[XP] Home page variata dopo ogni riavvio

[gefrio]

Ciao a tutti,

da poco ho formattato il computer ma dopo aver configurato la connesione mi sono accorto che ad ogni riavvio mi viene cambiata la home page di IE.
ogni volta configuro www.google.it ma dopo ogni rinvio mi ritrovo la seguente http://freeart1cile.com/

inoltre gli aggiornamenti automatici ad ogni riavvio sono sempre disabilitati nonstante io li setti sempre su automatico (impostazione consigliata).

come posso risolvere i sopracitati?

unica anomalia ho installato l'antivirus NOD32 non subito dopo la prima connessione .....

Saluti
Gefrio

[Deifobe]

Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, posta il rapporto.

per ora non rimuovere nulla.


ho reso il link non cliccabile...

[gefrio]

Malwarebytes' Anti-Malware 1.30
Versione del database: 1412
Windows 5.1.2600 Service Pack 1

19/11/2008 22.55.55
mbam-log-2008-11-19 (22-55-46).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 40999
Tempo trascorso: 3 minute(s), 26 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 2
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\fjcttsz.dll (Trojan.FakeAlert) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fjcttsz (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\fci (Rootkit.Agent) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\winamp agent (Trojan.FakeAlert.H) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\winamp.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\fjcttsz.dll (Trojan.FakeAlert) -> No action taken.

VVoVe:

questo e quanto da te richiestomi....

resto in attesa ....
saluti

[Deifobe]

ok, capito..
puoi eliminare tutto

Poi:

1) Scarica Hijackthis e installalo in un cartella dedicata (tipo: c:\programmi\Hijackthis o in quella predefinita).

2) scarica SystemScan (non richiede installazione) disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[gefrio]

OK tutto fatto .....

in attesa ti ringrazio anticipatamente....

[bootzenn]

ma devi postare il log di systemscan altrimenti la nostra Deifobe non può aiutarti

[gefrio]

Scusate avevo capito male...

[gefrio]

questo il mio file:

http://www.savefile.com/files/1897328

[Deifobe]

Scarica Avenger

Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freeart1cile.com
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: fjcttsz - C:\WINDOWS\SYSTEM32\fjcttsz.dll
O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\fci.exe.exe:ext.exe (file missing)
O4 - HKLM\..\Run: [Java VM v6.9.2] C:\WINDOWS\System32\jdk-1_5_0_19-windows-i393-pp\jav.bat
O4 - HKCU\..\Run: [Java VM v6.9.2] C:\WINDOWS\System32\jdk-1_5_0_19-windows-i393-pp\jav.bat
O4 - HKUS\S-1-5-18\..\RunOnce: [Java VM v6.9.2] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Java VM v6.9.2] (User 'Default user')

Esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\WINDOWS\system32\Ÿ¬Ÿ¬
C:\WINDOWS\system32\i
C:\WINDOWS\system32\o
C:\WINDOWS\SYSTEM32\fjcttsz.dll
C:\WINDOWS\System32\jdk-1_5_0_19-windows-i393-pp\jav.bat

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Java VM v6.9.2

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato


Analizza C:\WINDOWS\system32\mksupdate.exe su Virustotal e posta il link dell'analisi


Posta un nuovo systemscan

[gefrio]

Ragazzi niente da fare ho dovuto riformattare tutto.....
non riuscivo a lanciare i programmi per la diagnostica, non riuscivo a connettermi a internet per più di 30 sec e tanto altro ancora......

ora vi chiedo quali programmi posso utilizzare per evitare che mi succeda quanto accaduto?


SAluti

Gefrio