E' disponibile un removal tool automatico per il LinkOptimizer.
Il tool è disponibile al seguente link(PREVX).
http://www.prevx.com/gromozon.asp

Il tool dovrebbe rimuovere i seguenti riferimenti al linkoptimizer
File crittografati(EFS) presenti nelle directory:
Programmi\File comuni\System
Programmi\File comuni\Microsoft Shared

File ads(Alternative Data Streams)con nomi vari presenti nelle seguenti directory:
%Systemdrive%\ADS
(Indica la lettera dell'hard disk dove risiede il O.S. di default C:\)
Cartella Windows\ADS
Cartella System32\ADS
Esempi:
C:\:unvisln2.exe
C:\Windows\:unvisln2.exe
C:\Windows\System32\:unvisln2.exe
(I riferimenti in rosso,indicano files ADS)

Files con nomi riservati in Windows
*.com
*.lpt
.tty
.prn
.nul
.con
.aux


*Nota:
Per i nomi lpt/com potrebbero essere presenti dei numeri
(da 1 a 9)per esempio:
C:\Windows\com4.csd
C:\Windows\lpt4.csd

Elimina eventuali account utenti aggiunti dal malware con nome random
Elimina i servizi aggiunti dal malware con collegamento ai files EFS
Elimina componente rootkit
Elimina eventuali CLSID e BHO aggiunti dal malware
Elimina la cartella con il nome utente aggiunto in Documenti and Setting


PS:Il tool non si è dimostrato infallibile,in molti casi, è necessario l'intervento dell'utente per eliminare eventuali residui

E´ disponibile un nuovo tool automatico, sviluppato da Symantec petr la rimozione di linkoptimizer.

La notizia è particolarmente positiva, dal momento che le nuove varianti sembrano in grado di bloccare l´avvio del tool della PrevX, oltre che la visione del nostro sito

Il link al fix della Symantec è questo (176 Kb): http://smallbiz.symantec.com/security_r ... 16-4153-99

Qui una immagine del tool al lavoro. L´esito viene salvato nel file FixLinkopt.log



NOTA: funziona su Windows NT 4.0, Windows 2000 e Windows XP

E´disponibile un fix preparato da Suspectfile.

Il fix NON si sostituisce in alcun modo ai tool della PrevX e a quello Symantec perchè NON analizza tutti i file, ma solo alcuni con caratteristiche analoghe a quelli infetti e da noi conosciuti.

Vengono cancellati i file attribuibili al rootkit, se trovati, mentre le dll e gli eseguibili considerati sospetti vengono spostati nella nuova cartella c:/suspectfile che viene creata.

Il fix dovrebbe essere in grado di rintracciare e disattivare l´ultima dll (%SYSDIR% / ??aa.dll) che causa l´inattivazione del tool di PrevX anche dopo che è stato usato il fix della Symantec e dovrebbe riuscire a rimuovere il blocco alla navigazione verso siti come http://www.suspectfile.com

Si consiglia al momento di usarlo solo dopo il tool della Symantec, per tentare di ripristinare la visione dei siti internet, se ancora bloccati. NON usatelo come tool di rimozione principale di LinkOptmizer, al momento non è ancora efficace

Consigliamo quindi di provare (a proprio rischio ) il nostro fix solo se non si è risolto con uno dei due precedenti. Al termine del fix si consiglia una scansione del PC a questo sito: http://security.symantec.com

Con la nuova release (1_4) compare un messaggio come quello sottostante.



In esso si può incollare il valore della CLSID attribuita a linkoptimizer che si vede nel log di HijackThis al valore O2. Tutte le chiavi trovate che si riferiscono a quella CLSID saranno cercate nel registro ed eliminate al reboot, quindi attenzione a incollare il valore corretto!

ATTENZIONE:
Il nostro tool cancella dal registro anche tutte le chiavi BHO facendone un backup in c:/suspectfile. Questo per evitare che il sistema carichi la dll di linkoptimizer, ovunque essa sia. Per ripristinare le BHO, far visionare il contenuto del file BHO_backup.reg da un esperto nel nostro o in altri forum e se risultano legittime potranno essere ripristinatoe con un semplice doppio click sopra il file

Download linkoptimizerfix.exe cliccando sull´immagine

Ultima release 1_4 del 2 ottobre (18.00)

AVrunner: utility per usare gli script di Avenger anche quando quest´ultimo è bloccato dal trojan http://www.suspectfile.com/forum/viewtopic.php?t=434

sta per uscire la nuova variante del tool prevx

Edit by holifay: il nuovo tool di PREVX è disponibile
al solito link: http://www.prevx.com/gromozon.asp
oppure qui: http://pcalsicuro.phpsoft.it/FixGrom.exe

Per via del filtering del traffico di rete verso i portali di sicurezza e informazioni su Gromozon, ora l'ultima versione del tool di Prevx è scaricabile anche su rete BitTorrent.
http://thepiratebay.org/tor/3538707/Gro ... moval_Tool

Aggiornato anche il tool Symantec
http://www.symantec.com/enterprise/secu ... 16-4153-99