| Autore |
 Discussione  |
|
giupe77
Senior Member
Città: catania
127 Messaggi |
 Inserito il - 19/02/2007 : 18:48:42
|
gentili utenti del sito notrace.it
vi scrivo per ricevere (qualora possibile) informazioni ed eventuali aiuti in merito a connessioni anomale che continuo a trovarmi installate nel mio computer, hanno rispettivamente i nomi "0202" e "SFB internet".
Ho la connessione ad alice adsl flat dal 2 febbraio scorso e non sono ancora molto pratico... il modem è stato acceso quasi ininterrottamente in queste 2 settimane (euforia della flat)fino a quando ieri per caso passando col mouse sopra i due computerini in basso a destra (gli indicatori della connessione) mi è apparsa la scritta "0202" e connesso!! con tanto di dati e numero di byte scambiati.... .
prima di ogni altra cosa vorrei chiedere se secondo voi queste connessioni possano aver dirottato la "mia" Alice (a mia insaputa)e se si cosa devo aspettarmi nella prossima bolletta (ipotizzando il peggiore dei casi)!!
ringrazio Ori che mi ha suggerito di aprire una nuova discussione (avevo trovato una discussione simile ma forse non conveniva partecipare a quella.. scusate è solo il tempo che m'impratichisco..)
grazie
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 19/02/2007 : 18:59:55
|
scarica il programma Hijackthis da qui: htt*://[www].merijn.org/files/hijackthis.zip
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare(lo troverari nella stessa cartella del programma)
secondo le regole htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
|
Modificato da - Leleago in data 19/02/2007 19:15:26 |
 |
|
|
giupe77
Senior Member
Città: catania
127 Messaggi |
Inserito il - 20/02/2007 : 11:12:04
|
ti ringrazio per la repentina risposta, l'avrei letta subito ma ieri (e anche sta mattina presto) non mi è stato possibile accedere al forum e neanche al sito notrace.it : "errore del server, impossibile trovare la pagina".. spero che ciò non sia stato causato da qualche problema al mio computer.. detto questo appena provo a scaricare quel programma (appena clicco col mause sulla scritta blu) mi si chiude tutto (sia la pagina del sito sia internet explorer)...e con una velocità impressionante!! (si chiude più velocemente di quanto ci impieghi quando chiudo io di proposito!!)
è un buon segno? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 20/02/2007 : 11:16:17
|
| tutti ieri abbiamo avuto problemi a connetterci al forum cmq il fatto che hiajck nn si apre nn è buon segno! penso che sei infetto da link optimizer...segui questa procedura: htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=7540 |
|
|
|
giupe77
Senior Member
Città: catania
127 Messaggi |
Inserito il - 20/02/2007 : 11:58:14
|
grazie leleago, ho letto tutta la discussione che mia hai mandato con quel link..ci sono delle "Operazioni preliminari" suggerite da michal (nel 2006)e poi altri link per scaricare dei tool...
1) i tool sono degli antivirus? sono facili da far funzionare?
2)ho visto che nel corso della discussione questi link per scaricare i tools sono stati cambiati(perchè ho capito che erano stati "attaccati") allora devo fare riferimento all'ultimo link che appare (credo che sia nel messaggio di aris)per scaricare questi tools?
3)la procedura preliminare di michal è ancora valida?
scusa se le mie domande sono di una banalità imbarazzante..ma imparo in fretta
grazie 1000
ciao |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 20/02/2007 : 12:02:56
|
1) i tool sn facili da far funzionare e sn dei software che permettono di eliminare dal pc dei malware specifici in questo caso link optimizer
2) dopo aver seguito la procedura preliminare di michal prova questi tool:
tool Prevx
htt*://[www].prevx[.com]/gromozon.asp
tool symatec :
htt*://smallbiz.symantec[.com]/security_response/writeup.jsp?docid=2006-092316-4153-99
in caso di impossibilità di collegarsi ai siti link alternativi:
link diretto gromozon
htt*://pcalsicuro.phpsoft.it/FixGrom.exe
se,una volta scaricato, non si può avviare: rinominare l'eseguibile con un nome di fantasia (es.michal.exe o aris.exe)
scansione finale con Virit:
htt*://[www].tgsoft.it/files/vnlt6157.exe
|
Modificato da - Leleago in data 20/02/2007 12:06:20 |
|
|
|
giupe77
Senior Member
Città: catania
127 Messaggi |
Inserito il - 20/02/2007 : 20:11:54
|
allora:
ho cercato di seguire la procedura preliminare di michal
sono riuscito a scaricare i tools (prevx, symantec e virit) ho disattivato il ripristino confi. di sistema e ho riavviato il pc in modalità provvisoria, con CClear ho tolto circa 400mb di roba (se ho letto bene) ma poi gli altri tools non hanno trovato niente.
non sono riuscito a disattivare firewalle e antivirus (spyware non credo di averne) perchè in modalità provvisoria non mi ha fatto accedere al riquadro "protezione di windows"...
finite le scansioni ho riattivato la modalità normale ma mi è apparso un messaggio che mi dice :" l'utilità configurazione di sistema è in modalità avvio diagnostico o selettivo causando la visualizzazione di questo messaggio ad ogni avvio di windows. per riavviare normalmente e annullare le modifiche apportate, sciegliere la modalità di avvio normale nella scheda generale"
e subito dopo si è aperta la finestra di virit dicendo che c'era un file sospetto e chiedendo mi se lo volevo inviare per posta a tg information per ricever chiarimenti ariguado. non ho inviato questa mail.
dopodicchè mi sono collegato e ho provato a riscaricare quel programma che inizia per Hij... ma appena sussurro questo nome qui continua a chiudersi tutto!!
ho riavviato il pc, sono ancora in modaltà avvio diagnostico ma virit non si è aperto più...
ora non saprei che fare...
dov'è cho ho sbagliato?
ps: il mio antivirus (AVG) e da ieri che mi da "1 errore durante la scansione"
potrebbe c'entrarci qualcosa? |
|
|
|
giupe77
Senior Member
Città: catania
127 Messaggi |
Inserito il - 20/02/2007 : 22:44:43
|
devo aggiungere un triste aggiornamento:
2 premesse: sono ancora (stando a ciò che dice il messaggio) in modalità "diagnostico" senza neanche aver capito bene di che si tratti e attualmente il mio avg antivirus non è disattivato e VirlT ognittanto parte da solo.
detto questo ho provato a scaricare una versione modificata di quel tool hji... da un messaggio di aris in un altro topic, ma niente da fare, si chiude il browser! allora ho cominciato a masterizzare un po' di roba temendo che presto dovrò formattare,e mentre lo facevo le icone del desktop mi sono scomparse un paio di volte senza motivo (costringendomi ogni volta a riavviare) questo non era mai successo e credo che sia abbastanza anomalo...ma ciò che mi preme di più è sapere se secondo te nel periodo in cui si connetteva abusivamente quel "0202" nonostante il mio modem adsl, possa aver causato danni sulla bolletta del telefono(circa 2 settimane, poi sempre seguendo un consiglio letto nel vostro forum, ho reso di "sola lettura"il file che fa creare le connessioni, e 0202 non si è piu ripresentato) , perchè se è così devo intervenire prima che la telecom la emetta.
per tutto il resto seguiro con calma i vostri consigli ( cmq non ho materiale molto importante nel pc, alla fine non sarebbe un gravissimo problema formattare )e mi affido a voi
grazie |
|
|
|
giupe77
Senior Member
Città: catania
127 Messaggi |
Inserito il - 21/02/2007 : 01:33:00
|
| le due di notte e sono ancora qui...ho provato a scaricare programmi affini a hji... o magari rinominati,ho pure scovato e fixato alcuni file con wshredder, ma niente da fare.. alla fine ho letto in un'altra discussione che può andar bene lo stesso se faccio una scansione con windpatrol che salva i log in una pagina html. provo a postare il risultato (sto parlando davvero in un'altra lingua per me, spero aver scritto cose sensate)WinPatrol Report Log.htm |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 21/02/2007 : 09:53:57
|
l'eseguibile del malware è questo lsafsjcw.exe !!
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
c:\windows\system32\lsafsjcw.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente |
|
|
|
giupe77
Senior Member
Città: catania
127 Messaggi |
Inserito il - 21/02/2007 : 14:03:21
|
purtroppo non riesco a scaricar avenger sul desktop, stesso problema di hij... si chiude tutto.
non posso eliminare questo file eseguibile facendo tasto destro -elimina? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 21/02/2007 : 14:06:59
|
vai su start, esegui, scrivi: sc delete lsafsjcw.exe e clicca su ok
poi vai su c:windows/system32 e guarda se è ancora li o è sparito! se è ancora li prova ad eliminarlo con shift + canc ! |
Modificato da - Leleago in data 21/02/2007 14:09:40 |
|
|
|
giupe77
Senior Member
Città: catania
127 Messaggi |
Inserito il - 21/02/2007 : 15:28:13
|
con "esegui" non ha funzionato, con shift + canc quando ho dato la conferma per eliminare mi è apparso "impossibile eliminare, accertarsi che il disco non sia pieno o il file attualmente in uso" (ho provato con browser aperto e anche chiuso, per tutto quello che valeva)
che faccio, provo a cancellarlo in modalità provvisoria?
ps: appena ho aperto la cartella system 32 (avevo già resi visibili i file nascosti) era vuota, ho ripetuto il percorso subito dopo e sta volta anche la cartella WINDOWS (che doveva contenere tra le altre cose anche system32) era vuota!! tutto sparito!!
dopo un bel po' di tentativi sono ricomparsi magicamente tutti file... è opera di questo lsafsjcw? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 21/02/2007 : 18:38:29
|
clicca col tasto dx del mouse sulla barra delle applicazioni e apri task manager...alla voce processi guarda se c'è lsafsjcw.exe. se è in esecuzione cliccaci di sopra col tasto dx del mouse e nel menu contestuale che ti si apre seleziona termina processo!
poi rifà la procedura di prima
vai su start, esegui, scrivi: sc delete lsafsjcw.exe e clicca su ok
poi vai su c:windows/system32 e guarda se è ancora li o è sparito! se è ancora li prova ad eliminarlo con shift + canc |
|
|
|
giupe77
Senior Member
Città: catania
127 Messaggi |
Inserito il - 22/02/2007 : 15:24:47
|
niente da fà... col task manager ho terminato il processo, ma poi il file non riesco a cancellarlo ne con esegui, ne con shift + canc: "accesso negato! controllare che il disco non sia pieno o il file attualmente in uso."
ma se il processo l'ho interrotto, come mai mi dice che il file è attualmente in uso? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/02/2007 : 17:39:51
|
termina nuovamente il processo con task manager e prova con avenger:
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
c:\windows\system32\lsafsjcw.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente |
|
|
|
Discussione |
|
Connessioni illecite 0202|SFB internet
Forum Bloccato
