Olimpo Informatico

TheWildNetsurferHostel · Mortale pio Registrato: 04/04/05 17:11 Messaggi: 22

Ciao forum,
mi trovavo a passare casualmente di qui.. e mi è venuta una brillante idea: non è che voi esperti divini potreste aiutare una comune mortale (buona e devota, giuro!) a liberarsi finalmente da una stramaledetta (si può dire stramaledetta?) pagina html che le rompe le scatole da mesi?
Quale pagina html?
Domanda da un milione di euros...
(ora provo a spiegare)

Ogni volta che apro il browser non mi appare più la pagina iniziale che ho messo nelle preferenze ma una pagina intitolata Warning C://secure32.html tutta blu con su scritto:

Detected SPYware! System error #384
__________________________________________________________________________

Your IP address is **.***.***.***. Using this address a remote computer has gained anaccess to your computer and probably is collecting the information about the sites you\'ve visited and the files contained in the folder Temporary Internet Files. Attention! Ask for help or install the software for deleting secret information about the sites you visited.

__________________________________________________________________________

Your computer is full of evidences!

ISP of transmission: ***
Your IP address: **.***.***.***
They know you\'re using: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; snprtz|T04146661410024)
Your computer is: Windows XP
Risk status for further investigation: VERY HIGH RISK

To protect from the Spyware - click here
To prevent information transmission - click here
To delete the history of your activity, click here

Questi ultimi tre link portano al sito di un programma ANTI- spyware antitrojan, antitutto: se lo installi e lo compri ti leva la paginaccia di cui sopra, altrimenti non c\'è verso di toglierla; ho provato a cancellarla dal registro ma ricompare, persino se provo a cambiarla col dreamweaver la riscrive identica..con i programmi antitrojan che ho provato neanche...

C\'è qualcos\' altro da fare o devo rassegnarmi a questo vile ricatto?

kingofworms · Moderatore Internet e Telefonia Registrato: 13/09/03 00:01 Messaggi: 1719

Già provati Adaware e SpyBot tra gli antitrojan cui accennavi?

Altrimenti, in rete si trova che il colpevole è il file c:\windows\system32\paytime.exe.

Dovresti avere anche un processo, elencato nel Task Manager, che si chiama PayTime.exe.

Terminandolo, cancellando i file paytime.exe e c:\secure32.html e reimpostando la pagina iniziale si dice che dovresti essere a posto.

Io farei anche - per sicurezza - un controllo dei processi lanciati automaticamente all'avvio.

horus

Puoi provare CWShredder. Serve per altro ma magari riesce a estirparti anche quello.

Hai però controllato di non avere qualcosa in esecuzione che te lo va a rimettere? Se lo cancelli da provvisoria ricompare subito, ricompare dopo un riavvio, altro?

Edit: battuto sul tempo... Wink

TheWildNetsurferHostel · Mortale pio Registrato: 04/04/05 17:11 Messaggi: 22

Sì, Spybot lo uso sempre... (Adaware non lo conoscevo ma ora mi informerò Rolling Eyes

).. invece ti ringrazio per l'informazione sul processo nel task manager, mi mancava questo "paytime.exe" ! Ora lo scoverò, lo terminerò e lo distruggerò!

holifay · Dio maturo Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano

Sei stata infettata da SmitFraud. Non ti preoccupare che lo eliminiamo, non è grave Wink

Fai per prima cosa i controlli che ti hanno consigliato prima. Se non risolvi, scarica questi due tool:

1) HijackThis
2) Smitfraudfix

Come usare HijackThis:
Estrai dall´archivio zippato il file hijacKthis.exe e mettinlo in una sua nuova cartella in C. Poi avvialo da quella cartella, premi Do a System scan and save a log file. Ti aprirà una finestra del blocco note con una serie di scritte all´interno. Copia il contenuto di quella finestra e incollalo qui, in una tua risposta.

Come usare SmitFraudFix:
Estrai tutto il contenuto dell´archivio zippato in una sua nuova cartella, oppure sul desktop. Apri la cartella e avvia (doppio click) il file smitfraudfix.cmd file.
Seleziona l´opzione #1 - premendo il tasto 1 e poi Invio. Al termine ti comparirà un file di testo con un contenuto all´interno. Come prima, copia il contenuto e incollalo qui nella tua prossima risposta

Ciao Smile

kingofworms · Moderatore Internet e Telefonia Registrato: 13/09/03 00:01 Messaggi: 1719

Per controllare che cosa venga lanciato all'avvio puoi fare: Start -> esegui -> msconfig.

O, probabilmente meglio ancora, usare uno dei software indicati qui: Autoruns o Starter. Da qualche parte dovrebbe esserci anche il link per Codestuff starter, ma non lo trovo.

Come vedi non c'è che l'imbarazzo della scelta. Wink

E poi holifay ha già fatto anche la diagnosi nel caso servano "le armi pesanti".

TheWildNetsurferHostel · Mortale pio Registrato: 04/04/05 17:11 Messaggi: 22

TheWildNetsurferHostel · Mortale pio Registrato: 04/04/05 17:11 Messaggi: 22

Ecco fatto: il parassita è stato estirpato!
E' bastato terminare paytime.exe e cancellare secure32 dal registro.

Ho fatto anche i controlli con autoruns e cwshredder, sembra tutto a posto!

yuhuuuu Very Happy

Ps: quasi quasi mi spiace che sia stato così veloce, proprio adesso che cominciava a piacermi la caccia al virus... o forse la vostra compagnia! Rolling Eyes

saluutiii!