« Torna alla lista delle News

21
ago
2006

LinkOptimizer, Link Optimizer - Rimozione del Trojan


LinkOptimizer, Link Optimizer - Istruzioni per la rimozione

Da un pò di tempo a questa parte mi arrivano in laboratorio pc con questo "bellissimo" Trojan installato.
Armandomi di un bel pò di pazienza, leggendo varie discussioni in giro, ho trovato una mia personale procedura per debellarlo definitivamente.

Purtroppo, essendo un Tojan rootkit, non viene individuato dalle API di Windows e quindi nemmeno dagli antivirus... Dobbiamo andare a toglierlo a manina e con i seguenti tools.

Ecco qui  quello che vi serve per iniziare:

  1. Rootkirevelear
  2. Hijackthis
  3. The Avenger
  4. Patch Microsoft
  5. ...una buona dose di pazienza!

Partiamo!

  • La prima cosa da fare è disabilitare il "Ripristino di configuraizone di sistema" di WinXP
  • Sotto la cartella "Documents And Settings" ci dovrebbe essere una cartella di un utente con un nome strano... CANCELLATELA!
  • Lanciare Hijackthis e creare il file di Log (salvandolo)
  • Cancellare le voci R0, R1, R3, O2
  • Cancellare tutte le voci "sospette", in particolare DLL, EXE e TMP (*)
  • Editare: Start > Esegui > Services.msc > e andare in cerca di un servizio la cui proprietà di connessione sia diversa da tutte le altre... Di solitò è un nome strano
  • Disabilitare quel servizio applicando il "disabilitato"
  • Cancellare le cartelle TEMP sotto Windows, TEMP sotto la cartella  di ogni utente e Temporary Internet Files sotto la cartella di ogni utente
  • Lanciare Rootkitrevealear
  • Salvare il file di Log

Bene... Ci siamo quasi...
Ora lanciate THE AVENGER:

  • Scegliete di editare il file manualmente e copiate e incollate queste 3 righe:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:

Folders to Delete:

  • Sotto la prima riga (lasciando l'entry a già presente) inserite le voci DI REGISTRO che Rootkitrevealear vi ha trovato (non inserite anche la data e i commenti... Solo il percorso).
  • Sotto la seconda riga inserite i files che sia Rootkitrevealear che Hijackthis vi ha trovato e che avete cancellato (*)
  • Sotto la terza riga inserite i percorsi delle cartelle che sia Rootkitrevealear che Hijackthis vi ha trovato e che avete cancellato (*) e in cui dentro ci sono numerosi files (in modo da nn doverli cancellare ad uno ad uno...)
  • Una volta completato lanciare la scansione tramite il tasto del semaforo e riavviare la macchina al termine

Al riavvio lanciate nuovamente Hijackthis e andate su CONFIG > MISC TOOL > OPEN UNINSTALL MANAGER e selezionate la voce "Llink Optimizer" e cliccate su DELETE THIS ENTRY.
Chiudete Hijackthis e applicate la Patch della MS che avevate scaricato
Riavviate la macchina

Fate una bella scansione con un buon software antivirus e aggiornate Windowzzzz...

Alla fine sarebbe utile rifare il tutta la procedure per vedere se ci sono ancora porcherie in giro... Ve lo consiglio caldamente! Nel caso rifate il tutto.

Il lavoro dovrebbe essere terminato!! 

Fatemi sapere (cortesemente) se questo metodo vi è servito alla completa rimozione o avete avuto dei problemi e avete dovuto implementare la procedura sopra descritta e in che modo (al fine di aiutare anche altri utenti)

Buon Lavoro



« Torna alla lista delle News