Ciao Alfonso,da un paio di giorni mia figlia dice che ha problemi al pc, oggi (dato che fare scansioni antivirus e antispyware sembra essere troppo) ho cercato di controllare io, ed ad awere mi da un'infezione di linkoptimizer so bene leggendo il forum quanto sia difficile l'impresa, ma prima di passare alla formattazione forzata desidero fare un tentativo.questo intanto è il log di hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 10:44:21 , on 24/10/06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\Temp\nysh1.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programmi\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Directory temporanea 3 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {F3B3E00F-BA09-47FE-6659-99A56304A974} - C:\WINDOWS\vdorp1.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll (file missing)
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nysh1.exe] C:\WINDOWS\Temp\nysh1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Picture Package Menu.lnk = C:\Programmi\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Programmi\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O8 - Extra context menu item: Eandsporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - :windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1C6EDD9-B267-4DE5-B51C-963B87321337}: NameServer = 151.99.125.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE030B0B-A552-4AC4-8BE8-227E4B298FA4}: NameServer = 151.99.125.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0792.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0792.00.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe

nella cartella administratorin documenti e setting ho trovato una cartella strana di nome MdifpyfaY mai sentita prim.ed adaware mi da il linkoptimizer in regkey urlserchhooks regvalue software internet explorerurlserachhooks CFBFAE00-17A6-11D0-99CB-00C04FD64497 i regkey clsid e3a37057-dl0b-b02a-d823-20e202c583b5 cosa devo fare?
non dirmi che manca il firewall l'ho so ma in questo pc non va ZA blocca tutto e non è connesso tramite router ma modem normale in cui il mio fa da server e li è tutto a posto
grazie Emilia

Ciao ,
esegui queste operazioni

Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=homeandCodSw=257&SH=N

Riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono.

==================================
R3 - Default URLSearchHook is missing
-
O2 - BHO: Class - {F3B3E00F-BA09-47FE-6659-99A56304A974} - C:\WINDOWS\vdorp1.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll (file missing)
-
O4 - HKLM\..\Run: [nysh1.exe] C:\WINDOWS\Temp\nysh1.exe
-
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - :windir:\bdoscandel.exe (file missing)
==================================


Elimina i file in rosso nei percorsi indicati
==================================
C:\WINDOWS\<font color=red><b>vdorp1.dll</font id=red></b>
C:\WINDOWS\Temp\<font color=red><b>nysh1.exe </font id=red></b>
==================================


Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE - CANCELLA CRONOOLOGIA
poi clicca il pulsante PAGINA PREDEFINITA e su OK

al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura e crea un nuovo punto di ripristino, leggi qui alla voce 8
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=170&SH=N

Fai una scansione antivirus on line da questo indirizzo
http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=sym

Nel sistema non é presente un Firewall o è disattivato, installa questo o il tuo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=56
e disattiva l'inutile firewall di XP, leggi qui
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=160&SH=N

Utilizza questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1041

---

Collaboratore Aiutamici

Ciao, prova col tool antiLinkOptimizer.
http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL

---

ciao Alfonso,
mi puoi ricontrollare il log che ti ho postato due messaggi più su, mi trovo su un'altro pc e non posso postarlo di nuovo.
la voce 020 non so che fare ,ed ad-aware mi da ancora linkoptimizer, anche se il pc è un pò più veloce e pulito.
Grazie ancora di tutto

[quote]
Ciao ,
esegui queste operazioni

Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

Riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono.

==================================
O20 - AppInit_DLLs:
-
O23 - Service: AQCNUSWV - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\AQCNUSWV.exe
-
O23 - Service: SKBHEZXOUGLF - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\SKBHEZXOUGLF.exe
==================================


Elimina tutto il contenuto della cartella TEMP
==================================
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp
==================================


Ciao Alfonso,
ho cercato di eliminare le righe che mi hai detto mentre le due 023 le ho tolte senza problemi, quando cerco di fixare 020 AppInit_dlls: mi dice quello che ti trascivo e non so cosa significa:
An-unexpected error has occurred at procedure.
modbackup-manebackup(s item=20-appInit_dlls.)
Error#5-chiamata di routine argomento non valido
Please email at Merijin@spywareinfo.com,
reporting the following
*wuat you were trying to fix when the error occured in applicable
*how you can reproduce the erroe
*a complete hijack this log if possible


NOn so cosa signidica è la prima volta che fixando in hijack mi viene fuori questa scritta.
2) come faccio a togliere il contenuto della cartella temp? non so quale percorso seguire e soprattutto quel sinbolo che sembra una esse di traverso non lo trovo sulla tastiera.
Ancora grazie del tuo aiuto , ad-aware adesso non segnala più linkoptimizer,il pc non si blocca più e non si spegne più.

Ciao, da Start >> Esegui scrivi <b>temp</b>, conferma con OK e svuota tutto quello che trovi nella finestra che si apre.(se leggi in alto questa è la cartella C\WINDOWS\temp);

poi, sempre da Start >> Esegui digita invece <b>%temp%</b> e fai la stessa cosa. (qui c'è il contenuto della cartella <i>C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp)
</i> che chiedevi. Ciao.


Grazie pidue,
provvedo subito a svuotare la cartella, sperando che per un paio....................di giorni i virus e trjan stiano lontati da questo pc.

Se vuoi liberarti definitivanmente del LinkOptimizer, devi andare qui. Devi armarti di santa pazienza, perchè la procedura di rimozione è lunga e macchinosa e non sempre il successo è garantito. E non puoi agire diversamente. HijackThis da solo può fare molto poco contro questo virus.

http://steven.altervista.org/files/rootkit.html



Edited by - pidue on 11/07/2006 14:12:14

---

OT:
grazie per gli apprezzamenti alla mia guida Pidue...

CIAO Primula57.....no non intervengo per aiutarti...non ci capisco molto....ma se guardi tra le discussioni vedrai anche la mia : anche io ho lo stesso virus, ed anche io credo dovrò ricorrere al tecnico, sto aspettando la risposta sul forum di qualcuno che mi dica qualcosa, ho fatto dei tentativi ma non riesco a capire se c'é ancora......bhe....sappi che non sei sola!
Ciao