Problemone Con Internet Private Zone

[spiug]

Salve a tutti, c'è qualcuno che gentilmente può aiutarmi con INTERNET PRIVATE ZONE??? si è installato sul mio computer, windows xp sp2, nessun antivirus.

Credo di averlo preso su un sito per ricercare testi musicali, mi sembra si chiamasse "tuttotesti.com". Allego il logfile di hijackthis.

ho già sperimentato con le più recenti versioni di spybot search and destroy e adware senza risultati!!

Grazie mille a tutti coloro che mi aiuteranno! :spam:

hijackthis.log

[Yusuke]

I programmi indicati in questo post li trovi in uno dei due link nella mia firma

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Avvia il sistema in modalità provvisoria

Avvia Hijack e clicca su “do a system scan only”

Metti la spunta a queste voci e clicca su “fix checked”

C:\WINDOWS\system32\ji58pd6b.exe

C:\WINDOWS\system32\syshelp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015

R3 - URLSearchHook: (no name) - {F6875AB8-80CB-46DD-B170-1BC15A244ED0} - (no file)

O4 - HKLM\..\Run: [WinInit] Win86.exe

O4 - HKLM\..\Run: [WinLogin] win32x.exe

O4 - HKLM\..\Run: [ji58pd6b] C:\WINDOWS\system32\ji58pd6b.exe

O4 - HKLM\..\Run: [systems] C:\WINDOWS\system32\syshelp.exe

O4 - HKCU\..\Run: [ClockSync] "C:\Programmi\ClockSync\Sync.exe" /q

O15 - Trusted Zone: www.archiviosex.net

O15 - Trusted Zone: www.redfunny.com

O15 - Trusted Zone: www.skymasters.biz

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h++p://static.windupdates.com/cab/CDT/ie/bridge-c46.cab

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - h++p://www.azebar.com/install/azesearch.cab

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Fai analizzare questo file: C:\Programmi\SlipStream Web Accelerator\slipcore.exe qui:http://www.virustotal.com/xhtml/index_en.html

poi fagli analizzare anche questo: C:\Programmi\BySoft FreeRAM\FreeRAM.exe

e anche questo: C:\Programmi\Cerience\RepliGo\RepliGoPrintIE.dll

START/CERCA/digita "ji58pd6b.exe" elimina ciò che trova

START/ESEGUI..../digita REGEDIT

Vai su MODIFICA e su TROVA poi digita WINLOGIN, elimina ciò che trova

START/CERCA/digita "win32x.exe" elimina ciò che trova

START/ESEGUI..../digita REGEDIT

Portati qui:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

ed elimina dal pannello di destra se presente questa stringa:

WinInit = Win86.exe

Scaricati questa tool e fagli fare una scansione: DOWNLOAD

Scaricati questo programmino per eliminare il masterbiz: CLICCA

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

Ripostami il log per un altro controllo

Modificato August 15, 2005 da Yusuke

[spiug]

Grazie mille yusuke, ho fatto ciò che mi hai detto e sembrerebbe che tutto si sia risolto!!! ti invio il log, appena salvato e ti ringrazio ancora moltissimo!!!!

:up1:

[spiug]

Ecco il log, che non si è allegato sull'altro messaggio!!

hijackthis_after_all.txt

[Guest lucass]

Ciao allora scaricati questo programma KILL SGRUNT poi salva questo SCRIPT file>salva pagina e lo tieni buono!!!

poi avvia in modalita provvisoria,fissa ed elimina queste voci

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

O15 - Trusted Zone: www.archiviosex.net

O15 - Trusted Zone: www.redfunny.com

O15 - Trusted Zone: www.skymasters.biz

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

con la funzione cerca assicurati di non avere la cartella SGRUNT nel caso c'è eliminala,poi usa kill sgrunt finito tutto,doppio click sullo script che avevi scaricato e lo installi,torni in modalita normale e ti colleghi e fai analizzare pee sicurezza questi 2 file

spnpinst.exe <---- percorso C:\WINDOWS\system32

Sysocmgr.exe <---- C:\WINDOWS\system32

i siti per analizzarli sono questi Virus Total e Jotti

Modificato August 15, 2005 da lucass

[Yusuke]

Ma che gli hai detto, quello che gli ho indicato io prima?

Spiug sei sicuro di aver indovinato il log? è identico a prima....mi sembra un po' impossibile.....

[Guest lucass]

Ma che gli hai detto, quello che gli ho indicato io prima?

Spiug sei sicuro di aver indovinato il log? è identico a prima....mi sembra un po' impossibile.....

77337[/snapback]

il log che ho controllato è l'ultimo che ha messo dove ho indicato le procedure(non mi serve copiarle da te)

[Ema]

------______--------

indovinate un po'...anch'io non so come ho preso sta roba vi allego il file...e vi ringrazio in anticipo...

Ma perchè questi aggeggi sono autorizzati a circolare per internet,nonchè invadere il PC altrui rompendogli le ball ecc...Non c'è una legge o qualcosa...e che cavolo non si può rompere così...

VAbè scusate lo sfogo,ma mi sta veramente stressando sta cosa,e un po' che cerco di mandarlo via,ma torna sempre --_--

Per fortuna ho trovato voi :DDD

Vi ringrazio anticipatamente ancora una volta

A presto ;D

hijackthis11.txt

[Kuma]

Ciao Ema,

Prima di procedere devi scaricarti i seguenti programmi: (installali tutti e quelli che lo richiedono, AGGIORNALI)

SeSp.Fix 112

KillSgunt

Lovgate Remover

Salva questo file sul tuo Pc

Trusted Zone repair

Spybot 1.4 (Antispy)

Ad_Aware (Antispy)

CwShredder (Protezioni)

SpyWare Blaster (Protezioni)

RegSeeker (Pulizia del Registro)

Ccleaner (pulizia file inutili)

____________________________________________________________

Il tuo sistema è infetto...

In questa mia pagina puoi leggere una breve guida su Hijack

Esegui queste operazioni ------ > (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Avvia il sistema in modalità provvisoria

Per prima cosa esegui il file scaricato SeSp.Fix 112

Poi esegui KillSgrunt

Qundi il tool per rimuovere il LoveGate

Usa lo script "trusted zone repair"

Dopo averlo salvato sul tuo Pc, cliccaci sopra con il tasto destro e seleziona INSTALLA

Al termine

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked

(potrebbero già essere state rimosse dai tools sopra)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015

O15 - Trusted Zone: www.skymasters.biz

O15 - Trusted Zone: www.archiviosex.net

O15 - Trusted Zone: www.redfunny.com

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Dai anche una ripulita a Cache e Cookies e file prefetch con: Ccleaner

(non modificare le opzioni)

Riavvia il pc in modalità normale

Vai su questi due siti e fai una scansione on-line:

Kaspersky

Trend Micro

rifai il log e mettilo qui per un ulteriore controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

Importante...

Il tuo sistema è senza un firewall, senza di questo non avrai mai un'adeguata protezione... Installane almeno uno FREE:

KERIO Pf 4

[Yusuke]

Fai anche queste procedure:

Apri il Task Manager (CTRL+ALT+CANC) e termina il processo:

SYSHELP.EXE

poi vai su RISORSE DEL COMPUTER/STRUMENTI/OPZIONI CARTELLA.../VISUALIZZA/VISUALIZZA FILE NASCOSTI e da

START/CERCA/digita SYSHELP.EXE e se trova qualcosa (dovrebbe essere nella cartella SYSTEM) eliminalo.

Dico questo perchè la tool di rimozione mi sembra che in molti casi non abbia funzionato

[spiug]

Ragazzi grazi di tutto ancora, vi allego il mio ultimo log, dopo aver fatto ciò che mi ha detto anche lucass. Spero ora di essere pulito come il culetto di un bambino!!!!

ps: il secondo log file era proprio quell, dopo aver seguito tutte le procedure! comunque sta di fatto che non faceva più nulla

posso porvi due domandine banali?:

1 come mai questo maledetto internet private zone è così fetente???

2 come fate voi a sapere cosi tante cose???

grazie ancora!

hijackthis_nuovissimo.txt

[Yusuke]

Complimenti Kuma, sei riuscito a ripurirgli il computer!!!!

Spiug vai semplicemente su START/CERCA/digita e se c'è elimina:

spnpinst.exe

Naturalmente prima devi aver attivato l'opzione VISUALIZZA FILE NASCOSTI

[Guest chinaski]

Salve a tutti, c'è qualcuno che gentilmente può aiutarmi con INTERNET PRIVATE ZONE??? si è installato sul mio computer, windows xp sp2, nessun antivirus.

Credo di averlo preso su un sito per ricercare testi musicali, mi sembra si chiamasse "rimosso.com". Allego il logfile di hijackthis.

ho già sperimentato con le più recenti versioni di spybot search and destroy e adware senza risultati!!

Grazie mille a tutti coloro che mi aiuteranno! :spam:

77104[/snapback]

edit:la prossima volta evita di scrivere il nome del sito, grazie.

Lo Staff

[Yusuke]

posso porvi due domandine banali?:

1 come mai questo maledetto internet private zone è così fetente???

2 come fate voi a sapere cosi tante cose???

grazie ancora!

77566[/snapback]

1. Ma che ce ne sai la gente che si diverte a creare stà roba quello che hanno in mente, sarebbero tutti da mandare in prigione...poi ci si vantano anche se riescono a creare un virus che rompe ogni secondo... :ranting2: :ranting2: per fortuna che esistono dei programmi in grado di eliminarli se usati con cura come hijack

2. Tante cose del tipo? Veramente l'unica cosa che dobbiamo fare è scrivere le procedure di rimozione... poi per il resto basta che ti restupidisci davanti al computer tutto il giorno e alla fine vedrai che qualcosa impari anche tu

Ciao spiug! Ah un'ultima cosa, con quei programmi che ti ha indicato Kuma per la difesa sarai al sicuro! Compreso Firewall e antivirus...diciamo che passare il tuo computer divente un'impresa difficile!!

[Kuma]

Complimenti Kuma, sei riuscito a ripurirgli il computer!!!!

Io ???? ma se le procedure gliele hai indicate tu

[Yusuke]

Sì ma il colpo di grazia per eliminare definitvamente tutto l'hai dato tu... :up1:

[Ema]

Ragazzi..Vi voglio beneeeeeeeeeeee

Finalmente quel coso se ne è andato e cosa più importante non è più tornatoooooooooooooo

Credo che fosse quel syshelp a farlo tornare,ma non ci metterei la mano sul fuoco e comunque ho fatto tuto come mi avete detto.

Vi ringrazio tutti

Vi allego il log dopo i vari programmi

Solo un'ultima cosa...non è che ocnoscete per caso un firewall freee che funzioni anche con windows ME???? o altrimenti me ne potreste consigliare uno a vostro parere migliore anche da comprare?

Allego e vi saluto byeeeeeeeeeeeeeeeeeeeeeez :eyme:

hijackthis11_dopo.txt

[Yusuke]

Adesso è OK però fai ancora questa procedura:

START/ESEGUI..../digita MSCONFIG

portati sulla scheda AVVIO o ESECUZIONE AUTOMATICA e controlla se c'è un processo chiamato:

SYSHELP.EXE

se c'è togligli la spunta, applica e riavviapoi ripostami il log

[Guest lucass]

ciao start>esegui>regedit>ok

portati su questa chiave

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\

controlla che non ci sia SYSHELP.EXE se c'è elimina

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\

controlla che non ci sia SYSHELP.EXE se c'è elimina

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\

controlla che non ci siaSYSHELP.EXE se c'è elimina

HKEY_USERS\

\Software\Microsoft\Windows\CurrentVersion\Run\

controlla che non ci sia [color=red]SYSHELP.EXE[/color] se c'è elimina

HKEY_USERS\[code number]\Software\Microsoft\Windows\CurrentVersion\RunOnce\

controlla che non ci sia [color=red]SYSHELP.EXE [/color]se c'è elimina

[spiug]

Beh cosa vi devo dire, GRAZIE VERAMENTE A TUTTI!!

Una domanda a te yusuke e a tutti, anche se questa forse non è la sezione giusta, sono un principiante webmaster e volevo sapere se c'era qualche hosting in grado di crearmi GRATIS un dominio a mio scelta che non sia preceduto dal suo nome!?

è un pò che cerco ma non ne ho trovati, va bene tutto,anche in inglese e anche se applica qualche banner..

[Ema]

Allora ho controllato tutto e sembra che sia sparito dalla faccia del mio PC (B)

ANcora grazie,sietre proprio dei così detti "Maghi del computer"

A presto

;D

[spiug]

Aiutooo..l'ho ribeccato..ma questa volta il computer non è mio.. ormai so più o

meno come fare ma mi serve ancora il vostro aiuto..è urgentisimo altrimenti sono

nei guai..

[Guest lucass]

Ciao allega un log di hijack!!

[spiug]

Ecco il log del computer infettato.. urgente!!

hijackthis.log

[spiug]

A posto grazie! ho seguito le indicazioni base di yusuke su come rimuoverlo ed è andato tutto a buon fine!! X fortuna!!