Estering


Il blog di Ester Memoli


*****************************************************

La mia rubrica su Techeconomy.it Managed Services


*****************************************************

La mia videointervista su MSN Video


*****************************************************

Colored Glances. Io e i miei colori. Il blog di un hobby colorato.


*****************************************************


*****************************************************

***DotNetHell.it TEAM***

*****************************************************

*****************************************************


Sondaggio
Tenere la vita reale separata da quella online?

Si
No

Links
Blogs Amici
Mappa
Home Blogs | Home | Login | Contact | My Profile | RSS | About | Cerca

LinkOptimizer: come rimuoverlo ed altri suggerimenti

Segnalo l'ottimo post di Gabriele Del Giovine [MVP] nel ng microsoft.public.it.sicurezza, che riporto integralmente, oltre ad un piccolo suggerimento (che troverete in fondo alla pagina) per chi su XPPro non riesce a trovare il tab Security tra quelli disponibili nelle proprietà dei file, oppure chi con XP Home non ha questa possibilità. Buona lettura:

* * *
Nelle ultime settimane sapete che c'è questa piaga endemica di
LinkOptimizer/Gromozon.

In primo luogo bisogna mettersi in mente che NON ESISTE UN TOOLS IN GRADO DI
RIMUOVERE IL PROBLEMA, ma che occorre procedere caso per caso dato l'elevato numero di
varianti e di rootkit che vengono installati. Inoltre tools come Hiijackthis
non sono utili allo scopo.
Prima di iniziare munitevi di questi strumenti

Il removal di PrevX1: http://www.prevx.com/gromozon.asp
Il Rootkit removal tool di Sophos
http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html
Il  Rootkit removal tools di Fprot
http://www.f-secure.com/blacklight/try_blacklight.html
L'antiSpyware Ewido http://www.ewido.net/en/
Un antivirus decente

Quella che segue è la procedura base che ho seguito con successo in diversi casi.

0) accedere alla macchina come amministratore.
1) iniziare con il removal fornito da Prevx1
2) Non è detto che la cosa si esaurisca con il removal tool di Prevx1. Molte
varianti di LinkOptimizer installano rootkit aggiuntivi che tolgono alcuni
diritti avanzati agli utenti amministrativi come ad esempio quello di debug
e di accesso ad alcuni rami di registry. Grazie a questo bloccano
l'installazione di quasi tutti i tools antivirus, antispyware e di rimozione
dei rootkit. Verificate che negli account  di Windows non ci siano account con nomi
strani (senza senso) e che fra i servizi di windows ci siano servizi che usano questi account creati dal rootkit. Ci saranno sicuramente :) Il servizio normalmente si chiama WebLck. Potrebbero essercene diversi similari.

Per prima cosa DISATTIVATE o CANCELLATE l'Account usato dai servizi che
costituiscono parte di LinkOptimizer. Quindi fare riparte il PC.

Nelle proprietà dei servizi vedrete anche quali sono i files interessati.
Ovviamente non sarete in grado di cancellare questi files.
I files sono posizionati di  norma in c:\programmi\file comuni\System
Li riconoscente perche sono gli unici due eseguibili exe. Inoltre sono
crittografati.

Come detto prima occorre riottenere il possesso dei files (Ownership)
andando nelle impostazioni avanzate di sicurezza di ogni singolo files.
(N.d.Ester: vedi in basso se non visualizzi il tab Security tra quelli delle proprietà del file)
Indicate come proprietario dei files il gruppo localre degli amministratori.
Fatto questo potete reimpostare le autorizzazioni per i files. Date full
control al gruppo degli administrators locali. Quindi DISTRUGGETE i files.

Riavviate la macchina.

Ora installate Ewido, fate l'aggiornamento e quindi una scansione.
Troverà altro materiale (probabilmente in c:\windows\system). Rimuovete il
tutto e riavviate.

Ora potete passare ai rootkit removal. Il tool di Sophos è particolarmente
utile dato che mostra chiaramente quali sono i problemi ed i files che
ospitano i vari rootkit. Se il tool di Fprot si installa significa che non ci sono più processi
attivi relativamente a LinkOptimizer.

Il servizio che ospitava LinkOptimizer può essere rimosso eliminando dal
registry la relativa entrata. Anche qui occorre reimpostare il proprietario
di ogni singolo ramo di configurazione.
Una volta reimpostato il proprietario potete reimpostare le autorizzazioni e
quindi dare full control al gruppo degli amministratori locali. Fatto ciò
potete cancellare la parte di registry relativa ai servizi usati da
LinkOptimizer.

Saluti.
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
NOTE:
 
Se il tab Security non è disponibile in Windows XP Pro:
 
Aprire una finestra di explorer.exe (va bene anche Documenti),
poi cliccare su Strumenti > Opzioni > Visualizza. In fondo alla lista
c'è la voce "Utilizza condivisione file semplice", a cui bisogna togliere la spunta.

Da questo momento sarà disponibile il tab Security/Autorizzazioni, nel quale
cliccando su "Avanzate" potrete dare o ristabilire le permission e quindi la
ownership dei file.

Per chi ha Windows XP Home Edition bisogna riavviare in modalita' provvisoria per visualizzare la scheda Security e, in tutti i casi, non e' possibile rimuovere la condivisione semplice.

Altre info sul Simple File Sharing:
HOW TO: Disattivare la condivisione semplice e proteggere mediante password una cartella condivisa

Altre info su Gromozon e LinkOptimizer, dal blog di Vincenzo di Russo [MVP]:
"[Info] Alert: Trojan Linkoptimizer and Gromozon"
Categoria: Tecnico
sabato, 23 set 2006 Ore. 23.27
Mosaic
Gallerie

Accedi alle gallerie!
Categorie
Archivio Posts
Anno 2015

Anno 2013

Anno 2012

Anno 2011

Anno 2010

Anno 2009

Anno 2008

Anno 2007

Anno 2006

Anno 2005
Statistiche
  • Views Home Page: 984.447
  • Views Posts: 3.775.781
  • Views Gallerie: 2.369.990
  • n° Posts: 1.246
  • n° Commenti: 4.074
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003