| Precedente :: Successivo |
| Autore |
Messaggio |
yoda58
Eroe in grazia degli dei
Registrato: 08/11/06 20:22
Messaggi: 124
Residenza: Biella
|
 Inviato: 08 Nov 2006 20:51 Oggetto: LinkOptimizer |
 |
|
Bene, mi presento: sono Yoda58, premetto che chi mi vorrà aiutare, dovra sorbirsi una dose considerevole di domande, perchè io sono veramente ignorante in materia, tanto quanto sono preoccupato per il problema che esporrò!
Dunque:durante l'ultima scansione con AVG Antispyware, ilprogramma ha rilevato il seguente problema: infetto da Trojan.Agent.vp
Origine:C:\WINDOWS\system32:qjaa.dll
Ora l'ho messo in quarantena, che cosa devo fare????
L'unica cosa che mi succede ultimamente di strano, è che dopo un pò che navigo, tutto ad un tratto il pc si impianta e qualunque cosa clicco, non succede nulla, l'unico modo che ho per uscire da questa situazione è premere il tasto Power presente su questa tastiera che uso ormai da 1anno(voglio dire non credo che dipenda da questa), dopo pochi secondi dalla pressione del tasto power, cominciano ad aprirsi le rispettive finestrine con la scritta -termina adesso o annulla.alchè ad ogni applicazione che non risponde io clicco -termina adesso-.
Tutta questa procedura finchè tutti i processi che erano in funzione si sono chiusi, allora poi il pc finalmente si spegne.
Non sò se mi sono spiegato a sufficenza, e poi secondo voi esperti è possibile che quel trojan di cui sopra possa fare questo scherzo???
Ringrazio molto anticipatamente chi mi aiuterà a risolvere questo rebus(per me)
Grazie davvero, ma in quanto ignorante, sono disperato.
Yoda58 |
|
| Top |
|
 |
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 08 Nov 2006 21:51 Oggetto: |
|
|
Ciao, purtroppo sei affetto anche tu dal "famosissimo" LinkOptimizer.
Segui queste operazioni e stai sicuro che lo togliamo!
Scarica questi due tool camuffati:
Prevx
http://www.mytempdir.com/1038236
Symantec
http://www.mytempdir.com/1038249
Fai girare il Prevx da Modalità Normale (doppioclick sul file, Scan, alla fine ti farà riavvare il pc)
In Modalità Provvisoria (F8 al boot) fai girare il tool Symantec (doppioclick e poi Start).
Torna in Modalità Normale
Scarica HijackThis, decomprimilo in una cartella tutta sua non temporanea (mettilo ad esempio in C:\HijackThis), avvialo e premi Do a system scan and save a log file, alla fine della scansione ti si apre una finestra di Notepad, copia e incolla qua il contenuto.
Posta poi il log creato dal tool Prevx (C:\gromozon_removal) e quello del tool Symantec (FixLinkOpt.log) |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 08 Nov 2006 23:42 Oggetto: |
|
|
Rispondo qua all'Mp che mi hai mandato:
Il file che AVG ha trovato è un Malware (un file del LinkOptimizer), se lo cancelli dalla quarantena non succede niente di "particolare".. viene cancellato dal tuo pc.
So che è quel Trojan perchè ho riconosciuto il file (nome assurdo, sta in C:\Windows\System32).
Cerco di spiegarti meglio i passaggi da fare:
Scarica questo programma camuffato (Prevx).
Scarica poi anche questo programma (Symantec) e per ora tienilo da parte.
Ora avvia il programma Prevx (che ha l'icona con il case rosso), ti si apre una finestra, clicca Scan, il programma inizia a fare una scansione, aspetta che abbia finito, alla fine ti viene un'altra finestrina che ti chiede di riavviare il pc, tu accetta.
Quando sei rientrato in Windows riavvia il pc, al boot (quando ti segna quanta memoria ram hai, gli Hard Disk collegati ecc.) premi continuamente F8 finchè non appare un menu, usando le frecce della tastiera scegli Modalità Provvisoria e dai invio.
Una volta che sei entrato fai partire il programma Symantec (che ha l'icona con martello e chiave inglese), ti si apre una finestra con dei pulsanti, premi Start, aspetta che abbia finito la scansione e poi riavvia il pc normalmente.
Scarica HijackThis, decomprimilo in una cartella tutta sua non temporanea (mettilo ad esempio in C:\HijackThis), avvialo e premi Do a system scan and save a log file, alla fine della scansione ti si apre una finestra di Notepad, copia e incolla qua il contenuto.
Posta il contenuto di questi due file di testo C:\gromozon_removal e FixLinkOpt.log |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 09 Nov 2006 09:47 Oggetto: |
|
|
| Smjert ha scritto: | | Rispondo qua all'Mp che mi hai mandato: |
Una raccomandazione / suggerimento per tutti.
Per argomenti che possano (anzi devono) essere discussion nel forum, non usate i Mp, ma scrivete apputno nel forum.
A vantaggio di tutti, e anche vostro (più persone potranno rispondervi)! |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 09 Nov 2006 13:25 Oggetto: |
|
|
| chemicalbit ha scritto: | | Smjert ha scritto: | | Rispondo qua all'Mp che mi hai mandato: |
Una raccomandazione / suggerimento per tutti.
Per argomenti che possano (anzi devono) essere discussion nel forum, non usate i Mp, ma scrivete apputno nel forum.
A vantaggio di tutti, e anche vostro (più persone potranno rispondervi)! |
Sì, il "messaggio" che volevo mandare era quello.
Lui mi ha scritto perchè non riusciva a capire alcune operazioni da fare (non conosceva i termini "tecnici" come tool, Modalità Provvisoria ecc), se mi avesse mandato il risultato della scansione di qualche programma gliel'avrei fatto postare nella discussione.
Credo che dalle risposte che ho dato si capisca quali sono state le domande. |
|
| Top |
|
|
dasio78
Dio maturo
Registrato: 22/06/06 23:05
Messaggi: 6282
|
| Inviato: 09 Nov 2006 21:43 Oggetto: |
|
|
Salve a tutti,
ho letto sul sito "ilsoftware.it" in merito a LINKOPTIMIZER, che quando il Trojan è stato installato, il browser potrebbe mostrare un prompt e chiedere all'utente di salvare un file dal nome: www.google.com.
A me è successo tempo fa, ma in seguito ho effettuato scansioni con Kaspersky e non ha rilevato nulla di strano.
Sono infetto o no? Come posso capirlo?
Grazie in anticipo. |
|
| Top |
|
|
dasio78
Dio maturo
Registrato: 22/06/06 23:05
Messaggi: 6282
|
| Inviato: 09 Nov 2006 21:48 Oggetto: |
|
|
per sicurezza vi posto il log di hijackthis:
Logfile of HijackThis v1.99.0
Scan saved at 20.51.10, on 09/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Acer\eManager\anbmServ.exe
D:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Arcade\PCMService.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Process Lasso\processgovernor.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Process Lasso\ProcessSupervisor.exe
D:\Programmi\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programmi\SpywareGuard\sgmain.exe
C:\Programmi\SpywareGuard\sgbhp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Alessio\IMPOST~1\Temp\Rar$EX00.882\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Libero
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmi\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [ProcessGovernor] C:\Program Files\Process Lasso\processgovernor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ProcessSupervisorGUI] C:\Program Files\Process Lasso\ProcessSupervisor.exe /tray
O4 - HKCU\..\Run: [ccleaner] "D:\Programmi\CCleaner\ccleaner.exe" /AUTO
O4 - Startup: SpywareGuard.lnk = C:\Programmi\SpywareGuard\sgmain.exe
O4 - Startup: ERUNT AutoBackup.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O15 - Trusted Zone: http://*.update.microsoft.com
O15 - Trusted Zone: http://www.pandasoftware.com
O15 - Trusted Zone: http://download.windowsupdate.com
O15 - Trusted Zone: http://www.zonelabs.it
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37540.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programmi\HP\hpcoretech\comp\hpuiprot.dll
O20 - AppInit_DLLs: interceptor.dll
O23 - Service: Notebook Manager Service - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programmi\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server - Unknown - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
Grazie ancora. |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 09 Nov 2006 22:19 Oggetto: |
|
|
Ciao dasio78,
Per prendere il LinkOptimizer quel file (www.google.com) lo devi anche scaricare e da quanto ho capito non l'hai fatto.
Il log infatti è pulito, non sei infetto dal LinkOptimizer.
Tra l'altro riporto la guida di Holifay che spiega come accorgersi se si è infetti dal LinkOptimizer e eventualmente come rimuoverlo.
Bisognerebbe aggiornarla perchè ultimamente ci sono sempre più casi di L.O. che non lascia avviare i normali tool di rimozione, è necessario "camuffarli". |
|
| Top |
|
|
dasio78
Dio maturo
Registrato: 22/06/06 23:05
Messaggi: 6282
|
| Inviato: 09 Nov 2006 22:43 Oggetto: |
|
|
| Grazie infinite per la rapidità del controllo. |
|
| Top |
|
|
Jeppo59
Dio maturo
Registrato: 05/03/06 02:26
Messaggi: 2117
|
| Inviato: 09 Nov 2006 23:30 Oggetto: |
|
|
 Ciao Dasio78, ho notato che forse non hai la versione aggiornata di HijackThis | Citazione: | Logfile of HijackThis v1.99.0
Scan saved at 20.51.10, on 09/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) |
Non credo cambi qualcosa sul risultato, comunque eventualmente aggiornala.
 |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 09 Nov 2006 23:33 Oggetto: |
|
|
| Jeppo59 ha scritto: | Ciao Dasio78, ho notato che forse non hai la versione aggiornata di HijackThis | Citazione: | Logfile of HijackThis v1.99.0
Scan saved at 20.51.10, on 09/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) |
Non credo cambi qualcosa sul risultato, comunque eventualmente aggiornala.
|
Ecco questo mi era sfuggito thnx Jeppo |
|
| Top |
|
|
dasio78
Dio maturo
Registrato: 22/06/06 23:05
Messaggi: 6282
|
| Inviato: 09 Nov 2006 23:38 Oggetto: |
 |
|
| Aggiornata. Grazie ancora. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
