www.MegaLab.it

[deusexmachina]

OK vi farò sapere come è andata e grazie siete stati molto molto gentili!!!!!!!!!!!!

[Amantide]

Vuol dire che posso passare al punto 5? Oh se invece devo postare prima il log di gmer ditemi come fare a ottenerlo...ci ho provato ma è rimasto in bianco

Non rimanere troppo male... ma abbiamo esauriti tutti punti a disposizione per te
Ora fai la scansione con Kaspersky online e fixa la voce rimanente nel hijacthis.

[simrulez]

Logfile of HijackThis v1.99.1
Scan saved at 13.19.16, on 11/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\TEMP\mnuk1.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\AdunanzA\eMule_AdnzA.exe
C:\Documents and Settings\Simon\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {66A6BB47-D2FD-8231-7903-7108657C047C} - C:\WINDOWS\jmbxk1.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [mnuk1.exe] C:\WINDOWS\TEMP\mnuk1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Icon Phile] C:\Documents and Settings\Simon\Desktop\Iphile.exe -trans
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://simrulez17.spaces.msn.com//Photo ... nPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/it/it/tools/activex/fpu.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe



questo il mio log:
allora in gestione utenti avevo un nome strano che ho eliminato ma non c'è in C:documents and settings anche se faccio visualizza file nascosti


ah in c>programmi>file comunu>ststem ho una decina di file applicazione verdi uso il tool di nod32?

[Amantide]

ah in c>programmi>file comunu>ststem ho una decina di file applicazione verdi uso il tool di nod32?

Si. Dopo fai la pulizia dei file temporanei con CCleaner, togliendo la spunta a Elimina i file Temp di Windows solo se più vecchi di 24 ore, dopo di che usa Avenger, l'istruzioni su come usarlo li trovi poco più sopra, inserendo questo script in grossetto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\jmbxk1.dll
C:\WINDOWS\TEMP\mnuk1.exe

Il file mnuk1.exe dovrebbe eliminarsi anche con la pulizia con CCleaner, ma per sicurezza usiamo anche avenger, tanto serve anche per ripristinare le chiavi infette del registro.
Alla fine postami il log del avenger, che trovi in C:\avenger.txt

[simrulez]

CCLENEAR usato, Avanger scaricarto ed estratto sul desktop ma nn parte!

l'attuale log è questo
Logfile of HijackThis v1.99.1
Scan saved at 15.03.25, on 11/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\TEMP\mnuk1.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\AdunanzA\eMule_AdnzA.exe
C:\PROGRA~1\Nokia\NOKIAP~1\VFSWRA~1.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Simon\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {66A6BB47-D2FD-8231-7903-7108657C047C} - C:\WINDOWS\jmbxk1.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [mnuk1.exe] C:\WINDOWS\TEMP\mnuk1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Icon Phile] C:\Documents and Settings\Simon\Desktop\Iphile.exe -trans
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://simrulez17.spaces.msn.com//Photo ... nPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/it/it/tools/activex/fpu.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe

[Amantide]

Avevo tralasciato un altro file da eliminare, ho aggiornato lo script per avenger.

Riavvia il computer e riprova con Avenger, altrimenti avvia il computer in modalità provvisoria, abilita la visualizzazione dei file nascosti ed elimina l'intera cartella C:\WINDOWS\TEMP\ e questo file C:\WINDOWS\jmbxk1.dll
Puoi provare ad eliminarlo anche con Unlocker.

[simrulez]

in mod provvisoria nenache si avvia AVANGER,ho cancellato la cartella temp ma l'altro file non lo ho,nenake abilitando i nascosti..

[Amantide]

in mod provvisoria nenache si avvia AVANGER,ho cancellato la cartella temp ma l'altro file non lo ho,nenake abilitando i nascosti..

Hai guardato fra i servizi (Start--> Esegui--> services.msc) se c'è qualcuno con il nome sospetto?
Altra cosa che puoi fare è pulire il registro (Start--> Esegui--> regedit, Modifica--> Trova...), eliminando i riferimenti ai 2 file infetti.

Il tool di rimozione della Symantec avevi già provato?

[crazy.cat]

Il tool di rimozione della Symantec avevi già provato?

Visto che i tools sembrano non funzionare più, che ne dici di puntare su Virit?
http://www.tgsoft.it/italy/index_ita.html

(però che scatole con questo link optimizer ormai è diventato un incubo...)

[simrulez]

ottima idea infatti ha trovato 3 infezioni



infatti ora partono il removal kit e avanger (che ormai nn serve piu!)

[BilloKenobi]

ora dovresti essere in grado di usare i tool. falli girare. dovrebbe essere sufficiente a eliminare tutta l'infezione

OT: voglio un vista-screen anche io!!!!

[simrulez]

allora 1:grazie a tutti
2:ho fatto girare il kit e non trova quel virus,infatti firefox va che è una meraviglia (ma saremmo ot)
3:prenditi un vista-theme io lo preso da 1 news di MegaLab

[BilloKenobi]

[OT]lo sapevo dove,grazie, ma ho paura di schiafeggiare un po' troppo il pc dopo. insomma, dopo nn lo metti più a posto [/OT]

[BilloKenobi]

Il tool edito dalla Prevx1 è stato aggiornato, e ora funziona contro l'ultima versione del LinkOptimizer, che ne bloccava la versione antecedente e altri tool utili alla sua rimozione

rimane lo stesso il link attraverso cui scaricare il tool:

http://www.prevx.com/gromozon.asp

[The King of GnG]

Uhm.....io opterei per la rinominazione del thread in Gromozon/LinkOptimizer, visto che, se non sono stato troppo superficiale nella lettura delle fonti, LinkOptimizer è solo la componente ad-aware di un bastardissimo malware di vera e propria origine criminale.....

[Amantide]

Uhm.....io opterei per la rinominazione del thread in Gromozon/LinkOptimizer, visto che, se non sono stato troppo superficiale nella lettura delle fonti, LinkOptimizer è solo la componente ad-aware di un bastardissimo malware di vera e propria origine criminale.....

Hai ragione Alfonso, solo che questo rootkit è più conosciuto con il nome di LinkOptimizer che Gromozon, e credo che quel titolo è stato scelto proprio per questa ragione.

[The King of GnG]

Uhm.....io opterei per la rinominazione del thread in Gromozon/LinkOptimizer, visto che, se non sono stato troppo superficiale nella lettura delle fonti, LinkOptimizer è solo la componente ad-aware di un bastardissimo malware di vera e propria origine criminale.....

Hai ragione Alfonso, solo che questo rootkit è più conosciuto con il nome di LinkOptimizer che Gromozon, e credo che quel titolo è stato scelto proprio per questa ragione.

Si, la ragione era evidente.....solo che secondo me si finisce per citare solo parte di un problema più grande, e io, personalmente, userei una dicitura diversa, tutto qui.....

[BilloKenobi]

l'etimologia dei termini LinkOptimizer e Gromozon è legata ai nomi con cui il malware ha fatto la sua comparsa per la prima volta... il primo come voce nel pannello di controllo, il secondo come primo dei vari server da cui viene scaricato il malware.

Oggi sono cambiati entrambi pù volte, ma la terminologia rimane la stessa... anzi, da un mio punto di vista personale, forse è altrettanto diffuso (se non di più) il termine Hacktool.Rootkit, col quale il Norton identifica l'infezione... essendo tristemente esso l'antivirus più diffuso, probabilmente al grande pubblico l'infezione sarà nota con questo nome, più che con gli altri due

[The King of GnG]

l'etimologia dei termini LinkOptimizer e Gromozon è legata ai nomi con cui il malware ha fatto la sua comparsa per la prima volta... il primo come voce nel pannello di controllo, il secondo come primo dei vari server da cui viene scaricato il malware.

Oggi sono cambiati entrambi pù volte, ma la terminologia rimane la stessa... anzi, da un mio punto di vista personale, forse è altrettanto diffuso (se non di più) il termine Hacktool.Rootkit, col quale il Norton identifica l'infezione... essendo tristemente esso l'antivirus più diffuso, probabilmente al grande pubblico l'infezione sarà nota con questo nome, più che con gli altri due

Le maggiori testate web utilizzano la terminologia Gromozon/LinkOptimizer, SuspectFile idem e Marco Giuliani di Hardware Upgrade/Prevx lo stesso....Prevx, tra l'altro, che è attualmente la società di sicurezza che più si sta spendendo per combattere il malware, si riferisce ad esso col termine ombrello Gromozon, che è appunto il primo dominio utilizzato da questi criminali come piattaforma di lancio per il tre volte bas***do codice maligno.....

E' una questione puramente di terminologia, e io rimango convinto che definire in una maniera più completa il malware può soltanto aiutare a combatterlo.....

[amvinfe]

Ciao a tutti, ciao Billo

purtroppo quello di classificare lo stesso malware con nomi differenti a seconda della Software-House che analizza il samples è un problema che continuerà ad esistere.
Quello del trojan in questione però, a mio avviso, è un discorso a parte.
Come faceva notare Billo, LinkOptimizer è conosciuto con questo nome perché una volta infettati veniva inserito in Installazione Applicazioni proprio con questo nome ed inoltre le prime infezioni risalgono fin prima del Giugno 2006 mese in cui inviammo alle aziende del settore il primo samples collegato al trojan e che la TgSoft (VirIT) riconosceva già come 3^ variante BHO (.C)
La .dll era proprio LinkOptimizer.dll con le medesime caratteristiche di queste ultime .dll che hanno accompagnato le varianti del trojan\downloader - dialer, per intenderci quelle con nome *****1.dll (* = 5 lettere random).

Ricordo per completezza che alcuni siti con codice dannoso sono stati creati per infettare anche utenti che utilizzano bowser alternativi, vedi FF, e che le ultime varianti del malware hanno la caratteristica di bloccare non solo tools anti-rootkit o programmi come Filemon o Regmon, ma anche siti\forum che trattano la sicurezza informatica e che hanno dato negli ultimi mesi molti dispiaceri agli sviluppatori del trojan.

Nel caso possa servire, ecco la scheda su LinkOptimizer aggiornata a ieri e scritta da Elia Florio della Symantec.
http://www.symantec.com/security_respon ... 99&tabid=2