trojan.linkoptimizer... me lo ritrovo continuamente... Il Norton me lo blocca ma l'avvertimento che il virus è stato bloccato mi viene fuori ogni volta che riavvio... anche se non sono collegata su internet!
UFFA
Un bacione a tutti coloro che mi aiuteranno!
FireLightning
oopsss che idiota: non ho neppure visto il primo tread in elenco!
esegui il tool della Prevx, non c'è bisogno d'installare Prevx1 ma questo lo decidi tu secondo le tue esigenze, finita la scansione, che si ha dopo il riavvio, posta il log presente in C:\ ed esegui questa ulteriore procedura:
scarica sul desktop GMER
scopatta, sempre sul desktop il file gmer.zip.
Esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
ho scompattato GMER ed ho provato a lanciarlo ma non si apre nulla..... Accidenti... Ed è tutto lento ogni tanto....
e questo è l'alert del norton... Non funge neppure rootkitrevealer... Non si apre neppure (come del resto gmer)...... UFFA
pensavo avessi letto tutta la guida posta in rilievo, all'interno avresti trovato che viene consigliato, prima di tutto, l'uso di questo tool
http://www.prevx.com/gromozon.asp
solo dopo esegui e posta i due logs GMER
... sono davvero fusa e a pezzi in questi giorni... hai ragione, scusa.
Ora ho fatto come consigliato ed ecco i log di Gmer:
inoltre ti posto il messaggio di errore che mi dà a volte quando tento di connettermi (ho l'ADSL di Tele2):
GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-22 22:47:55
Windows 5.1.2600
---- System - GMER 1.0.10 ----
SSDT 825DB698 ZwConnectPort
SSDT 825D4918 ZwOpenProcess
SSDT 825D54F8 ZwOpenThread
---- Processes - GMER 1.0.10 ----
Process C:\WINDOWS\System32\rasautou.exe (*** hidden *** ) 1204 <-- ROOTKIT !!!
---- Files - GMER 1.0.10 ----
File C:\System Volume Information\tracking.log
File C:\System Volume Information\_restore{41457F01-C03D-45D9-B73A-31BC34969768}
---- EOF - GMER 1.0.10 ----
GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-09-22 22:49:03
Windows 5.1.2600
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,
HKLM\SYSTEM\CurrentControlSet\Services\ >>>
btwdins /*Bluetooth Service*/@ = C:\Programmi\Sitecom\Software Bluetooth\bin\btwdins.exe
ccEvtMgr /*Symantec Event Manager*/@ = "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
ccSetMgr /*Symantec Settings Manager*/@ = "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
Fax /*Fax*/@ = %systemroot%\system32\fxssvc.exe
navapsvc /*Servizio Auto-Protect di Norton AntiVirus*/@ = "C:\Programmi\Norton AntiVirus\navapsvc.exe"
NPFMntor /*Norton AntiVirus Firewall Monitor Service*/@ = C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
Pctspk /*PCTEL Speaker Phone*/@ = %SystemRoot%\system32\pctspk.exe
Pml Driver HPZ12 /*Pml Driver HPZ12*/@ = C:\WINDOWS\System32\HPZipm12.exe
SBService /*ScriptBlocking Service*/@ = C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
SLService /*SmartLinkService*/@ = slserv.exe
SNDSrvc /*Symantec Network Drivers Service*/@ = C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
SNMP /*Servizio SNMP*/@ = %SystemRoot%\System32\snmp.exe
SPBBCSvc /*Symantec SPBBCSvc*/@ = C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
Symantec Core LC /*Symantec Core LC*/@ = C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\System32\wdfmgr.exe
WebIvp /*WebIvp*/@ = "C:\Programmi\File comuni\System\CsLL.exe" /*file not found*/
HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@ccApp"C:\Programmi\File comuni\Symantec Shared\ccApp.exe" = "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
@SSC_UserPromptC:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe = C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
@DSLSTATEXEC:\Programmi\IPM\Adsl\DataWay\dslstat.e xe icon = C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
@DSLAGENTEXEdslagent.exe USB = dslagent.exe USB
@Symantec NetDriver MonitorC:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer = C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
@mgdn1.exeC:\WINDOWS\Temp\mgdn1.exe = C:\WINDOWS\Temp\mgdn1.exe
@GDIPatchC:\PROGRA~1\WMFPatch\inject.exe = C:\PROGRA~1\WMFPatch\inject.exe
@mspwrC:\WINDOWS\System32\pupxpman.exe = C:\WINDOWS\System32\pupxpman.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{5F327514-6C5E-4d60-8F16-D07FA08A78ED} /*Estensione finestra proprietà di aggiornamento automatico*/C:\WINDOWS\System32\wuaueng.dll = C:\WINDOWS\System32\wuaueng.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DL L = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DL L
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\Office10\msohev.dll = C:\Programmi\Microsoft Office\Office10\msohev.dll
@(null) =
@{6af09ec9-b429-11d4-a1fb-0090960218cb} /*My Bluetooth Places*/C:\WINDOWS\System32\BTNEIG~1.DLL = C:\WINDOWS\System32\BTNEIG~1.DLL
HKLM\Software\Classes\*\shellex\ContextMenuHandler s\ >>>
7-Zip@{23170F69-40C1-278A-1000-000100020000} = C:\Programmi\7-Zip\7-zipn.dll
Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton AntiVirus\NavShExt.dll
HKLM\Software\Classes\Directory\shellex\ContextMen uHandlers\7-Zip@{23170F69-40C1-278A-1000-000100020000} = C:\Programmi\7-Zip\7-zipn.dll
HKLM\Software\Classes\Folder\shellex\ContextMenuHa ndlers\ >>>
7-Zip@{23170F69-40C1-278A-1000-000100020000} = C:\Programmi\7-Zip\7-zipn.dll
Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton AntiVirus\NavShExt.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx = C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
@{BCAF02CF-079E-E19B-D06B-D0747728F760}C:\WINDOWS\jfmak1.dll /*file not found*/ = C:\WINDOWS\jfmak1.dll /*file not found*/
@{BDF3E430-B101-42AD-A544-FADC6B084872}C:\Programmi\Norton AntiVirus\NavShExt.dll = C:\Programmi\Norton AntiVirus\NavShExt.dll
HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\System32\scrnsave.scr
HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SU B_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=hom e
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm
HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local PageC:\WINDOWS\System32\blank.htm = C:\WINDOWS\System32\blank.htm
HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
cdo@CLSID = C:\Programmi\File comuni\Microsoft Shared\Web Folders\PKMCDO.DLL
copernicagent@CLSID = C:\PROGRA~1\COPERN~1\COPERN~1.DLL
copernicagentcache@CLSID = C:\PROGRA~1\COPERN~1\COPERN~1.DLL
dvd@CLSID = C:\WINDOWS\System32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
lid@CLSID = C:\WINDOWS\System32\msvidctl.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DL L
tv@CLSID = C:\WINDOWS\System32\msvidctl.dll
vnd.ms.radio@CLSID = C:\WINDOWS\System32\msdxm.ocx
wia@CLSID = C:\WINDOWS\System32\wiascr.dll
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters\Interfaces\{AA1CC92C-6AFB-4AAC-ABD0-E71838153CB1} /*Connessione alla rete locale (LAN)*/ >>>
@IPAddress192.168.0.1 = 192.168.0.1
@NameServer =
@DefaultGateway =
@Domain =
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = BTTray.lnk
---- EOF - GMER 1.0.10 ----
ecco il mess di errore quando tento di connettermi (a volte)
...ho postato i result di gmer... e ora?
Linkoptimizer sembra essere svanito... ma l'errore di connessione ritorna... magari non c'entra con esso...?
Qualcuno mi controlla i log?
Grazie!!!
scarica The Avenger
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento
Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice
Clicca sul pulsante DoneRegistry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{BCAF02CF-079E-E19B-D06B-D0747728F760}
HKLM\SYSTEM\CurrentControlSet\Services\WebIvp
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \mgdn1.exe
Files to delete:
C:\WINDOWS\Temp\mgdn1.exe
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente
Portati in C:\ postami il contenuto del log generato da Avenger
Permessi di invio
Rispondi quotando