|
--------------------------------------------
-------------------------------------------- 
--------------------------------------------
|
| Calendario |
| | l | m | m | g | v | s | d |
|---|
| 29 | 30 | 1 | 2 | 3 | 4 | 5 | | 6 | 7 | 8 | 9 | 10 | 11 | 12 | | 13 | 14 | 15 | 16 | 17 | 18 | 19 | | 20 | 21 | 22 | 23 | 24 | 25 | 26 | | 27 | 28 | 29 | 30 | 31 | 1 | 2 | | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
|
| Statistiche |
- Views Home Page: 663.626
- Views Posts: 2.302.165
- Views Gallerie: 578.573
- n° Posts: 595
- n° Commenti: 702
|
| Categorie |
- Amenità, pensieri, cose varie, news e humor (72)
- Computer, Browsers & Windows news, Technologies and Announcements (96)
- Internet Explorer, OE and Windows Mail Technologies (49)
- Microsoft MVP Corner (46)
- Microsoft News and Events (14)
- My Blog story and news (1)
- News dal Mondo della Tecnologia, dei Blog e dell'Informatica (10)
- Saluti di benvenuto ed Auguri (10)
- Security Threats, News and Announcements (54)
- Spy, Malware, Worm & Virus News and Troubleshooting (104)
- Windows Internet Explorer (39)
- Windows Internet Explorer 7 (62)
- Windows, IE, OE & WM Tips and Tricks (38)
|
| Archivio Posts | |
Anno 2009
Anno 2008
Anno 2007
Anno 2006
Anno 2005
|
|
 [Info] Alert: Trojan Linkoptimizer and Gromozon
  
- Trojan.Linkoptimizer - Symantec.com
- Gromozon.com and Italian spaghetti
19 Oct. 2006, aggiornamento: Gromozon Evolution: From Spaghetti to Lasagna
_______________________________________________________________
 Download Removal Tool Symantec
Download diretto:
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe
ATTENZIONE. Il Removal Tool va lanciato dopo aver avviato Windows in Modalità provvisoria:
Come avviare il computer in modalità provvisoria
_______________________________________________________________
http://www.sophos.com/virusinfo/analyses/trojlinkopgen.html
Sophos Anti-Rootkit freeware available
_______________________________________________________________
Research Sunbelt: LinkOptimizer
Sunbelt Spyware Research: Trojan.Gromozon
_______________________________________________________________
http://www.bleepingcomputer.com/securityblog/category/gromozon/
_______________________________________________________________
http://www.suspectfile.com/forum/viewtopic.php?t=156
Rimozione del Rootkit di Gromozon.coM alias LinkOptimizer - P2P ...
Scarica ed esegui GMER: http://www.gmer.net/gmer.zip (Segui la Guida a GMER di Marco Giuliani)
_______________________________________________________________
Come eliminare il Trojan.Win32.Rootkit.De Trojan.Win32.Rootkit.E ...
_______________________________________________________________
 
-> Gromozon Removal Tool: http://www.prevx.com/gromozon.asp
_______________________________________________________________
Il prompt che appare per lo scaricamento dei file infetti
I nomi possono essere: google.com, auto.com, free.com, super.com, pictures.com.
Al browser viene richiesto di installare i file FreeAccess.ocx (controllo ActiveX) o FreeToons.cab.
_______________________________________________________________
Courtesy of Marco Giuliani (PC Al Sicuro): Rapido update sul caso Gromozon
Novembre 3rd, 2006
"... Ho aggiornato il mio pdf e ho avuto alcuni contatti con altre società, anch’esse ora interessate particolarmente al caso viste le numerose richieste di aiuto di clienti infetti.
Ringrazio anche Sunbelt per il post nel loro blog con il quale hanno segnalato ai loro lettori la situazione e PianetaPC per aver pubblicato questa notizia..."
La "campagna" diffamatoria contro Marco Giuliani:
Gromozon: ora va sul personale
Sul caso Gromozon Marco Giuliani ha scritto un documento tecnico approfondito ed esauriente, che consiglio di leggere per apprendere le modalità di infezione e di pulizia.
Thanks, Marco!
____________________________________________________________
Se gli strumenti di rimozione Symantec e Prevx1 non si avviano o si aprono e si chiudono immediatamente...
Installa ed esegui AVG Antispyware (Ewido):
http://www.ewido.net/en/download/
Quando hai fatto con Ewido, rimuovilo e:
http://info.prevx.com/downloadprevx1.asp installa ed esegui Prevx1.
____________________________________________________________
Aggiornamento 25 Novembre 2006
“New Gromozon” e Rootkit.DialCall
Rootkit.DialCall Prevx1-
The Gromozon Rootkit - Detection and Removal - CastleCopsWiki-
______________________________________________
Courtesy of MS MVP Gabriele Del Giovine: Microsoft Office SharePoint Portal Server
Com’è noto, nelle ultime settimane si è notevolmente diffusa questa piaga endemica chiamata LinkOptimizer/Gromozon.
In primo luogo è necessario mettersi in mente che NON ESISTE UN TOOL IN GRADO DI
RIMUOVERE IL PROBLEMA ma che occorre procedere caso per caso dato l'elevato numero di varianti e di rootkit che vengono installati. Inoltre tools come Hijackthis non sono sempre utili allo scopo.
Prima di iniziare munitevi di questi strumenti:
- Il removal di PrevX1: http://www.prevx.com/gromozon.asp
- Il Rootkit removal tool di Sophos:
http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html
Download Removal Tool Symantec (NDR)
- Il Rootkit removal tool di Fprot:
http://www.f-secure.com/blacklight/try_blacklight.html
- L'antiSpyware Ewido: http://www.ewido.net/en/
- Un antivirus decente
Quella che descrivo è la procedura base, che ho seguito con successo in diversi casi.
0) accedere alla macchina come amministratore.
1) iniziare con il removal tool fornito da Prevx1
2) Non è detto che la cosa si esaurisca con il removal tool di Prevx1. Molte varianti di LinkOptimizer installano rootkit aggiuntivi che tolgono alcuni diritti avanzati agli utenti amministrativi, come ad esempio quello di debug e di accesso ad alcuni rami di Registry. Grazie a questo bloccano l'installazione di quasi tutti i tools antivirus, antispyware e di rimozione dei rootkit.
Verificate che tra gli account di Windows non ci siano account con nomi strani (senza senso) e che fra i servizi di windows non ci siano servizi che usano questi account creati dal rootkit. Ci saranno sicuramente.
Il servizio normalmente si chiama WebLck ma potrebbero essercene diversi con nomi similari.
Per prima cosa DISATTIVATE o CANCELLATE l'Account usato dai servizi che costituiscono parte di LinkOptimizer. Quindi fate ripartire il PC.
Nelle proprietà dei servizi vedrete anche quali sono i file interessati ma purtroppo non sarete in grado di eliminarli.
I file sono posizionati di norma in c:\programmi\file comuni\System
Li riconoscete perche sono gli unici due eseguibili exe. Inoltre sono crittografati.
Come detto prima occorre riottenere il possesso dei files (Ownership) accedendo alle impostazioni avanzate di sicurezza di ogni singolo file.
Indicate come proprietario dei files il gruppo locale degli amministratori.
Fatto questo potete reimpostare le autorizzazioni per i file.
Date full control al gruppo degli administrators locali. Quindi DISTRUGGETE i file.
Utile:LinkOptimizer: come rimuoverlo ed altri suggerimenti by MVP Ester Memoli
Riavviate la macchina.
Ora installate Ewido, fate l'aggiornamento e quindi una scansione.
Troverà altro materiale (probabilmente in c:\windows\system).
Rimuovete il tutto e riavviate.
Ora potete passare ai rootkit removal.
Il tool di Sophos è particolarmente utile dato che mostra chiaramente quali sono i problemi ed i file che ospitano i vari rootkit.
Se il tool di Fprot si installa significa che non ci sono più processi attivi relativamente a LinkOptimizer.
Il servizio che ospitava LinkOptimizer può essere rimosso eliminando dal registry la relativa entrata. Anche qui occorre reimpostare il proprietario di ogni singolo ramo di configurazione.
Una volta reimpostato il proprietario potete reimpostare le autorizzazioni e quindi dare full control al gruppo degli amministratori locali. Fatto ciò potete cancellare la parte di Registry relativa ai servizi usati da LinkOptimizer.
 domenica, 03 set 2006 Ore. 18.35
|
|
----------------------------------------------- ----------------------------------------------- 
----------------------------------------------- 
| |