| V I S U A L I Z Z A D I S C U S S I O N E |
| meretrix |
Inserito il - 12/11/2006 : 18:35:14
Ciao a tutti, ultimamente c'è un messaggio di AVG che mi sta dando fastidio. Mi dice che è presente nel file C:Windows/jclem1.dll ,che non trovo, un Trojan Horse LOP.AH .
Non riesco a eliminarlo con niente, mi date una mano.
Amici informatici. |
| 13 U L T I M E R I S P O S T E (in alto le più recenti) |
| StuRedman |
Inserito il - 14/11/2006 : 17:10:27
giobi sei un grande!  |
| meretrix |
Inserito il - 14/11/2006 : 16:21:58
grazie per l'aiuto giobi!
Ho risolto in un'altra maniera e penso che lo abbia eliminato.
Pero mi sei stato di grande aiuto nella identificazione del trojan che alla fine era un RootKit, camuffato, quel bastardo.
Spero sia morto, nella mia macchina, se qualcuno ha lo stesso problema puo farmi sapere.
Ciao e grazie di nuovo! |
| giobi |
Inserito il - 13/11/2006 : 20:30:34
si è vero può essere,
incollo il contenuto spero utile per cercare di eliminare il virus che sta su quel forum che fa da guida.
Come risolvere
Se si ha XP o ME, la cosa più semplice e veloce per risolvere il problema è utilizzare il Ripristino configurazione di sitema per ripristinare il PC ad una data precede a quella in cui sono iniziati i problemi. Come fare è spiegato in questa guida.
Se il ripristino non ha successo, si può provare con un paio di scansioni: una online con Bitdefender e una scaricando e usando Virit (tra l´altro italiano) dalla modalità provvisoria. Prima di usarlo aggiornarlo online.
Entrambi gli antivirus riconoscono e rimuovono Linkoptimizer, ma potrebbero avere problemi con la variante che fa uso del rootkit. In questo caso si può rimuovere manualmente con la seguente procedura:
RIMOZIONE MANUALE
(se avete bisogno di aiuto leggete più avanti cosa fare, alla sezione AIUTO DAL FORUM)
1. Scaricare Rootkirevelear e fare il log. Il log va fatto senza usare il PC con tutte le applicazioni (anche l´AV) chiuse e disconnessi da Internet.
Da quel log identificare le voci infette (sono quelle hidden from windows API create con la data dell´infezione). Deve esserci almeno una dll in C:/windows e un file con nome riservato (vedi sopra) in C:/windows/system32.
2. Abilitare la visualizzazione dei file nascosti e di sistema (vedi in fondo alla guida come fare)
3. cercare il nome di un utente fittizio nome random) in C:/documents and settings/ la cui cartella è stata creata il giorno dell´infezione
4. cercare gli eventuali file con estensione exe, dll, tmp (nascosti) che hanno nomi random e si trovano in C:/programmi o C:/windows/temp e che riportano la data di creazione recente (1-2giorni).
5. Disinstallare dal pannello di controllo tutte le versioni di java installate. Al termine della pulizia si potra reinstallare l´ultima, scaricata dal sito della SUN
6. fixare (eliminare) con HijackThis tutte le voci R0, R1 e R3 come quelle viste prima e le righe del tipo O2 - BHO: (nome)-{xxx}-(nofile) dove XXX è una serie di lettere e numeri, ad esempio {DA39029C-D291-A968-3FF4-D0990D5CB5FC} e nome p un nome tipo class, JavaScript console
7. Disabilitare dall´elenco dei servizi il servizio random creato. Si clicca sopra il servizio con il tasto destro e nella casella Tipo di avvio si sceglie disabilitato
8. svuotare tutte le cartelle temporanee, di tutti gli utenti sul PC. Ad esempio C:/temp; C:/windows/temp; C:/documents and settings/nome_utente/temp e così via. Cercarle con Trova per non dimenticarne qualcuna. E´ possibile usare un tool per farlo come CCleaner, ma comunque è bene controllare manualmente
9. Cancellare se esistente la cartella linkoptimizer (o link optimizer) dal PC con tutto quello che contiene
10. svuotare il cestino
Ora occorre scaricare The Avenger sul Desktop.
- Estrarre l´eseguibile sul desktop.
- copiare il contenuto del riquadro qui sotto negli appunti (CTRL+C). NOTA: il contenuto va creato personalmente sulla base di quanto trovato, come spiegato qui sopra. Se non vi sentite in grado o non avete capito bene cosa cancellare chiedete aiuto nel forum. Questo tool cancella i file a livello di KERNEL: attenzione a cosa scrivete perchè verrà cancellato!!
Citazione:
Registry values to replace with dummy:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWindows | AppInit_DLLs riga che serve a disattivare il rootkit
Files to delete:
c:windowshyqtt1.dll la dll nascosta trovata nel vostro log di RKR
c:windowssystem32com4.igp il rootkit con nome riservato trovato nel vostro log di RKR
C:programmixyz.exe altri file eventualmente trovati
Folders to Delete:
c:documents and settingsdkc eventuale cartella utente trovata
c:windows\temp cartella di sistema dove si può annidare il virus, si ricrea all'avvio
NOTA: se windows non è installata in c:windows, scrivere ovviamente i percorsi corretti delle cartelle nel proprio PC
- avviare The Avenger e selezionare Input Script Manually
- clicca sulla icona con la lente di ingrandimento
- si aprirà una nuova finestra con scritto View/edit script
- incollare quanto copiato sopra premendo Ctrl+V
- cliccare Done
- cliccare l´icona con il semaforo con la luce verde per avviare lo script
- rispondere Yes due volte
se il PC non si riavvia da solo, riavviatelo manualmente
Al riavvio se la procedura è andata bene il trojan è stato disattivato. Potete controllare nel log di Avenger (C:/avenger.txt) l´esito dello script. In C:/Avenger ci saranno i backup di tutti i file rimossi. Se il PC funziona bene, tutta la cartella Avenger si potrà cancellare. Vedi nota in fondo per la cancellazione.
Per finire il lavoro:
1. Scaricate RegSrch.zip. Estraete lo script RegSrch.vbs dall´archivio e mettetelo sul desktop. Poi avviatelo e nella finestra che si apre scrivete il nome della dll che era nascosta (es hyqtt1.dll). Poi attendete fino all´apertura di una finestra di Wordpad che riporta le chiavi da cui era richiamato il file. Navigate nel registro di sistema (regedit.exe) fino a quelle chiavi ed eliminatele. Attenzione a cosa si cancella! Se ricevete il messaggio Accesso negato significa che il trojan ha modificato le autorizzazioni per quelle chiavi del registro. Fate riferimento a questo articolo per garantirvi l'accesso completo e poterle così eliminare.
2. in caso di NTFS: fate la scansione degli ADS con HijackThis. Aprite HijackThis, premete Open the misc tools section, poi si clicca su Open Ads Spy... e si toglie il segno di spunta dalla casella Quick Scan. Faite riferimento a questa parte della guida. Localizzate se presente il file con nome riservato (es com4.igp), selezionatelo mettendo un segno di spunta nella casella accanto alla voce e premete Remove selected
3. da HijackThis, cliccate Open the misc tools section >> open Uninstall Manager. Selezionate la voce linkoptimizer e premete Delete this entry.
A questo punto il PC è ripulito da LinkOptimizer Mr. Green
Consigliamo però di installare al più presto la patch per rimuovere la vulnerabilità da cui ha avuto inizio il problema. E´opportuno anche eseguire un paio di scansioni online: Bitdefender e Kaspersky (con database esteso) sono ottimi. Prima della scansione disattivate la protezione realtime del vostro AV
spero ti sia utile |
| meretrix |
Inserito il - 13/11/2006 : 19:33:36
approposito stavo leggendo in giro
che è possibile che il virus mi impedica la visione di determinati siti,
ecco perche forse non riesco a vedere quel link.
AIUTATEMI. |
| meretrix |
Inserito il - 13/11/2006 : 19:27:54
grazie
riprovo fin quando non riesco a visualizzare la pagina.
se avete altre soluzioni vi ascolto |
| AlartZero |
Inserito il - 13/11/2006 : 18:59:27
una bella formattazione ci starebbe bene secondo me
|
| pbolo |
Inserito il - 13/11/2006 : 17:26:53
il link di giobi si apre tranquillamente.. magari era down il sito, riprova |
| meretrix |
Inserito il - 13/11/2006 : 17:12:33
ciao Giobi!
Grazie per la dritta ma a quel link non si apre nulla, anzi mi da errore. |
| giobi |
Inserito il - 13/11/2006 : 15:15:55
hai provato a leggere questo forum?
http://www.suspectfile.com/forum/viewtopic.php?t=156 |
| meretrix |
Inserito il - 13/11/2006 : 12:15:51
CIAO!
Il problema si verifica ogni volta che apro una qualsiasi cartella.
Si apre un messaggio di AVG che mi dice :
"VIRUS DETECTED!
while opening file : C:windowsjclem1.dll
Trojan Horse Lop.AH"
ed io posso soltanto premere il pulsante "ignore".
Ho provato a crecarlo manualmente il file ma non esiste, ho provato a fare una scansione con AVG e AVG Anti-Spyware sia in modalita normale che provvisoria e nulla. Ma questo messaggio mi continua ad uscire.
Ho visitato altri forum ma nulla si è risolto.
Credo però che tra noi ci sarà qualcuno che potra aiutarni.
Grazie! Aspetto!! |
| AlartZero |
Inserito il - 13/11/2006 : 00:01:17
se non riesci a trovarlo portalo in assistenza
ps se non riesci a trovarlo prova a mettere visualizza file nascosti (molti non sanno nemmeno che esiste) |
| StuRedman |
Inserito il - 12/11/2006 : 23:16:36
Ad ogni modo, scherzi a parte (nello scherzo si dice la verità), descrivi meglio il problema. Non ho capito: non esiste il file o non riesci a eliminarlo?
Se esiste e non riesci ad eliminarlo ti conviene riavviare in modalità provvisoria e ripulirlo con l'avg se non addirittura cancellarlo del tutto... |
| StuRedman |
Inserito il - 12/11/2006 : 23:13:48
Dato il tuo nick mi verrebbe da dire: noi facciamo "il nostro lavoro" per te, tu fai "il tuo lavoro per noi" :P Scambio equo di prestazioni lavorative.
|
