ennesimo affetto da LinkOptimizer

[Kiu]

Innanzi tutto volevo ringraziare tutti per l'immediata collaborazione data, ad utenti inesperti come me, per la rimozione di questo trojan davvero molto ostinato.

Sono un utente newbye e ho scoperto di essere stato colpito dal virus in oggetto, ho seguito le istruzioni per la sua rimozione ma non sono certo di essere riuscito a debellarlo.
Per cui chiedo il vs aiuto e vi elenco i File che ho incontrato durante il mio percorso di rimozione.

L'utente nascosto aveva la cartella nominata LRJMiGfn in documents and settings, ho rimosso due .dll infette (iethe1.dll e gsaa.dll) presenti in C:\Windows.
Nella cartella temp era presente il file isfe1.exe (cancellato) e in C:\Programmi\File Comuni ho eliminato il file Ycj.exe e i files verdi con le seguenti estenzioni KjSpYV.exe - Pjzh.exe - sgt.exe - svl.exe e in C:\Programmi il file Mpck.exe

Ho lanciato virit (ultima versione) e i due tool specifici per la rimozione del virus, eliminata la cartella Link Optimizer in C:\Programmi e la cartella dell'utente nascosto in C:\Documents and settings.
Con HiJackThis ho fixato le chiavi di registro sospette ma non riesco ad eliminarne una che credo sia collegata al virus.

Questo è il log di Hijackthis di stamattina dopo tutte le operazioni effettuate:
Logfile of HijackThis v1.99.1
Scan saved at 12.28.46, on 01/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\File comuni\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\explorer.exe
C:\PROGRAMMI\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programmi\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3A56225-352F-470F-9D82-D3A708A996A5}: NameServer = 193.70.192.25 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Quella in rosso è la chiave che non riesco ad eliminare. Vi prego, se potete, di analizzare il mio log e di consigliarmi sul da farsi visto che di registro non ci capisco proprio nulla.
Attendo le Vostre indicazioni con trepidazione.
Grazie di nuovo
Kiu

[Kiu]

Come sospettavo boot del PC Virit rileva ogni volta questo log:

01/11/2006 - 13:06:40

[SCANSIONE DEL REGISTRO]
{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.B
* * * RIMOSSO * * *
{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.D

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 2.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 34181.
Files Totali: 34181.
Chiavi Registro rimosse: 1.
Virus Rimossi: 0.

Ciò significa che l'infezione da BHO.LinkOptimizer.D non è eliminata? Mi da sempre 2 chiavi dir egistro infette di cui solo una rimossa. Credo che per essere tutto ok questo log dovrebbe scomparire. Cos'altro posso fare?
Grazie in anticipo

[holifay]

fai girare questi tool dovresti risolvere
http://forum.html.it/forum/showthrea...readid=1046884

[Kiu]

Originariamente inviato da holifay
fai girare questi tool dovresti risolvere
http://forum.html.it/forum/showthrea...readid=1046884

Purtroppo con i tool prevX e Symantec non riuscivo a eliminare il problema della chiave di registro che ad ogni avvio del pc faceva scattare Virit che mi dava il messaggio di infezione della chiave suddetta da BHO.LinkOptimizer.B e da BHO.Linkoptimizer.D
Ieri sera ho fatto il regdt32 e sono andato nella chiave incriminata e lo cancellata dal sistema direttamente... nei due riavvii successivi del PC la scansione di VIRIT non mi rileva più niente, nessuna infezione. Posso dire di averlo debellato?

Molto gentilmente se oggi pomeriggio vi posto il nuovo log di Hijackthis potete darmici un occhiata per verificare se è tutto ok perchè io non ci capisco granchè. Nel primo pomeriggio Holifay ti posto il log di HijackThis ok?

Di nuovo grazie per l'assistenza tempestiva e la disponibilità dimostrata.

[PaM]

anche io ho usato il regedit.. ma aspetto a cantar vittoria :rollo:

[holifay]

fate una scansione con systemscan. Premete 5 e aspettate il log. Poi caricatelo su www.mytempdir.com e postate qui il link

[Kiu]

fate una scansione con systemscan. Premete 5 e aspettate il log. Poi caricatelo su www.mytempdir.com e postate qui il link

Ok lo farò subito!!!

Intanto come promesso vi posto il mio ultimo log di HijackThis, potete darci gentilmente un occhiata e segnalarmi se c'è qualcosa di strano o se devo fixare altro?

Grazie.

Logfile of HijackThis v1.99.1
Scan saved at 15.18.39, on 02/11/2006
Platform: Windows XP SP2
MSIE: Internet Explorer v6.00 SP2

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
C:\Programmi\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe "
O4 - HKCU\..\Run: [SuperAdBlocker] C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: prova.dll
O20 - Winlogon Notify: SABWinLogon - C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\SABWINLO.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


PS: O20 - AppInit_DLLs: prova.dll (su questa stringa prova.dll l'ho inserita io manualmente per vedere se cambiava, fin'ora è rimasta invariata).

Ora farò la scansione e vi farò sapere i risultati.
Grazie

[Kiu]

Ho fatto la scansione con SystemScan e ho uppato il file di log.

Questo è il link:
http://www.mytempdir.com/1033600

Attendo notizie qui.

Grazie.

[holifay]

secondo me hai risolto. E´ rimasto solo la traccia di un servizio (xUUukf) che credo fosse del trojan, ma non mi risultano file associati ancora presenti sull´hard disk. Verifica quale file richiamava: vai sulla chiave di registro con regedit.exe e leggi il valore imagepath

Se è come penso puoi eliminare queste chiavi:

HKLM/system/controlset002/services/xUUukf
HKLM/system/controlset003/services/xUUukf
HKLM/system/currentcontrolset/services/xUUukf

[Kiu]

Originariamente inviato da holifay
secondo me hai risolto. E´ rimasto solo la traccia di un servizio (xUUukf) che credo fosse del trojan, ma non mi risultano file associati ancora presenti sull´hard disk. Verifica quale file richiamava: vai sulla chiave di registro con regedit.exe e leggi il valore imagepath

Se è come penso puoi eliminare queste chiavi:

Ebbene si! E' esattamente come pensavi tu, ossia quelle chiavi sono associate al Virus... solo che non riesco ad eliminarle!!! Mi sai dire come posso fare per toglierle?
Ciò può significare che il Virus è ancora attivo?