e1xplorer e Internet Private Zone.

« Older   Newer »
 
  Share  
.
  1. Intern@t
    view post Posted on 21/9/2006, 22:37
     
    .

    User deleted

    IMPORTANTE:

    Per la riuscita ottimale Disabilitate il ripristino di configurazione(*)

    (*)
    - click destro su "Risorse del computer"
    - scegliete "Proprieta'" nel menu' a tendina
    - scegliete la scheda "Ripristino configurazione di sistema"
    - spuntare la casella "Disattiva Ripristino di configurazione di sistema su tutte le unita'"
    - cliccate su "Applica"
    - rispondete "Si" poi cliccate su "Ok"

    ed eseguite il tutto in Modalita' provvisoria(F8) {**}
    {**}

    ** Riavviate il computer. Alcuni computer mostrano una barra di avanzamento che indica un set di istruzioni denominato Basic Input/Output System (BIOS). Altri non mostrano niente.
    ** Immediatamente al termine del caricamento del BIOS, iniziare a premere ripetutamente il tasto F8 sulla tastiera.Per alcuni secondi, dovreste vedere una scritta bianca su sfondo nero: “Avvio di Windows in corso”
    Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Se si comincia a premere il tasto F8 troppo presto, su alcuni computer viene visualizzato il messaggio di errore "errore di tastiera". Per risolverlo, riavviare il computer e provare di nuovo.
    ** Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità provvisoria, quindi premere Invio.




    Eliminazione di masterbiz,redfunny,archiviosex,Internet Private Zone,e1xplorer,WinMoviePlugIn....insomma tutto quello che vi sta' cambiando pagina iniziale e che vi mette icone non gradite sul desktop.



    Innanzitutto scaricatevi QUESTO programmino che vi eliminerà e1xplorer dal desktop,redfunny,masterbiz,archiviosex....

    1. Scaricate anche lo Script per riparare la trusted zone

    - Avvia KillSgrunt e fallo scansionare

    2. esegui lo Script per riparare la trusted (dopo averlo decompresso, click con il tasto destro sul file e seleziona >> installa)

    Poi scaricate anche QUESTA tool di rimozione per syshelp.exe che praticamente è aggregato all'Internet Private Zone.

    Infine (per sicurezza) scaricate anche QUEST'ULTIMA tool così in caso aveste l'about blank si dovrebbe eliminare anche questo.

    Ristabilite la pagina iniziale che avevate in caso vi fosse stata cambiata

    Poi andate andate in Risorse del Computer e abilitate la visualizzazione di cartelle e file nascosti selezionate Strumenti - Opzioni Cartella - Visualizzazione premete poi Applica a tutte le cartelle.

    Aprite il Task Manager (CTRL+ALT+CANC) e se c'è terminate questo processo:

    syshelp.exe

    Dopo di che, andate su Start/Cerca oppure Trova (a seconda dei sistemi operativi) e digitate:

    syshelp.exe

    Se trova qualcosa, eliminatelo.
    Vedi anche le diciture sysmon.exe, sysfind.exe,IE4321.exe o sysrtmvs.exe.

    Ora riavviate il computer e controllate se avete ancora tutti i problemi dovuti al masterbiz e all'Internet Private Zone.


    Eliminazione WinMoviePlugIn e Dialer.Sfonditalia



    Si tratta di un dialer italiano che si propaga,di solito,via e-mail con un allegato in formato di file .exe, o collegandosi ad un qualche sito e scaricando un plugin.
    I sintomi principali,dell’arrivo di questo fastidioso ospite,sono la presenza sul desktop di due nuove icone,WinMoviePlugIn e una nuova di e1xplorer che vi collegherà,tramite un numero a pagamento,ad un sito porno.

    image



    Chi ha le linee Adsl non può collegarsi a questi numeri,però può subire delle cadute di linea quando il dialer tenta di connettersi,o ritrovarsi una pagina iniziale bloccata su un sito "allegro".
    Le stesse icone le trovate nei Preferiti,nel menù Avvio,nei Programmi e sparse in giro per il computer.

    image



    Altro sintomo è il blocco della pagina iniziale di Internet,alcune volte in About:blank oppure viene reindirizzata sempre verso il solito sito porno.
    Questo è il messaggio che ottenete se cliccate su una delle due icone.

    image



    Se avete Windows Xp o Windows Me disattivate il ripristino della configurazione(*)

    (*)Click destro sull'icona Risorse del computer
    Scegliere "Proprietà" nel menu a tendina
    Scegliere la scheda "Ripristino configurazione di Sistema"
    Spuntare la casella "Disattiva Ripristino configurazione di sistema su tutte le unità"
    Cliccare su "Applica"
    Rispondere "Si" e infine cliccare su "OK"

    Le scansioni con i normali programmi antispyware, come Adware e Spybot search & destroy,non sembrano dare risultati,bisogna procedere alla rimozione in maniera manuale,in ogni caso fatele,potreste sempre eliminare qualche altro ospite indesiderato.
    Avviate Windows in modalità provvisoria, premete F8 subito all’avvio del computer e dal menù che compare, selezionate l’Avvio in modalità provvisoria.
    Utilizzando Hijackthis fate la scansione e nel log potete trovare una serie di righe simili a queste (ho editato i link dei siti per non diffondere certi indirizzi).

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfonditalia.****
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
    O4 - HKLM..Run: [Olympic] C:\Documents and Settings\Utente\Dati applicazioni\sgruntIE4321.exe
    O15 - Trusted Zone: www.archiviosex.***
    O15 - Trusted Zone: www.1987324.***
    O15 - Trusted Zone: www.softlab.****
    O15 - Trusted Zone: www.xxx-content.****
    O15 - Trusted Zone: www.sgrunt.***
    O15 - Trusted Zone: www.skymasters.***
    O15 - Trusted Zone: www.adslconnection.****
    O15 - Trusted Zone: www.all4internet.***
    O15 - Trusted Zone: www.boordel.***
    O15 - Trusted Zone: www.dnsreload.***
    O15 - Trusted Zone: www.otherchance.***
    O15 - Trusted Zone: www.securize.***
    O15 - Trusted Zone: www.seychelle.***
    O15 - Trusted Zone: www.redfunny.***
    O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.sgrunt.*/closer/close.exe

    Fatta la scansione, mettete il flag sulle voci pericolose e premete Fix.
    Segnatevi i nomi dei siti indicati nelle righe che iniziano con 015 perchè saranno poi da ricercare nel registro di configurazione e nelle proprietà di Internet.
    Il nome del file pericoloso,in questo caso,è IE4321.exe ma cambia quasi sempre.
    Altri nomi molto diffusi per questo dialer sono sysmon.exe, sysfind.exe o sysrtmvs.exe, ma potrebbe assumere qualsiasi nome.
    Se avete dei dubbi sul nome del file, prima di iniziare le pulizie, potete provare ad eseguirlo e vedrete se tenta di collegarsi ad Internet, in questo caso siete sicuri di cosa dovete eliminare.
    Avviate Internet Explorer e selezionate Strumenti,Opzioni internet,andate nelle Connessioni e rimuovete tutte quelle che non riconoscete come la vostra reale connessione.

    image



    Sempre in Internet Explorer selezionate Strumenti,Opzioni internet,Protezione scegliete Siti attendibili e se trovate i siti che avevate visto nelle righe di Hijackthis che iniziavano con 015 li eliminate.

    image



    Volendo li potete poi inserire nei Siti con restrizioni,in modo da cercare di bloccarli in caso di una nuova infezione.
    Cancellate tutti i files temporanei e tutto il contenuto non in linea (Elimina file), cookies (Elimina cookie) e Cronologia dei siti visitati (Cancella cronologia).

    image



    image



    Sulle due icone che trovate nel desktop cliccate con il tasto destro del mouse,selezionate Proprietà,e guardate il nome del file .exe di Destinazione che trovate nel Collegamento.

    image



    Il nome di questo file .exe, che è il vero dialer può variare e bisogna scoprirlo in questo modo,per poi eliminarlo manualmente.
    Quindi segnatevi il percorso del file ed andate subito a cancellarlo.
    In Risorse del Computer abilitate la visualizzazione di cartelle e file nascosti selezionate Strumenti - Opzioni Cartella - Visualizzazione premete poi Applica a tutte le cartelle.

    image



    Andate su Start,Cerca e ricercate nel vostro pc tutti i files WinMoviePlugIn.lnk e e1xplorer.lnk,li dovreste trovare presenti nel Desktop,nel menù di avvio,nella cartella Documenti,nei Preferiti di tutti gli utenti che avete configurato sul vostro computer, cancellate tutti i files che trovate.
    Ricercate anche tutti i files e cartelle che contengono la parola sgrunt che si ripete spesso in questo tipo di infezione.
    Controllate in tutti gli utenti nella cartella Documents and settings\(nome User)\Impostazioni locali\Temp e cancellate tutti i file .exe sospetti,e cercate anche nella cartella Temp che potrebbe trovarsi in C:\Windows, in genere potete cancellare tutto il contenuto di queste cartelle.
    Avviate il registro di configurazione,da Start – Esegui - regedit e ricercate nel registro tutti quei siti che erano stati indicati da Hijackthis nelle righe che iniziavano con il 015,cancellateli tutti quanti.
    Riavviate il computer e riabilitate il Ripristino configurazione di sistema.
    Se avete eseguito tutte le operazioni in maniera esatta,a questo punto dovreste avere eliminato il vostro dialer e ripreso il completo controllo del vostro computer.
















    Edited by Intern@t - 25/9/2006, 05:19
     
    Top
    .
0 replies since 21/9/2006, 22:37   2862 views
  Share  
.

Computer e innovazioni tecnologiche
Create your forum and your blog! · Top Forum · Categories · Help · Status · Contacts · Powered by ForumCommunity