PDA

Visualizza versione completa : Problema LinkOptimizer


VerTek
28-09-2006, 14.56.25
Ciao a tutti,
avrei bisogno del vostro aiuto, sto cercando di risolvere un problema al pc di mia sorella, sto facendo di tutto ma non sembra risolversi.
Il problema è questo: da qualche giorno l'explorer risulta abbastanza lento a caricare le pagine (il pc è in lan ed ha Xp service pack 2); sicuramente è stato visionato qualche sito che ha fatto entrare virus e schifezze varie nel pc.
Infatti ho trovato in system32 di windows un file chiamato omaa.dll e nei Temp ebaa1.exe che l'antivirus Panda ha rimosso entrambi (ho fatto la scansione online sul sito pandasoftware.com perchè sul pc come antivirus c'è McAfee che non aveva trovato niente, a breve devo cambiarlo).
Però è rimasto qualcosa che rallenta ancora il browser.
In un primo momento, oltre a fare ovviamente pulizia di temporary internet files, cookies, temp ecc, ho usato anche CWShredder v2.19, Ad-Aware SE Professional v1.05 e HijackThis. CWShredder non aveva trovato niente, Ad-Aware invece rilevava 4 critical objects (vi posto una cap sotto) che anche se rimuovo, dopo aver aperto l'explorer, ricompaiono automaticamente. Mentre HijackThis aveva trovato una chiave del virus eliminato (ebaa1.exe) nei temp e l'ho rimossa. Vi posto anche il log, forse c'è qualcos'altro da eliminare ma non essendone sicuro ho preferito non fare nulla.
Volevo provare ad effettuare il ripristino configurazione di sistema ma i virus che c'erano me l'avevano disattivato e, ora che l'ho riattivato, ha perso tutti i punti di ripristino precedenti.
Poi ieri mi hanno consigliato di seguire questa guida http://steven.altervista.org/files/rootkit.html ma i tool non funzionano. Sono riuscito solo ad installare la patch ed a effettuare la scansione con BitDefender e Sysclean (non hanno trovato niente), però i vari "Gromozon Rootkit Removal Tool" "The Avanger", "RootkitRevealer" e "GMER" non partono, clicco sugli .exe ma non succede nulla, neanche in modalità provvisoria. Però non tutti gli eseguibili sono bloccati, per esempio ho scaricato un aggiornamento del McAfee per prova, anch'esso è un file .exe e funziona tranquillamente, è come se questo virus riconoscesse i tool e furbamente li blocca.
Oggi ho provato anche il nuovo tool Symantec (questo è partito) ed ha rimosso qualcosa.

http://img168.imageshack.us/img168/1662/toolssymantecgh9.jpg

L'explorer però risulta ancora lento e Ad-aware trova ancora sempre gli stessi 4 critical objects che, anche se rimuovo, tornano appena si apre il browser.

http://img177.imageshack.us/img177/9931/adawareth1.jpg

Questo è il log di Hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 13.35.34, on 28/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programmi\Ahead\InCD\InCDsrv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
E:\Programmi\Ahead\InCD\InCD.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\WINDOWS\ALCWZRD.EXE
E:\Programmi\MessengerPlus! 3\MsgPlus.exe
E:\Programmi\McAfee\McAfee VirusScan\Avsynmgr.exe
E:\Programmi\iTunes\iTunesHelper.exe
E:\WINDOWS\system32\svchost.exe
E:\Programmi\McAfee\McAfee VirusScan\VsStat.exe
E:\Programmi\McAfee\McAfee VirusScan\Vshwin32.exe
E:\Programmi\iPod\bin\iPodService.exe
E:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe
E:\Programmi\McAfee\McAfee VirusScan\Avconsol.exe
E:\WINDOWS\system32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redi...=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redi...=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redi...er=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redi...=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {10C7C98A-55AB-A19B-0078-E0B936F61CE2} - E:\WINDOWS\aaaaa1.dll (file missing)
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - E:\Programmi\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [RemoteControl] "E:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] E:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [REGSHAVE] E:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmi\QuickTime\qttask.exe" -atboottime
O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: E:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binar...kr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab31267.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/...director/sw.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/C...2/OCI/setup.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/res...can8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab31267.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://axis.securestore.it/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/active...free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/M...pDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binar...ro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/...ash/swflash.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads.../ampx_en_dl.cab

Non so che altro fare (a parte la formattazione), potete gentilmente darmi una mano?
Grazie :)

RNicoletto
28-09-2006, 15.51.46
Perchè usi la versione 1.97.7 di Hijackthis quando è disponibile la 1.99.1?? :confused:

VerTek
28-09-2006, 16.03.51
Avevo quella nel pc da un pò di tempo, cambia molto se uso la nuova?

RNicoletto
28-09-2006, 16.59.45
SI, aggiorna!

VerTek
28-09-2006, 17.30.25
Aggiornato. Ecco il log della nuova scansione:

Logfile of HijackThis v1.99.1
Scan saved at 17.28.48, on 28/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programmi\Ahead\InCD\InCDsrv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
E:\Programmi\Ahead\InCD\InCD.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\WINDOWS\ALCWZRD.EXE
E:\Programmi\MessengerPlus! 3\MsgPlus.exe
E:\Programmi\iTunes\iTunesHelper.exe
E:\Programmi\McAfee\McAfee VirusScan\Avsynmgr.exe
E:\WINDOWS\system32\svchost.exe
E:\Programmi\McAfee\McAfee VirusScan\VsStat.exe
E:\Programmi\iPod\bin\iPodService.exe
E:\Programmi\McAfee\McAfee VirusScan\Vshwin32.exe
E:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe
E:\Programmi\McAfee\McAfee VirusScan\Avconsol.exe
E:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {10C7C98A-55AB-A19B-0078-E0B936F61CE2} - E:\WINDOWS\aaaaa1.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - E:\Programmi\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [RemoteControl] "E:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] E:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [REGSHAVE] E:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmi\QuickTime\qttask.exe" -atboottime
O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .spop: E:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://axis.securestore.it/AxisCamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O23 - Service: Ati HotKey Poller - Unknown owner - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - E:\Programmi\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - E:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programmi\iPod\bin\iPodService.exe
O23 - Service: McShield - Unknown owner - E:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe

crazy.cat
28-09-2006, 18.05.13
Sembra che la variante nuova di questo virus riesca a nascondersi almeno in parte a tutti i tools.
Questa dll sembra un residuo del virus o di qualche altra schifezza.
O2 - BHO: Class - {10C7C98A-55AB-A19B-0078-E0B936F61CE2} - E:\WINDOWS\aaaaa1.dll

VerTek
28-09-2006, 18.23.50
Si, l'avevo notata anch'io. Provo a rimuoverla?

crazy.cat
28-09-2006, 18.25.37
Rimuovi la riga e se hai problemi ad eliminare il file usa Delete doctor o unlocker e riavvia subito dopo il pc.

Tecno214
28-09-2006, 18.56.13
Controlla utenti e servizi..

*) Da riga di comando digita..
services.msc

e controlla che non ci siano servizi con nomi strani in esecuzione.

Poi passa a Pannello di Controllo>Account Utente
e controlla che non vi siano utenti strani.

*) Per un ulteriore verifica puoi abilitare, se già non lo hai fatto, la visione di cartelle e file di sistema da

Risorse del Computer>Strumenti>Opzioni Cartella>Visualizzazione

per poi portarti su
C:\Document e Settings\

controllando se anche qua non appare un utente strano e sconosciuto.

Se l'utente è presente ti consiglio i tools di rimozione del link optimizer che trovi, tra l'altro, pochi post più sotto al tuo!

VerTek
29-09-2006, 00.54.35
Rimuovi la riga e se hai problemi ad eliminare il file usa Delete doctor o unlocker e riavvia subito dopo il pc.
Allora, ho analizzato la scansione di HijackThis su questo sito http://www.ilsoftware.it/hijackthis.asp e mi ha riportato che:

R3 - Default URLSearchHook is missing
Abbastanza sospetto Premere Fix in HijackThis se non conoscete l'applicazione oppure se non è indicato alcun nome.

O2 - BHO: Class - {10C7C98A-55AB-A19B-0078-E0B936F61CE2} - E:\WINDOWS\aaaaa1.dll
Sconosciuto Le voci trovate nel registro di sistema sono potenzialmente pericolose. Questa applicazione ([10C7C98A-55AB-A19B-0078-E0B936F61CE2] - Result: ) è stata verificata. Hit rate: 0,00%

Tutti gli altri sono sicuri, a parte questi due.
Così ho rimosso il secondo, non so perchè ma ho dovuto rimuoverlo piu' volte perchè quando lo toglievo le prime volte, dopo qualche minuto, usciva nuovamente, ma adesso sembra non comparire più (eppure l'ho rimosso sempre allo stesso modo...) Era proprio quella riga che rallentava l'explorer, ora sembra funzionare bene. Spero solo che non ricompaia.
Credo comunque che sia rimasto qualche residuo, infatti Ad-aware trova ancora quei 4 critical objects che mi segnalava già, però, almeno per ora, sembrano non dare problemi al pc.
Secondo voi devo eliminare anche "R3 - Default URLSearchHook is missing" con HijackThis?

VerTek
29-09-2006, 01.21.08
Controlla utenti e servizi..
*) Da riga di comando digita..
services.msc
e controlla che non ci siano servizi con nomi strani in esecuzione.
Poi passa a Pannello di Controllo>Account Utente
e controlla che non vi siano utenti strani.
*) Per un ulteriore verifica puoi abilitare, se già non lo hai fatto, la visione di cartelle e file di sistema da
Risorse del Computer>Strumenti>Opzioni Cartella>Visualizzazione
per poi portarti su
C:\Document e Settings\
controllando se anche qua non appare un utente strano e sconosciuto.
Se l'utente è presente ti consiglio i tools di rimozione del link optimizer che trovi, tra l'altro, pochi post più sotto al tuo!
Ho controllato e di utenti strani non ce ne sono, anche i servizi sembrano normali.
Per sicurezza, potete darci anche voi uno sguardo? Vi posto la cap.
Grazie

http://img218.imageshack.us/img218/7417/servizitr9.jpg

Tecno214
29-09-2006, 11.40.01
Nessun servizio anormale da segnalare, tutto a posto...

Prova comunque a far girare il Link Optimizer Removal Tools, scaricabile da
QUI (http://www.prevx.com/gromozon.asp)
Non troverà nulla, ma tentare non nuoce!

VerTek
29-09-2006, 11.43.27
Grazie però, come ho scritto nel primo messaggio, quel tool non mi funziona. :(

Tecno214
29-09-2006, 11.54.24
Scusa la distrazione, non ci avevo fatto caso...

Prova quest'altro

REMOVAL SYMANTEC (http://www.symantec.com/home_homeoffice/security_response/writeup.jsp?docid=2006-092316-4153-99)

VerTek
29-09-2006, 13.32.38
Sempre nel primo post, ho specificato di aver provato questo tool Symantec (ho messo anche la cap). E' l'unico che mi è partito e che ha rimosso qualcosa, anche se qualche residuo è rimasto ugualmente.