| Autore |
 Discussione  |
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
 Inserito il - 07/11/2006 : 00:37:37
|
Aggiornamento situazione linkoptimizer:
Operazioni prenimilari:
disattivare riprisino configurazione sistemascanzione in modalità provvisoria
cancellazione file temporanei, cache, cochies ecc.. con Ccleaner(sez. download) togliendo la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore.
disabilitare antivirus, filewall, antispy
disconnettersi da internet.
tool più accreditati per la rimozione:
tool Prevx
htt*://[www].prevx[.com]/gromozon.asp
tool symatec :
htt*://smallbiz.symantec[.com]/security_response/writeup.jsp?docid=2006-092316-4153-99
in caso di impossibilità di collegarsi ai siti link alternativi:
link diretto gromozon
htt*://pcalsicuro.phpsoft.it/FixGrom.exe
link diretto tool symatec
htt*://[www].mytempdir[.com]/1003691
se,una volta scaricati, non si possono avviare: rinominare i due eseguibili con nomi di fantasia (es.michal.exe o aris.exe)
scansione finale con Virit:
htt*://[www].tgsoft.it/files/vnlt6093.exe
Pachts da installare dopo la rimozione per non essere più infettati
htt*://[www].microsoft[.com]/italy/technet/security/bulletin/ms04-025.mspx
htt*://[www].microsoft[.com]/italy/technet/security/bulletin/ms03-011.mspx
htt*://[www].microsoft[.com]/italy/technet/security/bulletin/ms06-006.mspx
htt*://[www].microsoft[.com]/italy/technet/security/bulletin/ms06-001.mspx
htt*://[www].microsoft[.com]/italy/technet/security/bulletin/ms06-013.mspx
credo sia tutto per ora.
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 07/11/2006 : 18:52:27
|
ho una news fresca fresca....
htt*://[www].pianetapc.it/phpBB2/viewtopic.php?t=1808
leggi e stupisciti...
ma quando hanno pareggiato...  |
Modificato da - aris73 in data 07/11/2006 18:58:11 |
 |
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 07/11/2006 : 21:11:17
|
abbiamo pareggiato con la rinomina dei tool
ottima l'idea di bloccare i siti,......ma.......li cambiano abbastanza spesso |
Modificato da - michal in data 07/11/2006 21:14:41 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 08/11/2006 : 13:04:32
|
Citazione:
Messaggio inserito da michal
abbiamo pareggiato con la rinomina dei tool
ottima l'idea di bloccare i siti,......ma.......li cambiano abbastanza spesso
difatti dovrebbe funzionare tipo peerguardian2, man mano le liste vengono aggiornate... |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 08/11/2006 : 19:52:23
|
Scusate se forse non sono nella discussione giusta...
Quando guardo un log che viene postato, non saprei riconoscere il link optimizer, anche perchè mi sembra abbastanza mutevole.
Esiste un sito, in italiano o in inglese dove si insegni a riconoscerlo?
Altra domanda, forse scema...Gromozon è una varietà di linkoptimizer, o non c'entra nulla? |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 08/11/2006 : 20:55:11
|
normalmente c'è almeno una di queste voci:
prima versione
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {225F192F-050D-0505-BA04-638E6269372F} - C:\WINDOWS\xxxxx1.dll (file missing) dove le x sono 5 caratteri alfabetici random con 1 finale (questo è il file rootkit).
O4 - HKLM\..\Run: [xxxx1.exe] C:\WINDOWS\TEMP\xxxx1.exe eseguibile con 4 caratteri alfabetici random.
in seguito sono stati aggiunti altri file sfruttando i nomi riservati di win come: com1 lpt3, aux lpt posizionati in genere nella voce 023
se vuoi approfondire:
htt*://[www].pianetapc.it/articoli.php?id=65
gromozon è il sito di partemza dell'infezione. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 08/11/2006 : 23:41:08
|
| vorrei solo aggiungere che anche solo la presenza di una delle voci elencate da Michal può essere sintomo di presenza di link optimizer, e comunque con le ultime varianti é possibile che nessuna di quelle voci sia presente, ma la prova del nove é far effettuare una scansione con GMER, nel momento in cui questo programma non parte, in quanto questa variante lo inibisce, é il segnale che esso é presente... |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 09/11/2006 : 20:23:43
|
| questo é interessante htt*://[www].pianetapc.it/articoli.php?id=70 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 11/11/2006 : 19:59:03
|
c'é una variante nuova che inibisce quasi tutto questi dovrebbero funzionare
htt*://rapidshare[.com]/files/2876989/Tools_gromozon.zip.html
htt*://[www].megaupload[.com]/?d=1RF1KZLR
htt*://depositfiles[.com]/files/367213
all'interno di ogni link si trovano i tool nod, prevx, symantec
nonché gmer, avenger, hijack modificati |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 18/11/2006 : 20:44:14
|
novità
htt*://[www].pcalsicuro[.com]/main/2006/11/new-gromozon-e-rootkitdialcall/ |
|
|
|
Cytro
New Member
Città: milano
42 Messaggi |
Inserito il - 19/11/2006 : 21:11:39
|
| Ciao michal mi ha dato come indicazione questa discussione aris in merito al mio problema dei cavalli di * ed altri problemini ma nn capisco cosa vuol dire quello che hai detto fasi preliminari riusciresti a rispiegarmelo. e poi ho anche gli aggiornamenti di windows che nn riescono mai a concludersi mis a che è un problema legato |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 25/11/2006 : 17:43:47
|
ormai siamo arrivati all'assurdo... htt*://[www].pianetapc.it/view.php?id=795
p.s. Cytro apri una tua discussione per farti spiegare tutto, quì mettiamo tutte le news su gromozon
ciao |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 01/12/2006 : 12:11:30
|
| altro link utile dove poter scaricare tool modificati htt*://[www].mediafire[.com]/?6mmy0khnz4z |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 14/12/2006 : 01:40:30
|
Vorrei sapere se, per quello che riguarda la variante "blocca tutto" segnalata in due discussioni:
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=7715 "Problema memoria virtuale" di michal
htt*://[www].notrace.it/Forum2/topic.asp?TOPIC_ID=7874 "pc lentissimo dopo formattazione" di rava34 (che per il momento lo diamo in forse...)
ci sia la possibilità di vedere qualche sintomo particolare, in modo da liquidare il problema all'origine, senza che si impianti la macchina del tutto.
Grazie in anticipo per l'interessamento
E un ultimo sfogo...Ma è possibile che con tutto il software che c'è da produrre, qualcuno investa tempo e denaro in porcate del genere? Cioè, mica sono i ragazini che giocano con il DOS (o con quel cavolo che giocano adesso)  |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 17/12/2006 : 19:55:25
|
La variante blocca tutto funziona in questa maniera:
prima fase: segnalazione errore memoria virtuale insufficente, anche aumentando la memoria fino a 4mb l'errore rimane.
la conseguenza di questo errore e che all'avvio xp non riesce a caricare nemmeno il sistema operativo completo, non ne parliamo di altri programmi.
seconda fase
se si va in provvisoria il sistema lo carica per un paio di volte poi si blocca completamente e non è possibile fare più nulla.
Solo in questa fase è possibile operare ma, nel mio caso i tool di rimozione non gli ha fatti partire. Sono comunque riuscito a fare delle scansioni con Gmer e Systemscan ma che non ho potuto utilizzare a causa del successivo blocco totale del pc.
Questa la cronaca, al momento in casi simili è bene fare tutto quello che è possibile nella maniera più veloce e senza riavviare il sistema(ad ogni riavvio il tutto peggiora)
Questa variante è abbastanza rara anche perchè io sono andato a prenderla direttamente sui siti di diffusione del virus(sui quali stavo indagando).
Dietro questo maleware, come abbiamo già detto io ed Aris, ci sono menti molto preparate e non ragazzini.
Staff di programmatori con molte risorse economiche, in grado di modificare il virus in base a quanto avviene sui forum si sicurezza, altre volte addirittura bloccando tali siti (Suspectfile ed altri) detto questo le motivazioni diventano più chiare,no?
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 17/12/2006 : 20:21:34
|
|
più chiaro di così si muore...aggiungerei solo chi vuol capire capisca... |
Modificato da - aris73 in data 17/12/2006 20:22:07 |
|
|
|
Discussione |
|
linkopimizer tempi supplementari
Forum Bloccato
