virus linkoptimizer

[gidovi]

buongiorno a tutti.
Il mio pc è stato infettato dal virus linkoptimizer che ho rimosso con l'apposito tool di Symantec. Mi sono rimasti dei file ads evidenziati facendo girare GMER sul rootkit. Ho provato ad eliminarli con Avenger eccovi il comando:
Files to delete:
C:\Documents and Settings\All Users\Dati applicazioni\TEMP:2A81F9CE
C:\WINDOWS\system32:lzx32.sys
ma non ha funzionato.
Potreste aiutarmi? Il pc ora non è più lento come quando il virus era presente, tuttavia mi hanno detto di preoccuparmi anche di questi ADS.
Grazie GianPaolo

[BilloKenobi]

più che altro sembra un atro tipo di infezione. scarica systemscan, salva il log su www.mytempdir.com e poi indicaci il link del file (che sarà un log molto molto lungo)

http://www.mytempdir.com/1124527

[Al è qui]

In linea di massima sei infetto da Backdoor.Rustock.

Controlla questa chiave di registro per esserne sicuro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pe386

Gli Ads in effetti sono usati da varianti di questo Trojan.

[gidovi]

ciao,
ho postato il log di scansystem: http://www.mytempdir.com/1138843.
Purtroppo non so cercare il PE386 sul registro come si fa?
Quali sono gli effetti di tale virus?

Grazie ancora gianpaolo e ale

[Al è qui]

Originariamente inviato da gidovi
ciao,
ho postato il log di scansystem: http://www.mytempdir.com/1138843.
Purtroppo non so cercare il PE386 sul registro come si fa?
Quali sono gli effetti di tale virus?

Grazie ancora gianpaolo e ale

Lascio fare a BilloKenobi, molto competente, visto anche che hai fatto l'analisi di cui lui saprà dirti tutto

[BilloKenobi]

Originariamente inviato da Al è qui
Lascio fare a BilloKenobi, molto competente

:berto:

allora, scusa per l'attesa, ma a natale ho avuto poco tempo

in effetti avevo anch'io pensato al rustock. per eliminarlo, usa questo tool

http://www.uploads.ejvindh.net/rustbfix.exe

poi, per risolvere tutti i tuoi altri problemi, scarica

The Avenger --- http://swandog46.geekstogo.com/avenger.zip

Ora estrai e avvia Avenger.exe

disattiva antivirus, firewall, eventuali moduli hips

Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run | 1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Windows Dialog Verify
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services | Windows Dialog Verify
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services | MS System Call Function
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | MS System Call Function

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\HLI

Files to delete:
C:\WINDOWS\service32.exe
C:\WINDOWS\web\related.htm
C:\WINDOWS\system32\mslpar.exe
C:\Windows\MSSCF32.exe

Dopo di che, clicca sul pulsante Done
Clicca 2 volte sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Il programma rilascia un log con le operazioni eseguite.

Allegami il log di Avenger (che si trova in C:/avenger.txt) con l´esito dello script.

apri poi hijackthis e fixa queste due

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

che sono sintomo dello spyware alexa. per finire a eliminarlo, usa anche spybot S&D e Ad aware, che con alexa vanno ancora bene.

[gidovi]

ciao Billokenobi, ti ringrazio per l'aiuto: anch'io sono stato via in queste vacanze
(colgo l'occasione per augurare a tutti buon anno).
Ho proceduto come segue:
-lanciato eseguibile per eliminare Rustock.B ma non lo trova
il log dice "No Rustock.b-rootkits found" (lanciato anche in mod.provvisoria)
-lanciato script di avenger (allego log);
-Fixati ed eliminati i 2 files con HIjackthis;
-lanciato gmer su rootkit che rileva ancOra un ADS (allego log).

Postato allegati di avenger e di gme:
http://www.mytempdir.com/1153999

Saluti da GianPaolo e Ale

[BilloKenobi]

Originariamente inviato da Al è qui
Controlla questa chiave di registro per esserne sicuro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\pe386

Gli Ads in effetti sono usati da varianti di questo Trojan.

segui quanto dice Al

[gidovi]

ciao,
ho verificato che la chiave indicata da Al con il file pe386 esiste.
Cosa devo farci?

GianPaolo

[BilloKenobi]

eliminala (solo quella chiave)