Ancora Internet Private Zone

[carolo]

..pensavo di riuscirci con i consigli che avete dato agli altri ma ...niente!

il sistema operativo è win98, ho installato e lanciato avast, spybot, ad-aware,cwshredder,etc. ed i tre programmini che avrebbero dovuto risolvere il problema (killsgrunt, fixlg...).

SYSHELP.EXE non esiste, non sò cosa fare

vi mando il LOG di hijackthis e aspetto la risposta per ringraziarvi!

hijackthis2.txt

[Guest lucass]

Ciao fai una cosa,rifai il log ed incollamelo qui(mancano dei pezzi) senza allegarlo,basta che selezioni tutto dal block notes che ti esce>copia e incolli qui grazie ciao ciao

[Yusuke]

Ah Lucas, non è il primo log a cui mancano i pezzi purtroppo Prova a disattivare il firewall come mi ha detto kuma

[Guest lucass]

[ot] non ci penso nemmeno ci ho provato ma non è ho avuto l'effetto desiderato anzi subito degli attacchi con exploit :dia: :dia: :dia:

[Kuma]

Incollare qui il log NON è CONSENTITO DAL REGOLAMENTO !

al limite fattelo zippare e mettere qui:

http://www.mytempdir.com/

e quindi qui sul forum gli fai incollare il link che gli darà

[Yusuke]

[ot]  non ci penso nemmeno ci ho provato ma non è ho avuto l'effetto desiderato anzi subito degli attacchi con exploit :dia:  :dia:  :dia:

     

79757[/snapback]

[ot] si ero io che ti stavo attaccando :andy: :andy: ma siccome sei riuscito a scamparla allora ci volevo riprovare :andy: :andy:

Naturalmente scherzo! Ciao ciao :up1:

[Guest lucass]

OK

ma al limite fattelo zippare?mica è solo mio il forum io facevo solo una cosa lo selezionavo e lo salvavo sul block notes e lo allegavo nel mio con il suo nome e poi facevo eliminare quello suo che aveva incollato l'ho fatto anche in altri post(mi so pentito) kuma

Modificato August 22, 2005 da lucass

[Kuma]

Se poi lo vai eliminare, gli altri (io) come lo visualizzano ???

[Guest lucass]

lo allego nel mio, l'ho scritto sopra, con il suo nome :up1:

[carolo]

spero di aver fatto ciò che mi chiedevate

Link to file: http://sr1.mytempdir.com/127790

Password: carolo

attendo vostre istruzioni!

[Yusuke]

A me chiede la password

[Yusuke]

Sentite... secondo me qui per quando risolviamo il problema del log fa notte un'altra volta :P

Carolo intanto segui queste istruzioni QUI così intanto ti liberi dell'internet private zone e di masterbiz

[Guest lucass]

Ciao allora prima di eseguire tutto mi devi se vuoi e puoi far analizzare questo file ITDGH.EXE (Percorso:C:\WINDOWS\SYSTEM\)

con i due siti che ti metto sotto e postami il risultato

Virus Total

e

Jotti

---------------------------------------------------------------------------------

scaricati questi programmi,se lo richiedono aggiornali

Scritt trusted zone(salva la pagina e tienilo da parte)

Spybot 1.4

Ad-ware 1.6+Lingua Italiana

CwShredder

Spyware Blaster

RegSeeker

Ccleaner

-----------------------------------------------------------

Assicurati di visualizzare i file e le cartelle nascoste:

Start>Pannello di controllo>Opzioni cartella>Portati sulla scheda visualizzazione>Metti la spunta nella casella "Visualizza file e cartelle Nascoste">Applica>OK

Avvia in modalita provvisoria

(Dopo aver eseguito il passaggio sopra indicato riavvia il pc,dopo la schermata della RAM(Le prime scritte)premi in continuazione il tasto F8 e scegli l'opzione "Avvia in modalita Provvisoria")

Apri hijack clicca su "Do a system scan only"

Metti la spunte nella caselle che corrispondono alle stringhe che ti metto sotto e clicca su "FIX CHECKED"

(SE LE VOCI NON COMPAIONO IN MODALITA PROVVISORIA DEVI FISSARLE IN MOD NORMALE)

C:\WINDOWS\SYSTEM\ITDGH.EXE

C:\WINDOWS\SYSTEM\ITDGH.EXE

C:\WINDOWS\SYSTEM\ITDGH.EXE

C:\WINDOWS\SYSTEM\ITDGH.EXE

C:\WINDOWS\SYSTEM\ITDGH.EXE

C:\WINDOWS\SYSTEM\ITDGH.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =www.skymasters.biz?2015 Start Page

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O15 - Trusted Zone: www.archiviosex.net

O15 - Trusted Zone: www.redfunny.com

O15 - Trusted Zone: www.skymasters.biz

Con la funzione di start>cerca assicurati di non avere una cartella SGRUNT se c'è riporta il contenuto

1-Sempre dalla modalità provvisoria ripeti le varie scansioni(Ad-ware,Spybot,Antivirus ecc)fatto questo applica le protezioni di Spyware Blaster e CwShredder)

2-Apri cclenaer(lascia le spunte come le trovi)ed elimina i file inutili

3-Con regseeker pulisci le chiavi(assicurati che ci sia la spunta nella caselle "copia voci rimosse")

4-Finito tutto evidenzi lo script scaricato>selezioni l'opzione installa

Riavvia in modalita normale

fai una scansione on-line in uno di questi siti

Panda Active Scan

Trend Micro House Call

Kaspersky Scanner

BUON LAVORO

Modificato August 23, 2005 da lucass

[Kuma]

Carolo il tuo LOG per comodità lo allego qui...

Oltre a quello che ti ha detto Lucass, installati un firewall (solo uno di questi)

Sygate personall FW

Outpost Firewall

Kerio Personall FW (italiano)

Aggiorna inoltre IE che hai una vesione troppo vecchia

--------------------------------------------------

@Lucas

Non avevo letto bene... sarà stata colpa dell'orario :sonno:

comunque è meglio non fare incollare qui il log...

---------------------------------------------------

[Guest lucass]

Si tranquillo kuma yusuke gli ha chiesto la pass stava scritta sotto :andy: :andy: :andy: :dia: :dia: comunque io ho analizzato quello della pass che alla fine era quello allegato in precedenze mi sono sbagliato non vedendo le altre stringhe mi credevo che era incompleto!! ciao ciao

[Yusuke]

Bhè si ma a quell'ora io sto già dormendo di solito! :andy:

[Yusuke]

Doppione... Modificato August 23, 2005 da Yusuke

[carolo]

ciao a tutti,

lucass ancora non ti ho postato i risultati di ITDGH.EXE perchè il computer malato non è il mio.Ti devo chiedere 3 cose:

-posso procedere comunque con hijackthis senza attendere che tu veda i risultati?

-non mi è chiaro il punto "4-Finito tutto evidenzi lo script scaricato>selezioni l'opzione installa" da dove seleziono installa?

-i programmi che mi hai detto di installare li ho tutti aggiornati tranne spybot che è la v.1.3 cambia qualcosa?

[Kuma]

posso procedere comunque con hijackthis senza attendere che tu veda i risultati?

No, occorre l'analisi del file prima di fissarlo ed eliminarlo dall'HD

non mi è chiaro il punto "4

clicca sul file con il tasto destro e vedrai la voce Installa

La versione che hai di Spybot non si aggiorna più scaricati l'ultima:

Spybot 1.4

[carolo]

....grazie kuma :omaggi:

[carolo]

questo è il risultato del primo scan, mi sembra che si possa eliminare!

File: itDgh.exe

Status: INFECTED/MALWARE

MD5 b9441346f350ddf4f911511abac80af0

Packers detected: UPX

Scanner results

AntiVir Found DIAL/Generic dialer

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found BehavesLike:Trojan.TrustedZone (probable variant)

ClamAV Found nothing

Dr.Web Found Dialer.Riprova

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found Trojan.Win32.Dialer.hh

NOD32 Found Win32/Dialer.PornDial.Archiviosex application

Norman Virus Control Found Sandbox: W32/Malware; [ General information ]

* Display message box (www.skymasters.biz?2015) : Non e

UNA Found nothing

VBA32 Found Trojan.StartPage.2 (probable variant)

[carolo]

e questo è l'altro, c'è qualcuno che mi può dire se posso continuare con hijack?

Antivirus Version Update Result

AntiVir 6.31.1.0 08.23.2005 DIAL/Generic

Avast 4.6.695.0 08.23.2005 no virus found

AVG 718 08.22.2005 no virus found

Avira 6.31.1.0 08.23.2005 DIAL/Generic

BitDefender 7.0 08.23.2005 BehavesLike:Trojan.TrustedZone

CAT-QuickHeal 8.00 08.23.2005 no virus found

ClamAV devel-20050725 08.23.2005 no virus found

DrWeb 4.32b 08.23.2005 Dialer.Riprova

eTrust-Iris 7.1.194.0 08.23.2005 no virus found

eTrust-Vet 11.9.1.0 08.23.2005 no virus found

Fortinet 2.41.0.0 08.23.2005 no virus found

F-Prot 3.16c 08.22.2005 no virus found

Ikarus 0.2.59.0 08.23.2005 no virus found

Kaspersky 4.0.2.24 08.23.2005 Trojan.Win32.Dialer.hh

McAfee 4565 08.23.2005 potentially unwanted program Dialer-gen

NOD32v2 1.1199 08.22.2005 Win32/Dialer.PornDial.Archiviosex

Norman 5.70.10 08.23.2005 W32/Malware

Panda 8.02.00 08.23.2005 no virus found

Sophos 3.96.0 08.23.2005 no virus found

Sybari 7.5.1314 08.23.2005 W32/Malwar

Symantec 8.0 08.23.2005 no virus found

TheHacker 5.8.2.092 08.22.2005 Dialer/Generico

VBA32 3.10.4 08.23.2005 suspected of Trojan.StartPage.2

FORSE NON DOVEVO INCOLLARE TUTTA STA MAREA DI ROBA

MA MI è STATA CHIESTA

[carolo]

...io intanto procedo!

[Kuma]

Direi che puoi prima fissare quella voce e quindi eliminare il file (in modalità provvisoria)

[carolo]

..sembra sia tutto a posto, forse mi è rimasto about:blank in explorer ma non è un problema!

grazie a tutti voi!