Connessione Sfonditalia...

[skylinegtr34]

Ciao a tutti, sono nuovo del forum e mi sono iscritto perchè avrei bisogno di un aiuto, da circa una settimana ad ogni avvio mi si crea una conessione private internet zone ed internet mi va su sfonditalia...,

Io ho letto la soluzione che avete fornito ad un altro utente, ma non ho capito molto ho provato ma non sono riuscito, sareste cosi gentili da ridpiegarmelo, cosi essendo dentro il discorso capisco molto di piu.

Grazie anticipatamente.

[Guest chinaski]

ciao e benvenuto,

premesso che non hai fornito info su SO e tipo di connessione, scarica questo programma (clicca su "download diretto"), scompatta la cartella scaricata (sul desktop va bene) poi esegui una scansione con Hijackthis! (clicca su "esegui scansione e salva file di log") e posta il risultato come allegato.

ti prego di NON fare copia e incolla del risultato della scansione, allegalo in formato .txt.

[skylinegtr34]

Grazie per aver risposto, cmq il mio so è un win xp home edition, antivirus(norton) connessione fibra ottica(fastweb) se vuoi sapere altro chiedimelo e te lo dirò subito, qui ti allego il file in formato txt, spero di aver capito giusto...

hijackthis.txt

[Guest chinaski]

ok perfetto, allora:

riavvia il pc in modalità provvisoria (in avvio schiacci f8 poi selezioni "avvia in modalità provvisoria"), fai ancora la scansione con HJ e poi fixa queste voci (devi mettere il segno di spunta nella casella di fianco a ogni voce che ti indico e premere "fix"):

C:\windows\system32\temp532.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfonditalia.biz?1746

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\eliteyrv32.exe

O15 - Trusted Zone: www.sfonditalia.biz

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE

inoltre c'è questa voce:

O4 - Global Startup: LG SyncManager.lnk = ? (questa non è necessaria, vedi tu se la vuoi rimuovere, è qualcosa collegato a una periferica LG credo ma non è necessario)

poi riavvia normalmente e facci sapere.

[skylinegtr34]

alora ho fatto come dici tu per tutti i file però un file (C:\Windows\System32\temp532.exe) non c'era nella lista, forse in modalità provvisoria nn cè...

[Guest chinaski]

...però un file (C:\Windows\System32\temp532.exe) non c'era nella lista, forse in modalità provvisoria nn cè...

51379[/snapback]

fai uno scan in modalità normale e poi lo fixi.

ma adesso i problemi di connessioni deviate su altre pagine web sono spariti?

[skylinegtr34]

si ora non si apre piu la connessione e neanche la hpme page decisa da lui per adeso... cmq il file temp532.exe l'ho rimosso manualmente va bene uguale...?

[Guest chinaski]

se hai rifatto la scansione e non è apparso (modalità provvisoria e non) allora tutto ok, fai anche una ricerca con Start>Cerca>nome file (senza .exe) e elimina ogni eventuale cartella o file relativi.

adesso parliamo della prevenzione:

che browser usi, oltre a norton che protezioni hai sul pc (spybot, ad-aware) ecc.

[skylinegtr34]

ok tutto a posto,io uso norton e poi ho installato spybot

[Guest chinaski]

ok, lo chiedo solo per scrupolo, sai che spybot va aggiornato regolarmente e che dopo ogni aggiornamento delle definizioni bisogna immunizzare il sistema?

inoltre in modalità avanzata ci sono l'opzione Resident SDhelper (blocca le pagine nocive con IE, ammesso che tu usi quello altrimenti sia firefox che opera vanno benone e sono decisamente più sicuri) e l'opzione Resident TeaTimer che ogni volta che si cerca di modificare una chiave di registro appare un popup che ti chiede conferma, ergo se non stai installando niente e appare il pop clikki no e sei a posto.

ti consiglierei anche di installare Ad-aware che insieme a Spybot aumenta il livello di sicurezza. anche questo va aggiornato e utilizzato regolarmente.

per finire installerei anche Spyware Blaster, che a differenza degli altri due blocca il malware prima che si installi.

inoltre sempre attenzione a dove si clicca

un'ultima cosa, hai queste cartelle presenti sul pc (controlla con Start>cerca ecc)?

c:\windows\softwaredistribution\download\s-1-5-18\8a9c7d1cb99b6efff1f6b110c55b2ee9=1

c:\windows\softwaredistribution\download\s-1-5-18\e6b7d12449da7f5e501f865d71be49c7=1

c:\windows\softwaredistribution\download\s-1-5-18\0483d65bc374a85b8274f34e5935f6a2=1

c:\windows\softwaredistribution\download\s-1-5-18\b2d5bf1528590d957dcebbe21530a5a7=1

[skylinegtr34]

allora ho usato spybot, aggiornato e immunizzato, ad-aware ha trovato 10 cose e le ha rimosse e spyblaster ho fatto enable all protections per le cartelle in c:\windows non cè la cartella che dici tu... va bene?

[Guest chinaski]

direi perfetto skylinegtr34

[francesco257]

fai fare una scanzione anche con il Microsoft Antispyware

[Darnota]

fai anche un po' di pulizie primaverili

spider

http://www.fsm.nl/ward/

spider

1) Apri il programma e fino a qui ci siamo

2)4° bottone da sinistra

3)clicca cu complete harddrive poi clicca su tutti i quadrati bianchi

4)accept

poi

5)sul 2° da sinistra e farà una scansione

6) clicca sulla 3 icona

ti chiederà se vuoi riavviare

digli di si

e lui trita il superfluo e non fa danni

mru blaster

http://www.javacoolsoftware.com/mrudownload.html

lancia on line

http://home.ca.com/dr/v2/ec_main.entry25?p...5715&CID=190323

http://www.noadware.net/?hop=springhill

pulisci poi eventuali rimasugli con

ccleaner

[ancer]

ottimo thread

ottimo servizio

ottimo forum

[skylinegtr34]

xfetto grazie ragazzi

[guatemalag]

Anche io ho lo stesso problema e quindi mi permetto di inviare il mio log ottenuto con hijackthis. Potete aiutare anche me per favore? Grazie siete degli amici

edit

ti ho aggiustato lo scritto

Ciao

lo Staff

hijackthis.txt

Modificato July 5, 2005 da Darnota

[Darnota]

Anche io ho lo stesso problema e quindi mi permetto di inviare il mio log ottenuto con hijackthis. Potete aiutare anche me per favore? Grazie siete degli amici

60279[/snapback]

questa back door va controllata tasto destro sull'icona proprietà e fedi cosa è

C:\WINNT\comm.exe

C:\WINNT\comm.exe

O4 - HKLM\..\Run: [antivirus] C:\WINNT\comm.exe /i

apri in modalità provvisoria togli il ripristino di sistema e

fixa

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oemji.com/side_search.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfonditalia.biz?1746

O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Programmi\Oemji\OemjiSearchPlus\OemjiPls.dll

O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Programmi\Oemji\Toolbar\OemjiSrc.dll

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm075YYIT

O9 - Extra button: GoGoTools - {76532683-A5C9-11d8-AE07-00D0591AB78A} - C:\PROGRA~1\GOGOTO~1\SEARCH~1\SEARCH~1.DLL

( hai attivo il Red Hat Enterprise Linux Test Page) se no fixa

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/306548.exe

O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll

O15 - Trusted Zone: www.sfonditalia.biz

poi vai a qualche post il 14 su e ripulisci il pc

Ciao

[MonocoloreVerde]

Salve a tutti \(^_^)/

Anche io sono inguaiato con sto cavolo di sito!

Ho tentato seguendo le istruzioni, ma aihme all'avvio parte ancora il request ;_;

Mi permetto di allegare il log!

Grazie anticipatamente

OS: XP

Browser: Firefox

Ho provato a usare i vare ad-ware, spybot e spyware blaster ma niente di niente :o(

ho dovuto compattare il log... non me lo faceva uploadare <,<

hijackthis.rar

[Guest chinaski]

ciao dovresti fixare queste voci in modalità provvisoria:

E:\WINDOWS\System32\winuser.exe

E:\windows\system32\temp532.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfonditalia.biz?1746

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe

O4 - HKLM\..\Run: [Windows Mang] mang32.exe

O4 - HKLM\..\Run: [Microsoft Update Loaders 2006] winuser.exe

O4 - HKLM\..\Run: [checkrun] E:\windows\system32\elitenfz32.exe

O4 - HKLM\..\RunServices: [Client for Microsoft Networks] msclient32.exe

O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe

O15 - Trusted Zone: www.sfonditalia.biz

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe

[MonocoloreVerde]

provo immediatamente! grazie mille!!!

[MonocoloreVerde]

ho fixato tutto eccetto questi due che non c'erano >,<

"E:\WINDOWS\System32\winuser.exe"

"E:\windows\system32\temp532.exe"

In compenso il request non appare più

Spero anche il pop up che per ora non si è fatto vivo! ^_____________^

È necessario riuscire a rimuovere anche quei due o il fatto che non li ho trovati implica che siano a posto? O,O

Grazie ancora

[Darnota]

Grazie per aver risposto, cmq il mio so è un win xp home edition, antivirus(norton) connessione fibra ottica(fastweb) se vuoi sapere altro chiedimelo e te lo dirò subito, qui ti allego il file in formato txt, spero di aver capito giusto...

51355[/snapback]

C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe

il jusched.exe potrebbe essere associato ad un W32/Agobot-OW WORM/IRC backdoor trojan e usa un nuovo servicename chiamato wsaconfig.

cercalo poi tasto destro e determina la proprietà

C:\windows\system32\temp532.exe

questo lo devi trovare perchè è un dialer usa il regedit se non lo sai fare posta e diccelo ti aiutiamo noi e le specifiche li trovi qui

poi usa questo programma

eliteremover

[Guest chinaski]

È necessario riuscire a rimuovere anche quei due o il fatto che non li ho trovati implica che siano a posto? O,O

se non sono presenti nel risultato della scansione non dovresti preoccuparti.

segui invece gli ottimi consigli che trovi in questa discussione e in giro per il forum per ulteriori accertamenti, e per il futuro soprattutto attenzione a dove si clicca.

[MonocoloreVerde]

ma il fatto è che recentemente non ho clickato da nessunissima parte \(;_;\)

cmq stamattina ce n'è una nuova... appena acceso il pc si è aperto explorer su LINK A VIRUS RIMOSSO!!! che però è bloccato da zonealarm quindi in realtà non apre niente ^___^

sapete se si può sempre togliere con hijakthis?

Modificato July 12, 2005 da simple