

[holifay]

Jack, prova così:

scarica il tool symantec, se non lo hai già fatto prima:
http://smallbiz.symantec.com/security_response/writeup.jsp?docid=2006-092316-4153-99

scarica il tool della prevx:
http://www.prevx.com/gromozon.asp

1) aggiorna VIRIT
2) riavvia in modalità provvisoria
3) fai una scansione con Virit dalla modalità provvisoria
4) Fai partire il tool della symantec che adesso dovrebbe andare
5) fai girare quello della PrevX
6) fai i log con GMER

Se non va neanche così, allora ti eleggo mio beta-tester preferito e ti faccio provare un paio di tool sperimentali

[holifay]

Ah, una cosa: prova a disattivare il servizio manualmente:

Clicca su Start >> Esegui, digita services.msc e premi invio

Nell´elenco dei servizi, trova quello che si chiama SrvSxc . Vedrai che a differenza di tutti gli altri, nella colonna che si chiama "Connessioni", invece di Localsystem c'è impostata la voce .\NzS, o qualcosa del genere.

Cliccaci sopra con il destro, poi seleziona la voce Proprietà. Da lì, vai sul tab "Connessione". Vedrai che è attivata la casella account ed è impostato il nome di .\NzS. Tu prova a cambiarlo, selezionando la casella "Account di distema locale", poi clicchi su OK.

Se sei riuscito adesso, nella colonna connessioni sarà comparso Localsystem (o sistema locale). A questo punto, seleziona il servizio SrvSxc e clicca sul pulsante Arresta e poi nella casella Tipo di avvio seleziona Disabilitato

Poi clicca su Start>>Esegui e digita CMD e premi invio. Nella finestra nera di DOS, scrivi control userpasswords2. Si dovrebbe aprire una finestra con l'elenco degli aministratori. Seleziona dall'elenco l'utente .\NzS e premi "Rimuovi"

Poi cerca la cartella c:\documents and settings\.\NzS ed eliminala.

Se sei riuscito, dovrebbe partirti GMER e quant'altro. Se riesci, posta i log.

Se non riesci, siamo qui

[Capitan Jack Sparrow]

Eccomi in ufficio,k ho trovato le vostre risposte, quindi ora mi metto ad eseguire i vostri comandamenti......vi terrò aggiornati...comincio subito!

Holifay sarò onorato di farti da beta-tester

[Capitan Jack Sparrow]

Allora Holifay, ho seguito alla lettera tutti i tuoi consigli, per quanto riguarda la prima parte mi fa partire tutti i tool che mi hai detto di far partire, ma niente da fare poi con Gmer, non me lo fa lanciare, ho provato la stessa cosa con Hijack ma nemmeno lui parte. Tutti gli altri tool cmq non hanno trovato nulla di strano mi dicono ke è pulito. Poi sono andato nei servizi ho fatto quello che mi hai chiesto di fare ma la situazione è sempre la stessa!

Per chemicalbit, nemmeno da modalità provvisoria vanno, ne hijack, ne avenger ne gmer! Il regedit va, si apre!

Sono pronto a tutti gli esperimenti

[guia]

@Holifay ed ovviamente anche per Jack! Giusto ieri mia sorella s'e' beccata questa versione di LO che non si fa killare da nulla (Previx negativo Symantec solo il file in tmp)
GMer, RRevealer crashano, Avenger non va, Hijack si (tra una riattivazione del LO e l'altra!) Gia' perche' si riattiva anche avendo stoppato il servizio ed eliminato l'utente fasullo.
Per eliminare il file in Programmi\File comuni (che qui era in System) ha funzionato il primo tool, l'AGVPfix (scaricabile da link) che e' poi riuscito ad eliminare definitivamente (almeno per ora non si e' ricreato!) voci e servizi associati