problemi con link optimizer e win98

[lallosauro]

Ciao a tutti
Innanzitutto: uso win98 e ho già seguito le istruzioni su malware etc. e quelle su linkoptimizer messe in rilievo su questo forum.
Il problema è che da un giorno all'altro non riesco più a navigare, né a
controllare la posta elettronica. La connessione ADSL non salta, ma si
chiude la finestra di explorer e si aprono degli strani popup. Mentre
cercavo tra le applicazioni nel disperato tentativo di risolvere il problema
ho scoperto che c'è anche "Linkoptimizer". Sono riuscita miracolosamente a
scaricare HijackThis e fare una scansione con bitdefender, ma purtroppo non
posso applicare le altre procedure di rimozione, sia per il problema di
explorer in sé, sia perché la maggior parte dei programmi consigliati sui
forum non sono compatibili con Win98 (come avatar e Rootrevealer..). Il file
"Linkoptimizer" (o la cartella) c'è sicuramente, però non lo trovo e anche
se provo a disinstallarlo (ad esempio con myuninst, mi dice che è "obsoleto"
e non lo fa) si può solo rimuovere e si ripresenta al successivo avvio di
Windows. Altre cose che possono essere rilevanti sono che sicuramente il
computer è stato attaccato da questi Trojan:
System%\oleext.dll
System%\intell321.exe
Windir%\warnhp.html
Windir%\uninstDsk.exe
Il quale attacco per la Symantec si chiama ALEMOD e insieme a questi file
verrebbe creato anche UserProfile%\Application Data\Microsoft\Internet
Explorer\Desktop.htt. Effettivamente questo file è presente sul mio
computer, ma neppure il norton lo vedrebbe come pericoloso..Anzi, l'ultimo
attacco rilevato dal mio antivirus è stato il 14/07, da un TR\Agent.VP6 e
poi niente, nonostante tutti i problemi il computer sembra essere
pulitissimo per almeno 3 antivirus e spybot..Boh?
Infine Spybot nell'esecuzione automatica ha trovato un file strano
[Msnmsgq32] Windows\Msnmsgq.exe, che ho spuntato, ma non trovo affatto in
Windows. Lo cancello anche dall'esecuzione automatica?
Mi rendo conto che il computer ormai è un rottame, ma ha funzionato fino a
ieri, vorrei almeno capire che è successo e non essendo per niente pratica
mi piacerebbe avere dei consigli prima di mettermi a cancellare file e
aggravare la situazione già poco rosea!
Allego il log di HijackThis, se serve ho anche i risultati di myuninst.

Logfile of HijackThis v1.99.1
Scan saved at 17.34.14, on 20/07/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMI\USB FLASH DISK UTILITY\UFD UTILITY\USBTD.EXE
C:\PROGRAMMI\USB FLASH DISK UTILITY\UFD UTILITY\UFDMON.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMMI\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMMI\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\ALICE TI AIUTA\BIN\MPBTN.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Class - {2050414B-9DFE-B2B8-F10D-19D767B020C6} - C:\WINDOWS\FIBUK1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [UFD Utility] C:\Programmi\USB Flash Disk Utility\UFD Utility\USBTD.exe
O4 - HKLM\..\Run: [UFD Monitor] C:\Programmi\USB Flash Disk Utility\UFD Utility\UFDMon.exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [avgctrl] "C:\Programmi\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programmi\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmi\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page into English - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .swf: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin5.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...9x/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab


grazie mille, ttendo una risposta!

[lallosauro]

...il perché Linkoptimizer non viene eliminato è semplice. Per Spybot, nelle voci di registro per Linkoptimizer risulta errata o inesistente la cartella di eliminazione:
- Category: Informazioni di disinstallazione errate Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Uninstall\LinkOptimizer
- Filename: "C:\Program Files\Internet Explorer\iexplore.exe" "http://notetol.com/uninstall.php"
Ma se provo a correggerlo, lo corregge come "C:\Program Files\Internet Explorer\iexplore.exe", che non posso certo eliminare. Provo lo stesso?
Se serve ho anche il resto delle voci di registro errate.

Inoltre ho questo:
Category: File di esecuzione automatica non trovato
Location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\WinAmpAgent
Filename: C:\WINDOWS\msexploren.exe
Data:
che però esiste nell’esecuzione automatica!!!

grazie ancora!

[holifay]

Sì ascolta è un po´ più complicato in W98 perchè i tool consigliati nel topic su linkoptimizer in cima al forum non girano sul tuo windows.

Scarica e installa Virit, aggiornalo e poi fai una scansione. Poi posta il risultato: quello che riesce a cancellare e quello che invece non riesce.

Disabilita temporaneamente il tuo AV mentre usio Virit.

Ciao

[lallosauro]

OK! Ieri notte ho fatto una scansione con virit ed è risultato questo:
- C:\WINDOWS\9075.TMP Infetto da BHO.Agent.AS
* * * RIMOSSO * * *
- C:\WINDOWS\fibuk1.dll Infetto da BHO.Agent.AS
Contattare il Supporto Tecnico TG Soft
- C:\WINDOWS\91F3.TMP Infetto da BHO.Agent.AS
* * * RIMOSSO * * *
Poi l’ho fatto nuovamente e ha rimosso anche C:\WINDOWS\fibuk1.dll Infetto da BHO.Agent.AS
* * * RIMOSSO * * *
Ho cancellato tutti i file temporanei, poi ho controllato in C:\WINDOWS e c’era un file strano tipo fibuk1.upd e l’ho cancellato da sola.
Infine ho fixato con HijackThis:
- R3 - Default URLSearchHook is missing
- O2 - BHO: Class - {2050414B-9DFE-B2B8-F10D-19D767B020C6} - C:\WINDOWS\FIBUK1.DLL (file missing)
- O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
(l’ultimo solo perché so che è associato a Real Player, che uso solo come lettore di riserva)

Risultato di stamattina:
virit non trova più niente
LOG di HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 10.25.15, on 22/07/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMI\USB FLASH DISK UTILITY\UFD UTILITY\USBTD.EXE
C:\PROGRAMMI\USB FLASH DISK UTILITY\UFD UTILITY\UFDMON.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\VEXPLITE\MONLITE.EXE
C:\PROGRAMMI\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMMI\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\ALICE TI AIUTA\BIN\MPBTN.EXE
C:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [UFD Utility] C:\Programmi\USB Flash Disk Utility\UFD Utility\USBTD.exe
O4 - HKLM\..\Run: [UFD Monitor] C:\Programmi\USB Flash Disk Utility\UFD Utility\UFDMon.exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [avgctrl] "C:\Programmi\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programmi\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmi\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmwordtrans.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page into English - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .swf: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin5.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...9x/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab



P.S. però linkoptimizer c’è ancora nelle installazione/applicazioni e me lo segnala ancora anche con myinstall. E il problema rimane, non riesco ancora a navigare (ora sto usando un altro pc..).


Grazie!

[holifay]

Non risci a navigare in Internet per i popup che continuano o per altri motivi?
Se fai girare ancora Virit ti ritrova ancora lo stesso BHO.Agent.AS, magari in un altro file?

Prova a fare qualche scansione sopo il reboot. Se trova qualcosa rifalla. Sarebbe importante sapere il percorso di quello che non riesce ad eliminare. Finchè riesce va tutto bene.

Prova anche a vedere se trovi dei file che si chiamano lpt# com# nul# prn# con estensione random (# è un numero) creati nel PC nel giorno dell´infezione.

Ciao

[thomas_anderson]

- O2 - BHO: Class - {2050414B-9DFE-B2B8-F10D-19D767B020C6} - C:\WINDOWS\FIBUK1.DLL (file missing)

questo file deve essere probabilmente ancora presente. parti dalla modalità proviisoria, apri il prompt del DOS e fai questa verifica, digitando:

codice:

cd c:\windows
dir /a /p /o:n

facci sapere

quello è il file principale del trojan. per fortuna questo trojan crea solo file ausiliari ma nessuna backdoor.


fai una scansione con: http://www.greatis.com/security/
che gira anche su Windows 98.

[lallosauro]

Grazie mille ad entrambi tanto per cominciare.
Per ora i pop-up non compaiono più , tuttavia non posso entrare nella maggior parte dei siti che cerco di aprire, questo compreso, perché si apre una finestra di errore ed explorer si chiude. Sfortunatamente non è una finestra di errore comune, perciò non compare scritto il problema, ma è un avviso di Microsoft, che invita ad inviare la segnalazione.
Ho fatto nuovamente delle scansioni con virit, ma non trova più nulla. Ho anche cercato file con nomi come lpt#.* etc., ma non ci sono!
Inoltre ho cercato di nuovo fibuk1.dll con la modalità provvisoria e non sembra essercene più traccia neppure in dos.
Infine ho scaricato dal sito di greatis “RegRun Control Center”, con gli aggiornamenti. Effettivamente parte, ma è troppo complesso da utilizzare per me. Se provo a fare la scansione, mi chiede lui cosa deve eliminare oppure no, ma io non posso sapere cosa è un virus e cosa no, speravo fosse lui a dirlo a me! Però qualcosa di strano ha trovato facendo antispyware:
[Main File Extensions] :HKLM .jpg="C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome
[Main File Extensions] :HKLM .jpeg="C:\PROGRA~1\INTERN~1\iexplore.exe" –nohome
Di questo ho salvato il log se può servire.
Facendo invece scan for viruses, ha rafforzato i miei dubbi su altri file, come:
[WinAmpAgent] C:\WINDOWS\msexploren.exe /I
che risulta nell'esecuzione automatica ma non viene trovato il file.
Sicuramente non posso usarlo da sola, né posso cancellare file basandomi sull’antipatia che provo per il nome.. Se specificate quali analisi è meglio che faccia e i log che potrebbero servire, seguirò volentieri le vostre preziose istruzioni!! Scusate ancora per l’ignoranza abissale in materia informatica!

[thomas_anderson]

Prova con questo:

1. Scaricate RegSrch.zip. Estraete lo script RegSrch.vbs dall´archivio e mettetelo sul desktop. Poi avviatelo e nella finestra che si apre scrivete il nome della dll che era nascosta (es hyqtt1.dll). Poi attendete fino all´apertura di una finestra di Wordpad che riporta le chiavi da cui era richiamato il file. Navigate nel registro di sistema (regedit.exe) fino a quelle chiavi ed eliminatele. Attenzione a cosa si cancella!
2. in caso di NTFS: fate la scansione degli ADS con HijackThis. Aprite HijackThis, premete Open the misc tools section, poi si clicca su Open Ads Spy... e si toglie il segno di spunta dalla casella Quick Scan. Faite riferimento a questa parte della guida. Localizzate se presente il file con nome riservato (es com4.igp), selezionatelo mettendo un segno di spunta nella casella accanto alla voce e premete Remove selected
3. da HijackThis, cliccate Open the misc tools section >> open Uninstall Manager. Selezionate la voce linkoptimizer e premete Delete this entry.

leggi nella guida il link per scaricare RegSrch.zip. questa è l'unica cosa compatibile con il tuo sistema operativo. ciao



se il bastardo non ha infettato la connessione, scarica Opera (http://www.opera.com/ ) e naviga con quello, per ora.

[holifay]

Non sono sicura delle chiavi tipo questa:[Main File Extensions] :HKLM .jpg=\"C:/PROGRA~1/INTERN~1/iexplore.exe ma credo significhi solamente che verrà usato Internet Explorer come visualizatore predefinito per le immagini jpg.

Per quanto riguarda C:/WINDOWS/msexploren.exe sembrerebbe proprio da eliminare. Il file riesci a vederlo? Potresti eventualmente spedirlo a www.suspectfile.com in un archivio zippato?

Se non lo vedi tra i file (abilita la visualizzazione dei file nascosti) e nemmeno sai da quale chiave è caricato, prova ad eliminarlo comunque al reboot con Killbox

Una volta scaricato sul desktop, selezioni l´opzione delete on reboot, poi nel campo scrivi il nome del file con il percorso completo. Poi premi il pulsante rosso con la X bianca e il computer si dovrebbe riavviare. Se non lo fa riavvialo tu

Al riavvio dovresti trovare il file eliminato nella cartella C:/!Killbox. Se lo trovi mandalo a www.suspectfile.com per favore

Ciao

NOTA: per visualizzare i file nascosti/sistema occorre lanciare ESPLORA RISORSE (Start|Programmi|Esplora Risorse) e spostarsi nella cartella WINDOWS. Seleziona VISUALIZZA|OPZIONI CARTELLA, posizionati sulla scheda VISUALIZZA e:

(1) deseleziona l\'opzione NASCONDI LE ESTENSIONI DEI FILE PER I TIPI DI FILE CONOSCIUTI;
(2) seleziona l\'opzione MOSTRA TUTTI I FILE (sotto FILE NASCOSTI).

[lallosauro]

Fatto! E c’era ancora l’orrido file!
REGEDIT4
; Registry search results for string "fibuk1.dll" 24/07/06 11.56.07:
- [HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{0C52BE9 9-4967-34E8-FCFE-C3788164C86C}\InprocServer32]
@="C:\\WINDOWS\\FIBUK1.DLL"
- [HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{1D26F17 C-4F97-52CF-068A-F032861642C2}\InprocServer32]
@="C:\\WINDOWS\\FIBUK1.DLL"
Ho fatto tutto tranne il secondo punto perché non ho NTFS, e infatti Linkoptimizer non appare più nelle applicazioni neanche al riavvio!! Grazie grazie!! Sfortunatamente la connessione alla maggior parte dei siti è ancora impossibile. Quindi è proprio probabile che nel frattempo abbia fatto un macello più finito nel mio povero pc oppure c’è ancora qualcosa d’altro che è sfuggito.

Per quanto riguarda C:/WINDOWS/msexploren.exe
Avevo delle remore ad eliminarlo, perché non è
[SvcH0st] msexploren.exe, ma [WinAmpAgent] msexploren.exe
Inoltre Spybot mi dava questa informazione:
Nome file corrente:
C:\WINDOWS\msexploren.exe /i
Status database:
Di solito non necessario
Valore:
WinAmpAgent
Nome file:
WINAMPa.exe
Carica nella Barra di sistema l’icona del lettore multimediale WinAmp. Può essere utilizzata per mantenere le associazioni dei file, in modo che programmi come QuickTime o RealPlayer non si sostituiscano come lettori predefiniti per vari tipi di file multimediali. Raggiungibile da Start \ Programmi
Fonte:
Elenco esecuzioni automatiche di Paul Collins
Perciò avevo pensato che forse potesse avere un’utilità.. Ma ad ogni modo sicuramente non è necessario all’avvio e non è certo un file così pulito se neanche risulta sul pc (non c’è neppure nei file nascosti). Poi ho guardato bene la lista degli startsup della guida di HijackThis e c’è:
X WinAmpAgent Msexploren.exe Added by the EB TROJAN! Note - this is NOT the popular Winamp media player which has a different filename
Con "X" - Definitely not required - typically viruses, spyware, adware and "resource hogs"
L’ho cercato con RegSrch per conferma e il file sembra esserci anche se non si vede: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]
"WinAmpAgent"="C:\\WINDOWS\\msexploren.exe /i"
Vorrei una conferma ulteriore solo per sicurezza, ma credo proprio che vada proprio eliminato.
Altre cose che non mi quadrano proprio:
- spesso tra i files temporanei trovo una cartella che si chiama msoclip1 con dentro un’altra cartella “01” con dentro niente. E’ normale?
- C’è sempre il file [msnmsgq32] C:\WINDOWS\msnmsgq.exe
Anche lui introvabile sul computer, ma campeggiava felicemente nell’esecuzione automatica finché non l’ho tolto. Dalla stessa lista di startups:
X msnmsgq32 msnmsgq.exe Added by the TACTSLAY.H TROJAN!
Con RegSrch risulta se cerco msnmsgq.exe:
- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer\Doc Find Spec MRU] "i"="msnmsgq.exe"
se cerco msnmsgq32:
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion]
"ShellRegId"="msnmsgq32"
Cancello qualcosa? Mando anche questo a suspect file?