Postdi Ollie59 » 22/10/06 21:20

Quasi ogni volta che scarico la posta da Outlook, il mio Viruscan 10 mi segnala un PUP chiamato LinkOptimizer che non riesce a rimuovere.
Ho letto i vs. forum sull'argomento (ma non mi sono avventurato nel seguirne i suggerimenti perchè mi sembravano complicati), e ho seguito le istruzioni in chat dell'operatore McAfee che mi ha fatto installare Ad-Aware ma non ho risolto. Inoltre il PC, che ho da un paio di mesi, è instabile, nel senso che ogni tanto mi segnala un grave errore di windows, oppure mi dà errore nella visualizzazione dei .pdf etc.; credo poi di essere riconosciuto come spammer dai destinatari delle mie e-mails.
Infine noto che si creano dei file di sistema chiamati "winio" e dei driver di periferica virtuale chiamati "winio.vxd".
Insomma tutto un casino, almeno per me che di computer sono solo un utente....
E' snervante: c'è qualcuno che mi può aiutare?
Postdi Luke57 » 22/10/06 21:28

Ciao, per cominciare posta un log di hijackthis:

Estrai il contenuto del file .zip n una cartella permanente appositamente creata, per esempio C:\HJT, non cartelle temporanee come Desktop oppure C:\Windows\temp. Nella cartella permanente il programma crea una cartella di backup delle voci eventualmente rimosse.
Chiudi tutte le applicazioni aperte
Avvia HiJackThis con doppio click sull'eseguibile (hijackthis.exe)
Attendi che finisca la scansione e che si apra in automatico un foglio di blocco note scritto
Copia il testo del blocco note incollalo in un post nel forum.
Postdi Smjert » 22/10/06 21:33

Ciao, Benvenuto.

Scarica il tool della Prevx per la rimozione del Link Optimizer (alias Gromozon) e il tool della Symantec.
Avvia prima il tool della Prevx (ti chiederà alla fine di riavviare il pc), poi avvia quello della Symantec.

Scarica GMER da

Avvia GMER e fai due scansioni (tasto Scan) una dal tab rootkit e l´altra dal tab autostart. Copiale tutte e due premendo il tasto Copy nei rispettivi tab e incollali in un file di testo che salverai.

Posta il contenuto di quel file di testo.

Scarica HijackThis, decomprimilo in una cartella tutta sua non temporanea (ad esempio in C:\HijackThis), avvialo, premi Do a system scan and save a log file, ti si aprirà una finestra di Notepad con il report della scansione, posta il suo contenuto.

Infine posta il log del tool Prevx (C:\gromozon_removal) e il log del tool Symantec (FixLinkOpt.log)
Postdi Smjert » 22/10/06 21:34

Riops... cancellate pure questo e il mio post precedente :roll:
Postdi Ollie59 » 23/10/06 01:42

Quando clicco sul link che mi hai dato per il log di HIjackthis, vengo sputato via da explorer. Ma lo devo prima installare?
Postdi Ollie59 » 23/10/06 02:00

Nel frattempo ho scaricato il tool della Prevx per la rimozione del Link Optimizer (alias Gromozon), ho avviato la scansione e mi sono salvato il log conseguente.
Virusscan mi segnala un'altra infezione dal Trojan "" per il quale si dichiara impotente (no pulizia, no quarantena, no eliminazione).
Poi ho fatto un'altra scansione con Ad-Aware che ha trovato 11 file/programmi sospetti (tra cui il solito LinkOptimizer) e una chiave di registro; ho eliminato tutto. Ma il trojan di cui sopra ricompare.
Ora mi scarico il tool della Symantec, anche se ho paura che tutti 'sti antivirus possano creare dei conflitti tra loro.....
Postdi Luke57 » 23/10/06 07:45

Ciao, posta il report del tool della prevx. I tool non creano assolutamente conflitti fra di essi.
Postdi Ollie59 » 24/10/06 20:54

Ecco il log di Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21.50.23, on 24/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\InstallShield Installation Information\{2427F243-56D8-4AFE-B03B-1943036306D8}\DetectDatacard.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\wifihlp.exe","c:\windows\ibmscr.exe","c:\windows\philipssensor.exe",
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {485B9FAB-B742-30BF-1434-290AB64F70E9} - C:\WINDOWS\cvacr1.dll (file missing)
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\\vso\mcvsshl.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB002" /M "Stylus C42"
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programmi\\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programmi\\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\\agent\mcupdate.exe
O4 - HKLM\..\Run: [DetectDatacard] C:\Programmi\InstallShield Installation Information\{2427F243-56D8-4AFE-B03B-1943036306D8}\DetectDatacard.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\\Shared\mcappins.exe /v=3 /cleanup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = LUPPOLO.LOCAL
O17 - HKLM\Software\..\Telephony: DomainName = LUPPOLO.LOCAL
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = LUPPOLO.LOCAL
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = LUPPOLO.LOCAL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programmi\\agent\mcdetect.exe
O23 - Service: McShield (McShield) - McAfee Inc. - c:\PROGRA~1\\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\\Agent\mcupdmgr.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
Postdi Ollie59 » 24/10/06 21:07

A proposito il tool della Symantec non sono poi riuscito a scaricarlo.
Ti posto anche il tool della Prevx, che avevo fatto l'altro ieri:

Removal tool loaded into memory
Executing rootkit removal engine....
Disabling rootkit file: \\?\C:\WINDOWS\system32\com1.mjc
Resetting file permissions...
Clearing attributes...
Impossibile trovare il file - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\System\BBV.exe
Removing protected file: C:\Programmi\File comuni\System\CdO.exe
Removing protected file: C:\Programmi\File comuni\System\cIk.exe
Removing protected file: C:\Programmi\File comuni\System\CjXpeq.exe
Removing protected file: C:\Programmi\File comuni\System\cKgUc.exe
Removing protected file: C:\Programmi\File comuni\System\cnAEeW.exe
Removing protected file: C:\Programmi\File comuni\System\CoDOU.exe
Removing protected file: C:\Programmi\File comuni\System\DJs.exe
Removing protected file: C:\Programmi\File comuni\System\DUehdO.exe
Removing protected file: C:\Programmi\File comuni\System\ekV.exe
Removing protected file: C:\Programmi\File comuni\System\eoDw.exe
Removing protected file: C:\Programmi\File comuni\System\eymF.exe
Removing protected file: C:\Programmi\File comuni\System\FeI.exe
Removing protected file: C:\Programmi\File comuni\System\FGkU.exe
Removing protected file: C:\Programmi\File comuni\System\fgn.exe
Removing protected file: C:\Programmi\File comuni\System\fmE.exe
Removing protected file: C:\Programmi\File comuni\System\gCL.exe
Removing protected file: C:\Programmi\File comuni\System\GYMoun.exe
Removing protected file: C:\Programmi\File comuni\System\Han.exe
Removing protected file: C:\Programmi\File comuni\System\HjGNMz.exe
Removing protected file: C:\Programmi\File comuni\System\hYDBwk.exe
Removing protected file: C:\Programmi\File comuni\System\ibV.exe
Removing protected file: C:\Programmi\File comuni\System\iGu.exe
Removing protected file: C:\Programmi\File comuni\System\IhLNRG.exe
Removing protected file: C:\Programmi\File comuni\System\ILKaQE.exe
Removing protected file: C:\Programmi\File comuni\System\JnSQE.exe
Removing protected file: C:\Programmi\File comuni\System\jPbuhp.exe
Removing protected file: C:\Programmi\File comuni\System\jVOpI.exe
Removing protected file: C:\Programmi\File comuni\System\Khm.exe
Removing protected file: C:\Programmi\File comuni\System\knG.exe
Removing protected file: C:\Programmi\File comuni\System\kOlP.exe
Removing protected file: C:\Programmi\File comuni\System\KtA.exe
Removing protected file: C:\Programmi\File comuni\System\lft.exe
Removing protected file: C:\Programmi\File comuni\System\Lfv.exe
Removing protected file: C:\Programmi\File comuni\System\ljZaqh.exe
Removing protected file: C:\Programmi\File comuni\System\LlI.exe
Removing protected file: C:\Programmi\File comuni\System\LNjtxO.exe
Removing protected file: C:\Programmi\File comuni\System\LuPWCg.exe
Removing protected file: C:\Programmi\File comuni\System\LUYSQD.exe
Removing protected file: C:\Programmi\File comuni\System\mbK.exe
Removing protected file: C:\Programmi\File comuni\System\mgkuH.exe
Removing protected file: C:\Programmi\File comuni\System\mHexFm.exe
Removing protected file: C:\Programmi\File comuni\System\mhiS.exe
Removing protected file: C:\Programmi\File comuni\System\mhzQL.exe
Removing protected file: C:\Programmi\File comuni\System\mlC.exe
Removing protected file: C:\Programmi\File comuni\System\mmdF.exe
Removing protected file: C:\Programmi\File comuni\System\mMu.exe
Removing protected file: C:\Programmi\File comuni\System\mNS.exe
Removing protected file: C:\Programmi\File comuni\System\Mpx.exe
Removing protected file: C:\Programmi\File comuni\System\MtV.exe
Removing protected file: C:\Programmi\File comuni\System\MVt.exe
Removing protected file: C:\Programmi\File comuni\System\MXy.exe
Removing protected file: C:\Programmi\File comuni\System\NAgcV.exe
Removing protected file: C:\Programmi\File comuni\System\nbJ.exe
Removing protected file: C:\Programmi\File comuni\System\NBs.exe
Removing protected file: C:\Programmi\File comuni\System\nxVxz.exe
Removing protected file: C:\Programmi\File comuni\System\nytAft.exe
Removing protected file: C:\Programmi\File comuni\System\oci.exe
Removing protected file: C:\Programmi\File comuni\System\Ogmu.exe
Removing protected file: C:\Programmi\File comuni\System\oNKf.exe
Removing protected file: C:\Programmi\File comuni\System\PAY.exe
Removing protected file: C:\Programmi\File comuni\System\PJm.exe
Removing protected file: C:\Programmi\File comuni\System\ple.exe
Removing protected file: C:\Programmi\File comuni\System\PWl.exe
Removing protected file: C:\Programmi\File comuni\System\qkl.exe
Removing protected file: C:\Programmi\File comuni\System\QXp.exe
Removing protected file: C:\Programmi\File comuni\System\QxX.exe
Removing protected file: C:\Programmi\File comuni\System\raB.exe
Removing protected file: C:\Programmi\File comuni\System\rCF.exe
Removing protected file: C:\Programmi\File comuni\System\rNF.exe
Removing protected file: C:\Programmi\File comuni\System\RNks.exe
Removing protected file: C:\Programmi\File comuni\System\Rno.exe
Removing protected file: C:\Programmi\File comuni\System\RsK.exe
Removing protected file: C:\Programmi\File comuni\System\seEHw.exe
Removing protected file: C:\Programmi\File comuni\System\sPm.exe
Removing protected file: C:\Programmi\File comuni\System\sTE.exe
Removing protected file: C:\Programmi\File comuni\System\suB.exe
Removing protected file: C:\Programmi\File comuni\System\sWf.exe
Removing protected file: C:\Programmi\File comuni\System\sxA.exe
Removing protected file: C:\Programmi\File comuni\System\tRyen.exe
Removing protected file: C:\Programmi\File comuni\System\UAu.exe
Removing protected file: C:\Programmi\File comuni\System\ufS.exe
Removing protected file: C:\Programmi\File comuni\System\Ujq.exe
Removing protected file: C:\Programmi\File comuni\System\unr.exe
Removing protected file: C:\Programmi\File comuni\System\urQWq.exe
Removing protected file: C:\Programmi\File comuni\System\uXU.exe
Removing protected file: C:\Programmi\File comuni\System\vdX.exe
Removing protected file: C:\Programmi\File comuni\System\Vhb.exe
Removing protected file: C:\Programmi\File comuni\System\vSDDt.exe
Removing protected file: C:\Programmi\File comuni\System\WDknNj.exe
Removing protected file: C:\Programmi\File comuni\System\WGr.exe
Removing protected file: C:\Programmi\File comuni\System\Wmcu.exe
Removing protected file: C:\Programmi\File comuni\System\WqeaV.exe
Removing protected file: C:\Programmi\File comuni\System\WzjXQ.exe
Removing protected file: C:\Programmi\File comuni\System\xWzP.exe
Removing protected file: C:\Programmi\File comuni\System\XZW.exe
Removing protected file: C:\Programmi\File comuni\System\YKZGd.exe
Removing protected file: C:\Programmi\File comuni\System\ysCH.exe
Removing protected file: C:\Programmi\File comuni\System\zDi.exe
Removing protected file: C:\Programmi\File comuni\System\ZlaEHb.exe
Removing protected file: C:\Programmi\File comuni\System\zNgNL.exe
Removing protected file: C:\Programmi\File comuni\System\zSK.exe
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\cvacr1.dll

Trojan.Gromozon Removed!

Infine devo dire che tra ieri e oggi Viruscan mi segnala continuamente la presenza del Trojan "" che non riesce a pulire.

