Suspectfile.com, Prevx Bloccati Da Nuova Variante Linkoptim?

[amvinfe]

Sembra che una nuova variante del trojan LinkOptimizer riesca ad inibire il tool della Prevex, GMER, The Avenger ed anche (...che onore) il nostro sito (suspectfile.com)
http://forum.html.it/forum/showthrea...57#post9822857
Diversi utenti hanno lamentato questo spiacevole inconveniente, crediamo che già la Prevx si sia mossa per arginare il problema, per quanto invece riguarda il nostro sito crediamo venga modificato dal trojan il file HOSTS e che il problema possa essere risolto sostituendo lo stesso con il file HOSTS messo a disposizione da mvps.org


Ecco le altre news
http://www.suspectfile.com/forum/viewtopic.php?t=406

[pipino22]

Purtroppo anche se si cambia il file host messo a disposizione da mvps.org il problema non si risolve. Io l'ho cambiato ma i siti anti rootkit continuano ad non essere visualizzati .

[pipino22]

Gli ultimi sintomi di questo rootKit sono la saturazione della memoria, l'impossibilità di collegarsi ad alcuni siti anti RootKit , l'impossibilità di avviare buona parte degli eseguibili, in particolar modo le utility anti rootkit, disconnessioni, chiusura improvvisa dei programmi ecc.

Io ho impiegato tre giorni per rimuovere quasi tutto manualmente e che fatica, ma purtroppo
rimane il problema degli ads (alternate data stream) dove all'interno risiede questo maledetto ospite che gli attuali antivirus ele utility non riescono a trovare e rimuovere. L'unico antivirus(ne ho provati tanti) che riesce a trovarmelo è il virit, ma non può rimuoverlo


Sicuramente io ho l'ultima versione o variante di un rootKit che neanche VirIt riesce a rimuovere, ma che quanto meno mi segnale nell'ads --->17
AppInit_DLLs
\\?\C:\WINDOWS\com1.bxx
Stato: File TROVATO.

C'è da notare che questo rootKit(nel mio sistema) crea due file di nome c:\windows\symantecmonitor.exe,"c:\windows\cisco-driver.exe",


Attenzione questi due file potrebbero cambiare di nome in altri sistemi operativi

cancellate questi file o comunque se avete un firewall non fateli passare.In particolar modo
cercano di ottenere l'accesso in rete, ossia ad internet quando si cerca di fare una scansione con gli antivirus on line, giucano di astuzia e con nomi che ingannano.


Questa qui sotto è una fonte tratta dal sito della Tg soft.

per la rimozione dei file sopra indicati e di quelli(inizia fonte Tg soft) crittografati bisogna cambiare i privilegi(Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.



Saluti

[pipino22]

Allora per tutti ho risolto il problema scaricando oggi la suite Vir.IT eXplorer Professional Anti Virus & Spyware su http://www.tgsoft.it/

Ha ritrovato, come sospettavo due varianti e le ha rimosse.

La prima variante è quella recentissima che blocca tutto. Adesso ho risolto il problema, anche se buona parte del lavoro lo avevo già svolto manualmente e monitorando il famoso
file \\?\C:\WINDOWS\com1.bxx che si era insediato nell'ads!


C:\WINDOWS\com1.bxx Infetto da Trojan.Win32.RootKit.J
* * * RIMOSSO * * *
C:\WINDOWS\system32\rtaa.dll Infetto da BHO.Agent.BM
* * * RIMOSSO *

Il mio consigli è di leggere tutta la procedura sulla rimozione derettamnete dal sito,


Buona giornata

[madmax_mfc]

Ciao a tutti.

Anche io mi sono beccato questa variante di Linkoptimizer.
A dire il vero mi ero beccato proprio Linkoptimizer; leggendo il vostro forum (circa un mese fa) ho commesso l'errore di disinstallarlo da pannello di controllo (da bravo cretino non avevo letto tutto il thread fino al punto in cui diceva "...lo trovate anche in pannello di controllo...ma non provate a disinstallarlo da lì"!!!).
A quel punto ho usato i vari programmi consigliati per levarlo e ce l'ho fatta (a proposito...grazie, senza di voi avrei dovuto formattare il PC).

Ora mi sono ritrovato con la sua variante (me la sarò beccata grazie alla imprudente disinstallazione tramite pannello di controllo?).

Ho installato VirIT. Ha rimosso un po' di roba, ma adesso mi trovo con un sistema windows molto ristretto.

Ho quasi tutti i servizi disabilitati e non li posso abilitare (se apro la finestra servizi è vuota), ho circa un terzo dei processi che avevo prima, la "barra di windows" non è più blu (è in stile win2k), non vedo più la rete (e quindi il router adsl non comunica più col PC anche se la spia ETH/ACT è accesa), ecc.

Se avvio in modalità provvisoria posso attivare i servizi (o meglio, posso dire al sistema di caricarli automaticamente e non manualmente).
Ad esempio Lsass e i vari Svchost sono impostati su "manuale".

Prima di fare il ripristino del sistema e, quindi, andare a cercare le tonnellate di file da backuppare, volevo sapere da voi cosa potevo fare.

P.S.: grazie a Dio ho anche Linux installato, altrimenti sarei ancora più disperato e non avrei potuto chiedervi aiuto.

Grazie

Max