Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Linkoptimizer - seguita la cura resta qualche problema
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
radfansa
Mortale pio
Mortale pio


Registrato: 31/08/06 12:10
Messaggi: 15
MessaggioInviato: 31 Ago 2006 13:43    Oggetto: Rispondi
Ciao a tutti qui in giro .... finalmente un forum Italiano con i contro.....i !!! Very Happy Passo subito al sodo. Ho seguito il thread a proposito di questo maledetto TROJAN ... praticamente è la seconda volta che mi succede di infettarmi, la prima fu con il famoso ILOVEYOU. Premetto che ho un buon livello di conoscenza del mondo informatico (25 anni di programmazione applicativa) ... ma non me la cavo benissimo nel campo sistemistico, e quindi dopo molti tentativi di base by myself e numerose ricerche, sono piovuto qui da voi. Ho letto tutto il topico qui in esame e ho provato ogni sorta di soluzione proposta, ed in effetti mi sembra di essere riuscito ad eliminare, diciamo, l'90% del problema. Non ho per il momento log di nessun tipo sottomano, ma se qualcuno mi dice esattamente le info necessarie posso procurarle. Comunque di seguito vi elenco i sintomi che ho rilevato e i vari file intercettati che mi hanno insospettito, e le primitive cure che ho eseguito :

PC : Intel PIII 450/256Mb (è il PC con qui mi collego in internet e uso solo per i test)

OS: Win2KPRO SP4 + varie patches montate ieri su vostro consiglio

AV : McAfee 8.0i Enterprise con sempre l'ultimo DAT/ patch 13 /Engine 4.4.00

FW : McAfee Security Center v8.0 con Anti-Spyware, privacy control, e firewall (da ieri ZoneAlarm Pro 6.5.730)

Sintomi PRIMA della cura e della conoscenza di questo forum: Rallentamento totale del PC caricamento di Windows (circa 20 minuti), e in generale di qualsiasi programma.
(stranamente all'apertura di win l AV aveva disattivato la scansione all'accesso, e il FW non partiva)

file "strani" intercettati visualmente in task manager :

C:\programmi\file comuni\microsoft shared\BmB.exe, che stranamente sono riuscito a eliminare con un semplice delete da subito, ed è quello che era presente come sorgente del servizio con un nome del C...O e con una connessione del tipo .\zwIoIu. Ok ho eliminato il servizio con il comando "instsrv <nome servizio> remove" e anche quello è stato eliminato con successo. Mi sembrava così facile !!!
La seconda volta il PC è sembrato caricare + velocemente (circa 10 minuti), il file BmB.exe non è riapparso. Ma con grande sorpresa è apparso nel folder C:\programmi\file comuni\ il famigerato lpt6.exe, e il servizio falrlocco,anche se disabilitato, era ancora presente. Inutile dire che l' lpt6.exe non sono riuscito ed eliminarlo anche bottando con un floppy creato con NTFSDOSPRO 5.0 che mi permetteva di vedere le partizioni NTFS sotto DOS.
P.S. ne l'AV ne l' AS avevano rilevato nulla di anomalo anche dopo 2 scansioni a richiesta.

Sintomi DOPO la cura fornita da holyfax in questo forum:

disinstallato JAVA 1.4.2_06, disabilitata la scansione AV shutdown del security center.
lanciando RKR nessun RK rilevato, così in avenger ho inserito manualmente le 2 riche di mio interesse da pulire

Codice:
Files to delete:
C:\Programmi\File comuni\lpt6.exe

Folders to Delete:
c:\documents and settings\zwIoIu


lanciato avenger che ha rebootato normalmente la macchina e ha backuppato in C:\Avenger ed eliminato la cartella e il file incriminati. Comunque la cartella C:\Avenger non c'era modo di eliminarla se non con un bellissimo tool, stranamente non citato qui, che è IceSword 1.81 (simile a GMER il quale invece mi mandava in BSOD il PC con messaggio BOOT_ACCESS_ATTACH_DENIED o roba simile) di un cervello cinese che è stato ultimamente ricompilato in inglese.
OK file eliminati, eliminato ancora una volta il servizio balordo con instsrv, reboottato la macchina. Il tempo di load adesso mi sembra normale , tutte le applicazioni sembrano caricare normalmente. reinstallato Java 1.4.2_06, disinstallato McAfee Security Center (troppo pesante) e installato ZA Pro 6.5.730. Scannato ancora la macchina che non ha trovato nulla .... MA .... sto S.....O di sevizio è ancora disabilitato ma presente ! L'unica cosa che non riesco ad eliminare (penso quindi che non ho eliminato definitivamente la causa alla radice). Inoltre nella visualizzazione eventi > sistema c'è il messaggio che il servizio "logXkc" ha impedito l'accesso all'amministratore, per cui il servizio stesso è diventato il gestore. La macchina sembra comunque funzionare correttamente, ma un pò per principio un pò xchè penso che non sia finita qui e non mi sento tranquillo, vorrei sapere da voi esperti come mi devo muovere ....

P.P.S.
nessuna stringa linkoptimizer trovata.
Cosa stranissima ! Cercando di salvare i log con HJ in qualsiasi cartella, rimangono invisibili anche se presenti (quando salvo la seconda volta nella stessa posizione mi chede "file esistente sostituisco?") ed ho provato a salvarli anche con estensioni diverse tipo .doc .xxx . xyz ma non si vedono mai !!!

grazie in anticipo a tutti & regardz 8)
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi