Rimozione del Rootkit di Gromozon.com alias LinkOptimizer

[LadyHawke]

SI PREGA DI UTILIZZARE LA PRESENTE DISCUSSIONE PER INFO/DUBBI SULLA GUIDA, PER AGGIORNAMENTI SUL MALWARE E PER ESPERIENZE CHE CONTRIBUISCANO ALLA RIMOZIONE O ALL'IDENTIFICAZIONE DI NUOVE VARIANTI: PER LE PROBLEMATICHE PERSONALI POTETE APRIRE UNA NUOVA DISCUSSIONE QUI


GUIDA ALLA RIMOZIONE DEL ROOTKIT DI GROMOZON.COM ALIAS ROOTKIT LINKOPTIMIZER
(How to remove the Rootkit by Gromozon.com, alias LinkOptimizer)

Premessa
La prima premessa da fare è che QUESTO NON E' UN SEMPLICE VIRUS: ad oggi scordatevi quindi di risolvere cancellando un file, o passando un antiqualchecosa qualsiasi: la sua rimozione per adesso si ottiene solo utilizzando un team di programmi e tools, e spesso con qualche intervento manuale. Date una lettura globale alla Guida, perchè potrebbero esserci informazioni che dovete sapere prima di iniziare.
Visto che stiamo assistendo ad un'exploit consistente di questo rootkit, (questo è il nome di questa tipologia di malware, che supponiamo sarà solo l'inizio di una nuova era), piano piano è nata questa guida, nella quale non intendo analizzare il funzionamento tecnico del Rootkit (trovereste certo in rete spiegazioni molto più articolate), ma mi limiterò ad esporre in pratica tecniche di rimozione, info sul come si è colpiti e come si può tentare di prevenire l'infezione

Semplificando, da dove si prende il malware:

Inizialmente solo dai siti server del malware, adesso visitando siti anche attendibili; ormai lo si può trovare sparso ovunque, dai classici siti hard, a quelli di materiale elettronico, poketPC e cellulari: ormai non si sa da dove pararsi: vi può capitare di arrivare su una pagina tricolore o a sfondo completamente blu dove si attiva un immaginario load di un'immagine che mai vedrete, mentre in realtà si stà eseguendo in background il download di un file. Qualcuno stà ipotizzando anche un reindirizzamento a tali siti attraverso quelle mail che fino ad oggi erano considerate solo di spam, ma questo è ancora da verificare. Nelle ultime infezioni si tratta di scaricare appunto un file infetto che si autesegue per poi autodistruggersi, in altre c'è un redirect tramite un JavaScript ai siti che ospitano questi files; inizialmente era un'immagine con l'exploit-WMF che sfruttava un bug di IExplorer: i nomi dei files infetti conosciuti (ma ce ne sono certamente altri), sono:

w-w.google.com
w-w.stars.com
w-w.pictures.com
w-w.super.com
w-w.cars.com
w-w.enter.com
w-w.auto.com
w-w.free.com

Come potete vedere sembrano link ma non lo sono, perchè l'estensione .com significa che il file è un'eseguibile

I sintomi e le verifiche

--Rallentamenti improvvisi del PC, della connessione o disconnessioni continue
--Utilizzo anomalo della CPU
--Impossibilità di accedere ad alcuni siti e/o avviare programmi soprattutto inerenti la sicurezza
--La presenza di queste tipologie di files rilevabili dal log di HijackThis, (anche se non è detto perchè mi è capitato di vedere, anche se raramente), log perfettamente puliti anche con l'infezione in corso):
->\windows\temp\[nomecasuale]1.exe (finisce sempre per 1.exe) (comune anche ad altri malware)
->\windows\[nomecasuale]1.dll (finisce sempre per 1.dll) (comune anche ad altri malware)
->\\?\c:\windows\[nomecasuale].com, lpt, nul, prn o altro (estensioni files non permesse)
->\System\[nomecasuale]aa.dll (finisce sempre con aa.dll)
->\:[adsstream]
->R3 - Default URLSearchHook is missing (comune anche ad altri malware)
->O2 - BHO: Class- {--codice variabile--} - C:/WINDOWS/[nomecasuale.dll] (file missing) o (no file) (comune anche ad altri malware)
--Destano parecchi sospetti anche la presenza altri malware segnalati dai vostri antivirus, in particolare Trojan Agent eTrojan.Small, files segnalati infetti come service32.exe, syst32.dll, syshost.dll, explorre32.exe, nonchè, forse, files tipo nortoncenter.exe, compaq-service.exe, seagate-storage.exe (dei quali parlo più specificatamente nella sezione "Se HijackThis, Tools/programmi antirootkit non si avviano)

Se rilevate qualcuno di questi sintomi dovete controllare in modo certo se sieti stati colpiti:

-Verificate la presenza di un nuovo utente nascosto in Document and Setting con un nome casuale, composto da lettere senza senso, (ad es. tipo jUuNjkLDrhs), lo vedete attivando le due opzioni per la visualizzazione di cartelle e files nascosti

-Se trovate uno o più utenti nascosti, avrete anche un nuovo servizio a loro associato (per controllare: Start--digitate services.msc--invio, e noterete che nella lista, i servizi sono associati, nella colonna Connessione, a tipologie quali Servizio Locale, Servizio di Rete ecc., mentre i/il servizio che cerchiamo, in quella stessa colonna, sarà associato a qualcosa tipo "/jUuNjkLDrhs", ovvero lo stesso nome dell'utente nascosto. Ciò starà a significare che ci saranno anche dei files eseguibili infetti per questi servizi, crittografati (per cui li vedrete di colore verde)

Per verificare la presenta di questi files cliccate con tasto dx sul servizio associato all'utente dal nome strano--Proprietà--casella "Percorso file eseguibile": attualmente ne sono stati localizzati in C:\Programmi\File comuni\System, C:\Programmi\File comuni\Services, C:\Programmi\File comuni\Microsoft Shared, e ultimamente anche in C:\Programmi\ e C:\Programmi\Windows NT (dove ovviamente C: è la lettera che identifica la partizione dove avete il Sistema Operativo)

**NOTA DEL 09.04.2007: Vedere a fondo Guida per la nuova variante del LinkOptimizer**

Ultima Versione della Guida sulla rimozione
(Aggiornata al 26.11.2006)

-Programmi citati e utilizzati nella Guida: Hijackthis, Ccleaner, ReegSeeker, AgVPFix, Pserv, Tool PrevX, Tool Symantec, Virit, Sophos Antirootkit (richiede registrazione gratuita), Gmer, MyUninstaller, RunAnalyzer, Rootkit Releaver, IceSword, Avenger
Non è assolutamente detto che occorrano tutti, anche perchè diversificheremo in tre tipologie di rimozione, quindi vedete più avanti quali scaricare subito

IMPORTANTE-Leggere prima di iniziare: *Rimanete disconnessi da Internet per tutta la procedura (staccate il cavo di rete se avete un Router)*Disattivate il Ripristino di Sistema*Attivate la visualizzazione di cartelle e files nascosti (ricordate che sono due opzioni, se non siete sicuri seguite il link)*Disattivate dall’avvio automatico tutti i processi (Start--esegui--digitare msconfig--Tab Avvio togliendo la spunta a tutto, li rimetterete a lavoro finito)

IMPORTANTE: SE HIJACKTHIS, TOOLS/PROGRAMMI ANTIROOTKIT NON SI AVVIANO

Secondo la variante che vi ha colpito potrebbe bastare rinominare i files, comunque Virit dovrebbe essere generamente in grado di risolvere il problema dei programmi che non funzionano e dei siti ai quali non si riesce ad accedere: avrete bisogno dell'ultima versione del software, in costante aggiornamento proprio perchè fra i software bloccati; (dovrete scaricarla da un'altro PC, oppure da qui, dove è stato creato un mirror alla Guida, link compresi: lanciate l'installazione che terminerà regolarmente, anche se l'antivirus non si avvierà: per poterlo eseguire dovete andare all'interno della sua cartella in C:\VEXPLITE e lanciare il file GOTGSOFT.BAT; questo permetterà all'antivirus di attivarsi ed eliminare subito il Rootkit che troverà in memoria, sbloccando programmi e Siti: a questo punto potete continuare con il punto 3 della guida

ATTENZIONE: Potrebbe verificarsi che solo HijackThis e pochi altri programmi non funzionano, e il responsabile è un file specifico: i nomi di questi files ricordano hardware e software (es. nortoncenter.exe, compaq-service.exe, seagate-storage.exe), e si posizionano come valore UserInit (valore F2 del log di HijackThis), e nell'avvio automatico; fino ad ora sono stati rilevati in C:\windows.
Non ho nessuna prova, nè la presunzione di scoprire relazioni inesistenti, (anche perchè il problema di HJT che non si avvia non si risolve neanche dopo che i tools antirootkit hanno fatto il loro lavoro), ma da quanto ho visto nel forum tutti quelli che hanno avuto a che fare con questa tipologia di files che bloccavano HJT erano anche affetti dal Gromozon, quindi quanto indicherò di seguito servirà almeno a rendere di nuovo operativo HijackThis per combattere il Rootkit: la Prevx, ha qui* la lista completa di questi files (che però non associa al Gromozon)
Per sbloccare HJT dovete seguire questa procedura:

-Terminare dal Task Manager il processo relativo al file sospetto (controllate la lista PrevX). -Aprire il File di Registro (Start--esegui--digitare regedit--ok)
-Cercare questa chiave;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
-Selezionare Winlogon e nella finestra di destra fare doppio click sulla chiave Userinit
-Nella finestra che si apre c'è la stringa contenente il valore di Userinit, che sarà tipo: c:\windows\system32\userinit.exe,"c:\windows\[nomefile].exe",
la parte in verde lasciatela, la parte in rosso cancellatela
-Eliminare manualmente il file terminato prima, chiudere il registro e riavviare il PC

Rimozione-Metodo A: Per Windows XP - Utilizzando i tool di rimozione (con verifica dell'effettivo operato)

-->SE I VARI PROGRAMMI NON FUNZIONANO, ESEGUITE I PUNTI 1 E 2 , POI TORNATE ALLA SEZIONE "SE HJT, TOOLS/PROGRAMMI ANTIROOTKIT NON SI AVVIANO"

1)-Ripulite tutto con Ccleaner (meglio sarebbe controllare manualmente che sia cancellato tutto il contenuto delle cartelle Temp e Temporary Internet Files, e Prefetch)
2)-Controllate manualmente dove sono i files infetti relativi al servizio random (Start--digitate services.msc--invio, tasto dx sul Servizio associato all'utente dal nome strano--proprietà--annotate il percorso del file eseguibile, il nome del servizio e dell'utente associato, per ogni servizio)
3)-Lanciate il tool della PrevX
4)-Lanciate il tool della Symantec
5)-Lanciate Virit, aggiornatelo e fategli effettuare la scansione
6)-Salvate i log di queste scansioni: serviranno a verificare quali files sono stati intercettati come infetti, e che cosa dobbiamo controllare per stabilire di aver pulito tutto. I tre log che servono sono:
-il primo log di Virit (si trova in C:\VEXPLITE\VIRITEXP.log;
-il log del PrevX in C:\gromozon_removal.log;
-il log del Symantec in [cartella dalla quale avete lanciato il programma] \FixLinkop.txt.
7)-Controllate in C:\Programmi o C:\Program Files se c'è la cartella del LinkOptimizer e cancellatela: non cercate mai di disinstallare il malware da Installazione Applicazioni: se lo trovate lì, (ma potrebbe utilizzare altri nomi: vedere lista a fondo guida) usate MyUninstaller per rimuoverlo, utilizzando la funzione Delete, e successivamente eliminate la cartella se esistente
8-Opzionale (Questo passaggio potrebbe probabilmente essere saltato: ma a me sapere di avere avanzi di schifezze in giro dà fastidio: in fondo bastano 5 minuti). Avviate RegSeeker ed utilizzando la funzione cerca files inutili, e selezionando tutte le HK inserite nella stringa di ricerca, (uno per volta), il nome utente, il nome del servizio, e quello dei file fixati con HJT, selezionando e cancellando quanto trovate (attenzione che se i nomi che cercate sono molto corti potreste trovare voci che li contengono ma con i quali non hanno niente a che fare: se si cerca l'utente Epo non si deve cancellare "Reposity", ma solo quanto troviamo come epo, inteso come parola a sè)

Non sempre i tools riescono a fare quello che dichiarano, dipende dalle varianti del rootkit che incontrano, sempre in evoluzione; quindi sarebbe auspicabile una verifica, a meno che non vogliate crogiolarvi ciecamente nella convinzione che sia andato tutto bene subito:

9-Con la procedura data al punto 2) controllate:
a). Se ancora esiste il servizio dal nome random (casuale): se c'è, eliminatelo (funzione Delete), con PServ
b). In Document and Setting se c'è ancora la cartella dell'utente dal nome random (casuale): se c'è, potete eliminarla tranquillamente a mano
c). Controllate nel percorso che avevate appuntato relativo al file eseguibile del servizio, se quel file è stato cancellato e soprattutto se ce ne sono altri di colore verde: se ne trovate, eliminateli con AGVPFix
d)- Andate su Start--Esegui--digitate control userpasswords2 e dalla lista verificate che non sia più presente l'utente random: se c'è, naturalmente, eliminatelo (tasto dx=Elimina) e). Lanciate Gmer, cliccate sulla casella Rootkit e lanciate lo scan: il file nascosto del Rootkit, se ancora presente, sarà segnalato in rosso con la scritta --->ROOTKIT, oppure apparirà nelle ultime righe tra due di questi delimitatori: ---- EOF - GMER 1.0.10 ----


Rimozione-Metodo B: Per Windows 98 e Windows Millenium
1)-Cercate con Hijackthis i files del malware e fixateli: se avete difficoltà potete allegare il log di HJT nel forum e vi aiuteremo ad individuarli ATTENZIONE: potrebbe non funzionare neanche HijackThis, nel qual caso utilizzate RunAnalyzer, lasciategli caricare le informazioni, poi andate su "Rapporti" e cliccate su "Crea Rapporto stile HJT",salvatelo cliccando sull'icona apposita: non è proprio lo stesso che HJT, ma dovremo accontentarci, oppure lanciate subito VIRIT seguendo le istruzioni al punto 10 del Metodo "A" (appena qui sopra), altrimenti non funzionerà neanche quello
2)-Ripulite tutto con Ccleaner (meglio sarebbe controllare manualmente che sia cancellato tutto il contenuto delle cartelle Temp e Temporary Internet Files)
3)-Lanciate il tool della Sophos e provate pure ad eliminare file e voci infette che trova, ma soprattutto annotateveli: non rimuoverà granchè, ma riusciremo a vedere meglio con che cosa abbiamo a che fare, e a verificare eventualmente in un secondo tempo che cosa via via si riesce a cancellare
4)-Rilanciate Virit, aggiornatelo, e fategli fare un'altra scansione o due (trova spesso i files nascosti a più riprese)
5)-Controllate in C:\Programmi o C:\Program Files se c'è la cartella del LinkOptimizer e cancellatela: non cercate mai di disinstallare il malware da Installazione Applicazioni: se lo trovate lì, (ma potrebbe utilizzare altri nomi: vedere lista a fondo guida) usate MyUninstaller per rimuoverlo, utilizzando la funzione Delete, e successivamente eliminate la cartella se esistente
6-Opzionale (Questo passaggio potrebbe probabilmente essere saltato: ma a me sapere di avere avanzi di schifezze in giro dà fastidio: in fondo bastano 5 minuti). Avviate RegSeeker ed utilizzando la funzione cerca files inutili, e selezionando tutte le HK inserite nella stringa di ricerca, (uno per volta), il nome utente, il nome del servizio, e quello dei file fixati con HJT, selezionando e cancellando quanto trovate (attenzione che se i nomi che cercate sono molto corti potreste trovare voci che li contengono ma con i quali non hanno niente a che fare: se si cerca l'utente Epo non si deve cancellare "Reposity", ma solo quanto troviamo come epo, inteso come parola a sè)

Rimozione-Metodo C: Per Windows XP - Scritto prima dell'avvento dei tools -Il più "manuale", forse il più sicuro, ma non sempre attuabile

-->SE I VARI PROGRAMMI NON FUNZIONANO, ESEGUITE I PUNTI 1 E 2 , POI TORNATE ALLA SEZIONE "SE HJT, TOOLS/PROGRAMMI ANTIROOTKIT NON SI AVVIANO"

1-Cercate con Hijackthis i files del malware e fixateli: nel mio caso avevo solo C:\windows\temp\ppng1.exe (se avete difficoltà potete allegare il log di HJT nel forum e vi aiuteremo ad individuarli)
2-Ripulite tutto con Ccleaner (meglio sarebbe controllare manualmente che sia cancellato tutto il contenuto delle cartelle Temp e Temporary Internet Files, e Prefetch)
3-Andate su Start--digitate services.msc--invio, tasto dx sul Servizio associato all'utente dal nome strano--proprietà--annotate il percorso del file eseguibile, il nome del servizio e dell'utente associato (nel mio caso il servizio era NetGdR, il percorso dell'eseguibile C.\programmi\File comuni\system\GRJ.exe e RofJQQ l'utente)
4-Avviate Pserv, individuate il servizio, ed eliminatelo con il tasto dx, opzione Delete.
5-Avviate AgVPFix e indicategli come percorso quello dell’eseguibile del servizio disabilitato; lì troverete più files di colore verde: sono l'eseguibile del servizio e i file di scorta se questo viene in qualche modo corrotto, quindi, uno ad uno eliminateli tutti. Con questa operazione dovrebbe essere automaticamente eliminata anche la cartella dell'utente nascosto, ma per sicurezza controllate in Document and Setting, ed eventualmente cancellatela
6-Lanciate Gmer, cliccate sulla casella Rootkit e lanciate lo scan: il file nascosto del Rootkit, se ancora presente, sarà segnalato in rosso con la scritta --->ROOTKIT, oppure apparirà nelle ultime righe tra due di questi delimitatori: ---- EOF - GMER 1.0.10 ---- 7-(Questo passaggio potrebbe probabilmente essere saltato: ma a me sapere di avere avanzi di schifezze in giro dà fastidio: in fondo bastano 5 minuti). Avviate RegSeeker ed utilizzando la funzione cerca files inutili, e selezionando tutte le HK inserite nella stringa di ricerca, (uno per volta), il nome utente, il nome del servizio, e quello dei file fixati con HJT, selezionando e cancellando quanto trovate (attenzione che se i nomi che cercate sono molto corti potreste trovare voci che li contengono ma con i quali non hanno niente a che fare: se si cerca l'utente Epo non si deve cancellare "Reposity", ma solo quanto troviamo come epo, inteso come parola a sè)
8-Cercate anche in C:\Programmi o C:\Program Files se c'è la cartella del LinkOptimizer e cancellatela: non cercate mai di disinstallare il malware da Installazione Applicazioni: se lo trovate lì (ma potrebbe utilizzare altri nomi: vedere lista a fondo guida), usate MyUninstaller per rimuoverlo, utilizzando la funzione Delete Entry, e successivamente eliminate la cartella se esistente
9-Adesso dobbiamo cercare il file invisibile: aprite Gmer e lanciate lo scan dal Tab Rootkit, e fate un copia/incolla nel Blocco Note dei percorsi dei files che trova nascosti (nel mio caso C:\Windows\beedg1.dll e C:\Windows\System32\com7.yyt)
10-Aprite Avenger, nella finestra di input fate un copia/incolla di queste righe:

Registry values to replace whit dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\windows\beedg1.exe
C:\Windows\System32\com7.yyt

sostituendo i miei percorsi con quelli che avete annotato prima dalla scansione con Gmer.
Selezionate anche "Automatically disable any rootkits found", premete Execute e permettete il reboot. Controllate dal log che appare al riavvio che tutto lo script sia andato a buon fine, riaprite AgVPFix e cancellate i files all’interno della cartella C:\Avenger, che sono i backup dei files invisibili.

11-Andate su Start--Esegui--digitate control userpasswords2-OK e dalla lista verificate che non sia più presente l'utente random: se c'è, naturalmente, eliminatelo
12-Infine riavviate HijackThis, perchè è possibile che il/i files invisibili compaiano adesso alla voce O20 del log: fixateli normalmente e riavviate, perchè di fatto Gmer e RootkitReleaver non li troveranno più



Prevenire è meglio che curare
Anche se non c'è nessuna certezza che non cadrete nella rete del Rootkit, si possono seguire delle semplici regole per cercare di prevenire l'infezione:

1) Prima di tutto utilizzate un Browser diverso da IExplorer: la maggior parte dei sistemi di infezione sfrutta suoi bug. Potete passare a Firefox oppure ad Opera.
2) Mantenete aggiornata la Java Virtual Machine ed il Sistema Operativo con i Service Pack e le successive Patch, in particolare riferendosi a questi Bollettini sulla Vulnerabilità di Microsoft:

->MS04-025
->MS03-011
->MS06-006
->MS06-001
->MS06-013
->MS06-055
->MS06-057

3) Utilizzate un Firewall: vi aiuterà nella gestione egli accessi su alcune porte dalle quali potrebbero presentarsi ospiti a pranzo (e il cibo è il vostro PC)
4) Usate sempre un pò di buonsenso quando scaricate qualcosa e quando ricevete e-mail con allegati o siti da linkare; quando si aprono pop-up sui siti che visitate usate ctrl+alt+canc per chiuderli e non cliccate su nessun bottone...
5) Ad oggi, una buona difesa pare sia data da PrevX1, che lavorando in background potrebbe bloccare l'infezione

Nomi (conosciuti) con i quali si può trovare LinkOptimizer in Installazione Applicazioni **NON rimuovere da lì ma seguire le istruzioni nella guida**

-LinkOptimizer
-ConnectionService
-Power Verify
-StrongestGuard
-ConnectionKnight
-StrongestOptimizer
-SecurityOptimizer
-InternetOptimizer
-StrongestPaladin
-SecurityGuard
-InternerGuard
-InternetShield

09.04.2007 - *** NUOVA VARIANTE DEL LINKOPTIMIZER ***: questa nuova variante continua a bloccare il nostro e altri due Forum che si attivano per la sua rimozione; in più è aumentata la lista dei software bloccati.
Qui trovate l'analisi Symantec della nuova variante e qui le istruzioni con il Tool complementare alla rimozione; per le chiavi di registro da eliminare potete aiutarvi con RegSeeker (funzione "cerca files inutili", link a inizio guida) che non risulta essere ancora bloccato: appena possibile inserirò nella Guida le specifiche della procedura

(Nella versione distribuita in formato .pdf, LE PROCEDURE PER RIPRISTINO/VISUALIZZAZIONE files nascosti, Disattivazione Ripristino di Sistema e FIX con HijackThis e LE TROVATE scritte A FONDO GUIDA, così come gli URL per il download dei software)

Guida originale "work in progress"
PDF su CollectionTricks
Mirror su P2Psicuro.it

[hardheart]

Ciao LadyHawke,
volevo dare qualche suggerimento sulla guida, poichè, io essendo poco esperto, penso possa rendere più ampiamente accessibile le tue informazioni (che ad uno sguardo esperto possono essere scontate).
Al punto 2 si dice di fixare con Hijackthis, ma avendoli disattivati (i processi), hijackthis non li trova..
Al punto 3, tra parentesi, c' è scritto di svuotare Temp e le altre cartelle. Ma in che senso? Svuotare TUTTO?
Al punto 6, con AgVPFix, occorre selezionare IL file (io pensavo che era possibile selezionare la cartella) ed io ne ho trovati 46!..di files di colore verde.
Al punto 7, con RegSeeker, c' è la funzione cerca VOCI inutili e penso sia opportuno sostituire il termine "ricercate" con "inserite nella stringa di ricerca".
Poi, sempre al punto 7, io ho trovato (a me l' accountdel virus era .\DNC) un DNC, ma non nella sintassi della chiave che era WinLogon....specialaccounts...profile (scusa, ma non lo ricordo bene), ma nel nome (DNC) e senza lo \
Quindi l' ho tralasciata...
Punto 8: io non ho trovato la cartella di LinkOptimizer in quelle che hai scritto e nemmeno in altre, benchè sia presente il LinkOptimizer in Pannello di Controllo->Installa Applicazioni.
Ciao

[LadyHawke]

Cita: Scritto in origine da hardheart Al punto 2 si dice di fixare con Hijackthis, ma avendoli disattivati (i processi), hijackthis non li trova..

No, al punto 2, prima di HJT, non è ancora stato disattivato niente , comunque se parliamo del servizio, non compare nel log, se parliamo degli altri file che fanno parte del malware, ti assicuro che stanno lì anche in Modalità Provvisoria (per questo non ho neanche ritenuto di lavorare in tale modalità, visto che con questo malware non cambia niente)

Cita: Al punto 3, tra parentesi, c' è scritto di svuotare Temp e le altre cartelle. Ma in che senso? Svuotare TUTTO?

Si, eliminare tutto il contenuto di queste cartelle:è tutta roba assolutamente inutile e in questi casi pure dannosa. (aggiusto la frase)

Cita: Al punto 6, con AgVPFix, occorre selezionare IL file (io pensavo che era possibile selezionare la cartella) ed io ne ho trovati 46!..di files di colore verde.

46... Ma infatti io ho scritto di eliminarli uno ad uno

Cita: Al punto 7, con RegSeeker, c' è la funzione cerca VOCI inutili e penso sia opportuno sostituire il termine "ricercate" con "inserite nella stringa di ricerca".

Nessun problema a modificare

Cita: Poi, sempre al punto 7, io ho trovato (a me l' accountdel virus era .\DNC) un DNC, ma non nella sintassi della chiave che era WinLogon....specialaccounts...profile (scusa, ma non lo ricordo bene), ma nel nome (DNC) e senza lo \ Quindi l' ho tralasciata...

Qui dovresti essere più chiaro...magari se serve posta qualche screen

Cita: Punto 8: io non ho trovato la cartella di LinkOptimizer in quelle che hai scritto e nemmeno in altre, benchè sia presente il LinkOptimizer in Pannello di Controllo->Installa Applicazioni.

Se è chiaramente installato dovrebbe esserci... hai controllato anche in C:\Program Files?

[hardheart]

Cita: Scritto in origine da LadyHawke 46... Ma infatti io ho scritto di eliminarli uno ad uno Nessun problema a modificare

Eliminandoli uno ad uno, cioè vuol dire di farli leggere ad AgVPFix uno ad uno...ed ho visto che solo quello in questione (si chiamava: vyM.exe) sembrava contenesse il virus...gli altri venivano comunque cancellati dal programma. Poichè hai scritto che uno ad uno occorreva eliminarli tutti, e forse spinto dal fatto che erano di colore verde, li ho cancellati tutti in blocco...e mi sono tolto il pensiero...
Cmq il pc mi si accende ancora....

Cita: Scritto in origine da LadyHawke Se è chiaramente installato dovrebbe esserci... hai controllato anche in C:\Program Files?

Si, un po' dappertutto, ma non l' ho trovato...e chissà dov' è installato...
Ho provato anche con una ricerca col comando di Xp...

[[_SHIN_]]

Oggi ho sperimentato questo flagello in una rete LAN con PC Windows 2000 PRO SP4. Dopo 4 ore di battaglia ho dovuto rinunciare ed ho programmato una formattazione.

Per dovere di cronaca la guida proposta da lady, seguita al millesimo, non e' stata efficace. Dopo l'ultimo passaggio ho riavviato ed eseguito MS update: il sito non si e' mai aperto, ma l'antivirus ha ripreso a segnalare la presenza del maligno.
L'antivirus (Norton AV corporate ED. schedulato con l'aggiornamento e scansione giornaliere) identifica correttamente linkoptimizer in un file ma non e' in grado di riparare il sistema.
La sensazione che ho avuto e' che nella procedura indicata ci sia un passaggio mancante che probabilmente non e' stato ancora scoperto.

Da piu' parti ho letto che l'infezione viene contratta sui sistemi che non hanno una patch di Microsoft (http://www.microsoft.com/technet/sec.../MS06-001.mspx)

Per chi non ha installato questa patch consiglio di farlo ora: selezionate il vostro sistema operativo, scegliete la lingua italiana (se necessario) ed eseguitela. Eviterete l'infezione.
La patch non toglie l'infezione sui sistemi gia' contagiati.

[asterix]

questo è il titolo esatto della patch "Microsoft Security Bulletin MS06-001
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution (912919)"

per verificare l'avvenuta installazione andare in control panel - add or remove programm - attivare il punto 1 e verificare la presenza della patch (punto 2)

[[_SHIN_]]

Aggiungo una lettura interessante (PDF-English) , dove da una approfondita ricerca di un editore di hwupgrade.it (Marco Giuliani) viene fuori tutta la tecnica di questa bestiola.
Personalmente non ho mai visto un malware cosi' complesso e articolato.
Viene anche indicata una procedura sommaria di rimozione (specificando pero' che date le numerose varianti potrebbe essere inefficace), e un tool automatico di rimozione che non ho provato.

[LadyHawke]

Si [_SHIN_], quel documento lo conoscevo, caruccio il pupo vero?

Purtroppo stò cercando di provare anche su W2k la stessa infezione che ho provocato su XP, ma la Vecchia Signora, pur spatchata e senza AV, non ne vuole sapere di collaborare, e sono riuscita a rimediare solo un misero Trojan

[[_SHIN_]]

Ciao Lady,
visto che sei fornita di macchine di test, mentre le mie rimanenti della LAN sono di "produzione", sarebbe interessante (se lo ritieni possibile) provare quel tool di rimozione consigliato alla fine del PDF. Se dovesse essere efficace, non solo salveresti il mio fondoschiena , ma avremmo un valido consiglio per la comunity, che attualmente dispone solo della procedura manuale.

[GmG]

Ho provato a scaricare il solito www.google.com da gromozon ma mi da il risultato This site is closed.
Spero che il sito sia stato chiuso e non che abbiano cambiato metodo di infezione.