Ciao a tutti, spero possiate aiutarmi xchè non sopporto più questo problema.
Ho letto in diversi forum, in particolare dei forum stranieri, di gente che ha un problema simile al mio, ma preferisco parlarne in un forum italiano per capire meglio cosa devo fare. Il problema è tipo il solito link di IE al sito casinopalazzo di cui si parla in giro, però a me succede anche un nuova connessione a internet.
Cerco di descrivervi tutto quanto.
Faccio presente prima quello che ho e cosa uso:
ho un notebook con WIN XP, browser IE, non uso programmi firewall;
il SO operativo ha 2 admin, io e mio fratello [molto distratto e poco attento a quello che gli può accadere stando in rete];
ho una normale connessione 56KB, la sera uso una connessione con una flat di Libero, mentre di giorno se necessario mi collego tramite Telecom a un provider Interfree.
Non so da quanto ci sia effettivamente questo problema nel mio PC,ma 2o3 settimane fa notai una connessione nuova, tra le connessioni di accesso remoto, chiamata rst ; pensavo a qualche cavolata fatta da mio fratello cosi la cancellai e nn ci pensai più.
Poi 10 giorni fa mentre navigavo una sera la connessione a Libero si interrompe improvvisamente, mi fermo e guardo cosa succede. Dopo 30 sec, max 1 minuto, appare di colpo una nuova connessione accanto all'orologio sulla barra, stando a indicare che sono già riconnesso. Non ho sentito però alcun rumore prodotto dal modem, cosa che avviene quando mi collego ai soliti provider. Non mi ha riconesso a libero ma a un nuovo accesso remoto di nome rst !! Disconnetto subito ed è tutto finito. Intanto noto che nel mio desktop è apparsa una nuova icona di nome Default con una mega X gialla (vedi jpg allegato). La cancello e fine.
La cosa si è ripetuta più volte, di solito verso la mezzanote o dopo 1 ora circa che stavo connesso, ma poi ci sono stati dei casi particolari, per esermpio di sabato o domenica pomeriggio, cmq mi pare sempre quando ero connesso a Libero, con l'altra connessione non mi pare sia mai successo, oggi pomeriggio ho fatto 1 ora collegato al provider InterfFree e nn è accaduto nulla.
Cmq a furia di ripetersi ho osservato e scoperto un po' di cose.
Allora quando mi si sconnette tra le connessioni di accesso remoto che ho spunta fuori proprio questa nuova connessione chiamata RST e intanto il modem si connette a quell'accesso remoto (senza fare rumori). quando la disconnetto, tale iconcina scompare magicamente! l'icona del desktop come al solito appare e ci rimane. l'icona tra le proprietà mostra essere un collegamento del genere:
"C:\Programmi\Internet Explorer\IEXPLORE.EXE" http://www.casinopalazzo.com/index.php?sourceid=101969
Se stacco subito il filo del modem appena cade la linea, appare cmq rst e l'icona default, e dopo un po' appare una finestrella che in inglese mi dice che la connessione non è riuscita e se voglio riprovare. se dico NO si chiude e sparisce l'accesso rst come succedeva prima.
Sono cmq riuscito ad aprire le proprieta di tale connessione remota. questa chiama un numero 12345, senza username e password (se volete vi allego le immagini delle proprieta della connessione rst).
Inoltre mi sono accorto che vengono creati 2 file nella cartella
C:\Documents and Settings\MIONOME\Impostazioni locali\Temp
Un file è il file rst.ini che ha questo contenuto:
< #899191437#899191447#0088213888405#1200#310000021# 3000#IT#ACCEDIR ORA! CLICCA SUL SI (YES) PER ACCEDERE AI SERVIZI descritti nella pagina web. Vietato al minori di diciotto anni. L'accettazione del certificato comporta l'immediata riconnessione automatica ai nostri server mediante chiamata su numerazione a valore aggiunto (attendere l'apertura del browser). IL costo della connessione, effetuata su numero 709, e'pari a 2,5 euro (iva compresa) al minuto piu' un euro e venti centesimi (iva compresa) alla risposta, durata max 60 min. Spuntando la casella 'considera sempre attendibile' il presente avviso potrebbe non essere visualizzato in futuro. Se la connessione non avviene immediatamente effettuare un reload della página web >
L'altro file è Kjdd.dat ma ho notato che questo ogni volta assume un nome sempre diverso, ma sempre con estensione dat (per esempio nhkj.dat) e questo dat lo si può vedere anche come PROCESSO ATTIVO NEL TASKMANAGER, ma lo vedo solo quando c'è il popup che mi chiede in inglese se riprovare la connessione o no.
Ho aperto questi dat con un editor di test, dentro c'è quasi tutta roba chiaramente incomprensibile (e che addirittura si rifiutava di essere copiata e incollata), però ci sono dei pezzi di testo leggibili.
verso l'inizio c'è
< Info: This file is packed with the UPX executable packer http://upx.tsx.org > ecc.
alla fine c'è sempre
< kernel32.dll advapi32.dll msvcrt.dll ole32.dll rasapi32.dll shel32.dll
user32.dll wininet.dll LoadLibraryA GetProcAddress ExitProcess RegCloseKey exit CoInitialize RasDialA ShellExecuteA SetTimer InternetOpenA >
!!> Cmq vorrei sapere se questo coso che ho (come viene definito? spyware? virus? malware?) (malware mi è davvero nuovo... cosa è??) ,
insomma vorrei sapere se è rischioso usare carte di credito online avendo questi cosi attivi, anche avendo una CC precaricata e temporanea, io devo cmq andare sul sito della banca (che usa un protocollo https) per digitare username e password per poter caricare tot soldi sulla CC virtuale. E' rischioso fare questa operazione??? possono prendermi la password??
Ho scaricato HijackThis e Ad-aware . Spybot ho provato ma il link dato dal forum è sbagliato.
Ho fatto andare CoolWebSearch trojan remover, ha trovato qualcosa, ho fatto il Fix
Risultato:
Done! 08.06.2004 19.53
Removed from your system:
- CWS.Msole
- CWS.Jsconsole
- 9 infected IE registry values
Devo postarvi il LOG di HijackThis? (prima o dopo aver fatto andare CWS trojan remover?)
e il log di Ad-aware???
ma a cosa serve sto programma? cosa fa? come funziona??
Rispondi quotando
