[ROOTKIT] Cosa fare senza removal ?

[Jarno]

ho tra le mani 1 computer da 12 ore...
praticamente usando IE7 compaiono magicamente sulla sinistra dei "link sponsored" di google che non lo sono: se clicchi sui quei link ti si aprono, se clicchi sui risultati di google questi vengono reindirizzati ad un sito balordo http://64.111.196.162/

l'ho ripulito di tutto

è rimasta solo una voce
02 - BHO: (no name) - {02F6EECE-8C01-4D59-B87D-784B7D6BE0B3} - C:\WINDOWS\system32\avifil.dll che fa riferimento ad un file anvifil.dll la cui chiave è intoccabile in qualsiasi modo

tale malware è riportato in soli 11 siti mondiali
il primo dei quali PREVXCIFREE ha uno strumento di rilevazione ad hoc per questo rarissimo malware Trojan.DoS.Win32.Opdos , e vogliono 25$

non c'è altro modo per liberarsene?

ps: tuttociò accade solo sotto un preciso utente... elimiare tale utente e ricrearne un altro può risolvere il problema?

[OYS]

Scarica http://swandog46.geekstogo.com/avenger.zip

clicca su input script manually e poi sulla lente di ingrandimento.
nello spazio bianco inserisci con copia incolla questo:


files to delete:
C:\WINDOWS\system32\avifil.dll


clicca su done.
poi sul semaforo con luce verde
due volte si, il pc si riavviera' e al ritorno posta il log di avenger (C:/avenger.txt).

[bootzenn]

ciao

ma hai provato con prevxcsi? non risolve?
è il tool gratuito di prevx e dovrebbe risolvere su tutti i problemi che prevx già riconosce.

[Jarno]

grazie ragazzi,

avenger è veramente una chicca da conservare...

prevxcsi rileva gratuitamente, ma ripulisce a pagamento... e la cosa alle 3 di notte ha iniziato ad insospettirmi... ho pensato che sarebbe un vero bel business inventarsi i virus su file intoccabili per poi chiedere di essere pagati per ripulire un file che già pulito è...

quindi forse quel file non c'entra niente.

Ho pensato: se è un "rootkit" strano che ciò accada solo con un certo utente, quindi il problema sta per forza nel registro sotto Current User ...apro il registro, cartella Internet Explorer ed inizio a cancellare 1 ad 1 (tanto a questo punto danneggio solo l'utente che già è danneggiato ) ...e ualà!!! era una TOOLBAR che risultava solo nel registro ma non nel menu di IE. Ero così contento che non mi sono segnato di preciso cosa ho fatto...ormai andavo per inerzia.

cmq era veramente massiccia questa cosa, mai vista .... si impossessava della navigazione e controllava 1/3 del monitor....fantastici sti programmatori

...e tutti vissero felici e contenti


ps: però a volte nei titoli di coda ricompare sempre qualche particolare con su scritto "to be continued...." speriamo bene, padre pio aiutaci tu