Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

per a.roselli Opzioni
sandra_rei
Inviato: Tuesday, April 03, 2007 2:55:08 PM
Rank: Member

Iscritto dal : 4/3/2007
Posts: 0
Nemmeno so se sei un uomo o una donna, ma per me sei un ANGELO che mi ha offerto aiuto competente mentre brancolavo nel buio. Grazie alle tue chiarissime indicazioni non mi sono persa nella (per me) selva oscura della modalità provvisoria, ma anzi, ne sono anche uscita!
Ho fatto tutto preciso preciso come mi hai consigliato e ora la situazione è questa:
1) lo schifosissimo ovale verde di prisparky non compare più al riavvio del computer e il browser è stabile e non "reindirizzato". (EVVIVA!)
2)dei tre programmi che mi hai consigliato di cercare e cancellare, quando ancora ero in mod.provv., sono riuscita solo a eliminare sysmon, mentre irye3 non l'ha trovato (arrrggh!) e brm non l'ha voluto cancellare perché "in uso" (uhmmmm!).
3) la scansione antivirus sul sito Symantec che mi hai indicato con il link, ha rivelato quanto segue:
============================================
c:\Programmi\File comuni\SYSTEM\bRm.exe è infettato con Trojan.Linkoptimizer
c:\WINDOWS\46241234110.exe è infettato con Downloader
c:\WINDOWS\TEMP\irye2.exe è infettato con Trojan.Linkoptimizer
c:\WINDOWS\TEMP\irye3.exe è infettato con Dialer.Webcont
c:\WINDOWS\TEMP\temp.exe è infettato con Dialer.Sfonditalia
c:\WINDOWS\TEMP\apihelp.chm è infettato con Dialer.Sfonditalia
c:\WINDOWS\SYSTEM\nraa.dll è infettato con Trojan.Linkoptimizer
c:\WINDOWS\SYSTEM\sysfind.exe è infettato con Dialer.Sfonditalia
c:\WINDOWS\SYSTEM\winsvc\svc\STAMPA_TUTTE_LE_PAGINE[1].EXE è infettato con Dialer.Trojan
c:\WINDOWS\SYSTEM\winsvc\svc\APRI_TUTTE_LE_PAGINE[1].EXE è infettato con Dialer.Trojan
c:\_RESTORE\TEMP\A1984268.CPY è infettato con W32.HLLW.Gaobot
c:\_RESTORE\TEMP\A2100471.CPY è infettato con Trojan.Linkoptimizer
c:\_RESTORE\TEMP\A2100486.CPY è infettato con Trojan.Linkoptimizer
c:\_RESTORE\TEMP\A2100523.CPY è infettato con Trojan.Linkoptimizer
c:\_RESTORE\TEMP\A2100558.CPY è infettato con Trojan.Linkoptimizer
c:\_RESTORE\TEMP\A2100563.CPY è infettato con Trojan.Linkoptimizer
=============================================
mentre il MIO NAV (che io pago!) non aveva rivelato minacce.

Che dici, mi posso accontentare?
Grazie e ancora GRAZIE per la tua gentilezza.
Sandra Rei
Sponsor
Inviato: Tuesday, April 03, 2007 2:55:08 PM

 
monsee
Inviato: Tuesday, April 03, 2007 4:17:06 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Scusa l'intromissione, ma ti suggerirei -e molto caldamente!- di NON "accontentarti" affatto.
Hai beccato il LinkOptimizer, che è un rootkit dei più rognosi e più fetenti.
Adesso, per fortuna, è disponibile un piccolo <i>tool</i> (liberamente scaricabile proprio dal sito della Symantec) che consente di liberarsi di questa rogna con incredibile facilità.
Devi soltanto:
1) scaricare il <i>tool</i> e salvarlo sul tuo computer;
2) disabilitare il Ripristino configurazione di sistema (è assolutamente necessario farlo: se non lo fai, non riuscirai a liberarti definitivamente del dannato rootkit);
3) andare in Modalità Provvisoria;
4) lanciare in scansione il <i>tool</i> di Symantec e lasciargli fare "il suo sporco lavoro" (il tool funziona solo se sei in Modalità Provvisoria: l'intera operazione non riesce, se sei in Modalità Normale);
5) dopo che il tool di rimozione ha terminato di fare il suo lavoro, riavviare e tornare in Modalità Normale; andare a fare un'altra scansione online (anche sul sito di Symantec può andar benissimo);
6) se niente ti vien rilevato in questa scansione online, chiudere la connessione ad Internet, riattivare il ripristino configurazione di sistema e crearti un primo "punto di ripristino" cui poter tornare in caso di necessità.
E, giunta a questo punto, sei a cavallo.

Il <i>tool</i> di rimozione della Symantec è scaricabile dal sottostante link:
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Edited by - monsee on 04/03/2007 16:18:31
a.roselli
Inviato: Tuesday, April 03, 2007 5:38:17 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,056
Una volta seguito i consigli dell'amico Monsee, fai nuovamente la scansione antivirus on line, se ti viene segnalato ancora virus, ti consiglio di formattare il disco fisso e reinstallare tutto.


<img src="http://www.aiutamici.com/ftp/images/avvi1.gif" border=0>

alfonso_aiutamici@hotmail.it

sandra_rei
Inviato: Tuesday, April 03, 2007 9:32:48 PM
Rank: Member

Iscritto dal : 4/3/2007
Posts: 0
ho provato, monsee. Fatto tutto come hai consigliato e in mod.provvisoria ho lanciato fixlinkopt. In risposta è arrivato un msg di windows che dice (testuale):
"Il file FIXLINKOPT.EXE è collegato all'esportazione mancante NETAPI32.DLL: NetUserDel".

Ho cliccato su OK ed è comparso un altro msg:
"C:\WINDOWS\DESKTOP\FIXLINKOPT.EXE Una periferica collegata al sistema non è in funzione".
Finito.

Ecco, io nemmeno riesco a capire cosa significhi in italiano "collegato all'esportazione mancante" <img src=icon_smile_shock.gif border=0 align=middle>

Cosa devo fare? (formattare l'HD è impensabile, perché davvero troppo superiore alle mie capacità).
Grazie davvero per l'interessamento ai miei guai informatici, mi consola molto.
Ciao.
Sandra

<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Scusa l'intromissione, ma ti suggerirei -e molto caldamente!- di NON "accontentarti" affatto.
Hai beccato il LinkOptimizer, che è un rootkit dei più rognosi e più fetenti.
Adesso, per fortuna, è disponibile un piccolo <i>tool</i> (liberamente scaricabile proprio dal sito della Symantec) che consente di liberarsi di questa rogna con incredibile facilità.
Devi soltanto:
1) scaricare il <i>tool</i> e salvarlo sul tuo computer;
2) disabilitare il Ripristino configurazione di sistema (è assolutamente necessario farlo: se non lo fai, non riuscirai a liberarti definitivamente del dannato rootkit);
3) andare in Modalità Provvisoria;
4) lanciare in scansione il <i>tool</i> di Symantec e lasciargli fare "il suo sporco lavoro" (il tool funziona solo se sei in Modalità Provvisoria: l'intera operazione non riesce, se sei in Modalità Normale);
5) dopo che il tool di rimozione ha terminato di fare il suo lavoro, riavviare e tornare in Modalità Normale; andare a fare un'altra scansione online (anche sul sito di Symantec può andar benissimo);
6) se niente ti vien rilevato in questa scansione online, chiudere la connessione ad Internet, riattivare il ripristino configurazione di sistema e crearti un primo "punto di ripristino" cui poter tornare in caso di necessità.
E, giunta a questo punto, sei a cavallo.

Il <i>tool</i> di rimozione della Symantec è scaricabile dal sottostante link:
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Edited by - monsee on 04/03/2007 16:18:31
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
sandra_rei
Inviato: Tuesday, April 03, 2007 9:41:21 PM
Rank: Member

Iscritto dal : 4/3/2007
Posts: 0
ho fatto tutto come mi hai consigliato, monsee. In modalità provvisoria ho lanciato il tool ed è comparso un msg di windows che dice (testuale):
"il file FIXLINKOPT.EXE è collegato all'esportazione mancante NETAPI32.DLL:NetUserDel".
ho cliccato su OK ed è comparso un altro msg: "c:\windows\desktop\fixlinkopt.exe Una periferica collegata al sistema non è in funzione"

Finito lì.
Ecco, io nemmeno capisco bene cosa significhi in italiano "collegato all'esportazione mancante"!

Che devo fare? (formattare l'HD come consiglia a.roselli è impossibile per me: davvero una cosa troppo superiore alle mie capacità).
Grazie comunque per il vostro interessamento, mi ha molto consolato.
Ciao.
Sandra
pidue
Inviato: Tuesday, April 03, 2007 9:51:44 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, certo che sentirsi dire di formattare può essere uno schock se si è alle prime armi. Adesso la probabiltà di liberarsi del LinkOptimizer è alta, ma non certa al 100%.

Prova questa procedura.

Scarica <b>VirIt</b> dal link sotto, installalo e aggiornalo. Poi fai una scansione in modalità provvisoria e una normale. Pubblica il log.
http://www.tgsoft.it/files/vnlt6157.exe

Poi scarica questo tool:
http://www.prevx.com/gromozon.asp

Prima di lanciarlo, pulisci il pc con CCleaner;
chiudi tutti i programmi in esecuzione, disconnettiti da Internet, lancia il primo tool, premendo su Scan;
poi rispondi YES alla richiesta di riavvio.
Al riavvio il tool terminerà la procedura e rilascerà un log in <b>C:\gromozon_removal.txt</b> che tu pubblicherai.

Rifai un ascansione col tool suggerito da monsee (in modalità provvisoria).
Vediamo se la fortuna sarà con noi.






Edited by - pidue on 04/03/2007 21:53:34



monsee
Inviato: Tuesday, April 03, 2007 9:51:57 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Sandra, scusami la domanda, ma... tu hai forse Windows 98?
Perché, se il problema è solo la mancanza del file NETAPI32.DLL, possiam far funzionare ugualmente le cose scaricando la DLL in questione da Internet e mettendola al suo giusto posto (magari registrandola).
Ma, se hai davvero Windows 98 (o 98 SE), mi sa che certi tools (come quello che t'ho indicato io oppure quell'altro che t'ha appena indicato -molto giustamente- Pidue) non ti funzioneranno... [VirIT eXplorer Lite, però, funziona benissimo anche con Win98 e Win98 SE]).

Edited by - monsee on 04/03/2007 22:04:25
sandra_rei
Inviato: Tuesday, April 03, 2007 9:56:25 PM
Rank: Member

Iscritto dal : 4/3/2007
Posts: 0
WIN ME, monsee<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Sandra, scusami la domanda, ma... tu hai forse Windows 98?

<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
monsee
Inviato: Tuesday, April 03, 2007 10:02:32 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Non ho la più pallida idea di come possa andare in Windows ME... comunque, ti posto il link per la pagina Web dalla quale è possibile andare a scaricare (gratis) la DLL incriminata:
http://www.dll-files.com/dllindex/dll-files.shtml?netapi32
La pagina è in inglese. Devi cliccar sul link che ti invita ad andare a scaricare il file. Verrai portata in una nuova pagina: lì c'è un altro link, cliccando sul quale verrà avviato il download.
sandra_rei
Inviato: Tuesday, April 03, 2007 10:15:23 PM
Rank: Member

Iscritto dal : 4/3/2007
Posts: 0
scusate monsee e pidue, ma quando invio messaggi al forum devo combattere con overflow e non so bene se arrivano. Allora, ho windows ME (win9x 4.90.3000).
Mi sa che è un guaio, vero?
Ho comprato il comp nel 2000 (ere geologiche fa, nel mondo informatico). Chissà, magari se rompo il salvadanaio potrò comprare un nuovo computer ed evitare la formattazione.
Grazie ancora.
Sandra.
sandra_rei
Inviato: Tuesday, April 03, 2007 10:23:02 PM
Rank: Member

Iscritto dal : 4/3/2007
Posts: 0
farò anche questa prova monsee.
Solo una domanda (quando puoi rispondere): dove la salvo la DLL? (in desktop, in windows, oppure dove va,va?).
Ehmmmmm....credo penserai che son proprio analfabeta-informatica.
Il fatto è che è vero! :-)
Ciao.

<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Non ho la più pallida idea di come possa andare in Windows ME... comunque, ti posto il link per la pagina Web dalla quale è possibile andare a scaricare (gratis) la DLL incriminata:
http://www.dll-files.com/dllindex/dll-files.shtml?netapi32
La pagina è in inglese. Devi cliccar sul link che ti invita ad andare a scaricare il file. Verrai portata in una nuova pagina: lì c'è un altro link, cliccando sul quale verrà avviato il download.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
monsee
Inviato: Tuesday, April 03, 2007 10:34:07 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Son sicurissimo che la DLL in questione debba essere infilata in una qualche apposita cartella. MA NON CONOSCO AFFATTO WINDOWS ME...
Speriamo che qualche anima pia -che conosca WinME- ci erudisca a tal riguardo.
Magari può andare bene in System (Win ME ce l'ha "System32"?)... Forse esiste anche in WinME una "Dll Cache"... Non ti saprei sinceramente dire.
Per ora, scarica la DLL e salvala in una cartelletta apposita nella quale sei sicura di poterla ritrovare immediatamente senza alcuna difficoltà.
sandra_rei
Inviato: Tuesday, April 03, 2007 11:10:22 PM
Rank: Member

Iscritto dal : 4/3/2007
Posts: 0
<img src=icon_smile.gif border=0 align=middle> vedo che anche tu conosci le leggi di Murphy: "quando lo metti in memoria ricordati dove lo metti".

Ok, salverò la dll in una cartelletta e aspetterò, sperando di trovare qualche archeologo informatico che conosca win me.
Nel frattempo mi sono documentata sui rootkit e li trovo disgustosi.
Ho visto che c'è un programma della SOPHOS per la loro rimozione.
Che ne pensi?
Credi che funzionerebbe con win me?
Ciao.



<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Son sicurissimo che la DLL in questione debba essere infilata in una qualche apposita cartella. MA NON CONOSCO AFFATTO WINDOWS ME...
Speriamo che qualche anima pia -che conosca WinME- ci erudisca a tal riguardo.
Magari può andare bene in System (Win ME ce l'ha "System32"?)... Forse esiste anche in WinME una "Dll Cache"... Non ti saprei sinceramente dire.
Per ora, scarica la DLL e salvala in una cartelletta apposita nella quale sei sicura di poterla ritrovare immediatamente senza alcuna difficoltà.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
pidue
Inviato: Tuesday, April 03, 2007 11:21:04 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Se posso essere utile, io ho una versione Xp di aggiornamento, sovrascritta sopra WindowsME. Ho trovato la libreria in questione in C:\windows\system32, però di consiglio ugualmente di eseguire la scansione con ViriT



pidue
Inviato: Tuesday, April 03, 2007 11:27:59 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Scusate, la cartella system32 esiste anche in Windows ME, ma si trova in C:\WINNT\System32





pidue
Inviato: Tuesday, April 03, 2007 11:31:22 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
.

Edited by - pidue on 04/03/2007 23:36:14



monsee
Inviato: Wednesday, April 04, 2007 12:19:26 AM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Allora, quoto il suggerimento di Pidue: metti la DLL incriminata nella cartella
C:/WINNT/System32 (speriamo non ci sia alcun bisogno di "registrarla" perché -se la procedura in WinME è diversa da quella di XP- ci toccherebbe ricorrere ad un piccolo escamotage...).
Dopo aver messo la DLL in questione nella suddetta cartella, disabilita il Ripristino configurazione di sistema, vai in Modalità Provvisoria e lancia il tool di Symantec come già s'era detto. Dopo che questi avrà finito (sperando che stavolta tutto vada laiscio), lancia in scansione pure <b>VirIT eXplorer Lite</b> (l'antivirus che ha suggerito l'ottimo Pidue) e anche il tool di rimozione che sempre lui t'ha suggerito. Segui, insomma le sue istruzioni. Così, se non riusciamo a tirare il collo a questo brutto rootkit a una maniera possiam riuscir forse nell'altra.
Finito tutto, effettua una bella scansione online: se non ti viene rilevato niente, sei a cavallo. Chiudi la connessione ad Internet, riattiva -ma solo a quel punto!- il Ripristino configurazione di sistema, disinstalla VirIT eXplorer Lite (perché, essendo un antivirus "residente" potrebbe entrare in conflitto col tuo Norton) e creati un "punto di ripristino" al quale poter ritornare in caso di necessità.
In quanto alla "Legge di Murphy", devo dire che quell'uomo è -per me- un genio...

Edited by - monsee on 04/04/2007 00:21:22
sandra_rei
Inviato: Wednesday, April 04, 2007 10:41:17 AM
Rank: Member

Iscritto dal : 4/3/2007
Posts: 0
Amabili monsee e pidue che vi prendete cura di me con tanta sollecitudine, ho letto i vostri consigli e la cosa mi sembra fattibile, visto che ho imparato a muovermi abbastanza bene nella modalità provvisoria.
C'è solo una cosa che mi perplime, e vorrei chiarirla prima di buttarmi in questa avventura.
Quando comprai nel 2000 questo computer c'era già installato un antivirus (PC cillin). Nella totale paranoia di proteggere il mio nuovo acquisto, pensai che due antiviru fossero meglio di uno, e ci installai il Norton.
Mentre, tutta giuliva, stavo pensando che tre antivirus sarebbero stati meglio di due, il computer impazzì, ma in modo serio eh? (non funzionava più).
Fui costretta a smontarlo e riportarlo all'assistenza (era nuovo nuovo, aveva meno di una settimana di vita!) e lì tecnici mi spiegarono, gentilmente, che la mia mania di collezionare antivirus non solo dimostrava che ero una newbie (evvabé, lo ero e lo sono ancora), ma era pericolosa per la salute del computer, come avevo potuto vedere.
Da allora ho tenuto il Norton e basta fidandomi della sua protezione, che poi si è rivelata falsa, altrimenti non sarei qui a perseguitarvi coi miei problemi.
Così vi chiedo: se installo virit lite non è che entra in conflitto col norton e mi ritrovo in un colossale guaio? Non ci sarebbe il modo di far lavorare virit da “esterno”, senza installarlo?

E per finire: ho spulciato la directory di windows e ho trovato le sottodirectory system e system32 ma non WINNT.
PS: potrò dedicarmi alla guerra contro il rootkit solo giovedì o venerdì notte, ché fino ad allora dovrò lavorare. Altrimenti come faccio a comprare un nuovo computer, magari con Vista? (eh eh eh, per chi come me ha saltato a piè pari XP....saranno guai in vista!)
Ciao, a presto, e grazie ancora.
Sandra
monsee
Inviato: Wednesday, April 04, 2007 2:15:48 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
PER <b>Sandra</b>:
Windows Vista, io ti consigli MOLTO CALDAMENTE di evitarlo come se fosse peste! (e, in effetti, mi sa che lo è).
Se devi spendere, ti consiglio di fare un qualkche sforzo in più e di acqyuistare un notebook (ossia, un PORTATILE, non un fisso!) della <b>Apple</b>. Ti troverai ad aver come Sistema Operativo Macintosh. Non farne un dramma: acquista un altro Hard Disk (sui 120 Gb) e un CD d'installazione Microsoft di Windows XP Professional. Estrai l'Hard-Disk cul quale hai Macintosh e infilaci al sup posto l'HD nuovo di trinca. Dopo di che, avvia il computer, apri il lettore, inserisci il CD d'installazione di Windows XP Professional e riavvia il notebook. Al riavvio, installa Windows XP Professional.
Avrai, così, 2 Hard Disks "intercambiabili": nel primo, avrai un Sistema Operativo Macintosh e nel secondo un Sistema Operativo XP Professional. Se poi ti gira, puoi acquistare un terzo HD nuovo e installarci un bel Sistema Operativo Linux, così ti fai l'enplein!
Ma EVITA Windows Vista come la peste!
In quanto al VirIT eXplorer Lite: installalo (come ha detto Pidue), aggiornalo a puntino e lancialo in scansione. Salva il LOG eventuale che te ne deriverà, perché potrà esserci utile. Poi (dopo esserti portata in modalità Provvisoria!) lancialo nuovamente in scansione (e anche qui, salva il LOG che te ne deriva).
Per quello che concerne la DLL su cui ci siamo affannati, mettila in System32... dopo di che, eleviamo le dovute preghiere e speriamo che tutto fili liscio. Ricordati che il tool di rimozione della Symantec va usato solo in Modalità provvisoria!
Insomma, le istruzioni di Pidue restano valide: seguile e non te ne pentirai (ma effettua anche una bella scansione col tool di Symantec, dopo aver fatto quel che t'ha scritto Pidue).
In quanto a VirIT non ci sarà -stavolta- alcun conflitto, perché disinstallarai VitIT immediatamente dopo che avremo dichiarato "risolti" i tuoi problemi con il rootkit.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.