Accedi per seguire   
Seguaci 0
Mancio82

Connessione Modem Impazzita...dialer?

11 messaggi in questa discussione

Inviato (modificato)

Ciao a tutti...

momentaneamente sul mio pc di casa sono obbligato ad usare una connessione a 56k :) ...il modem è un Trust 56k V92 PCI correttamente installato...la connessione è Tele2...

Tutto funzioava normalmente fino a qualche giorno fa quando non si sa perchè il modem si è sconnesso per cercare di riconnettersi a chissa quale numero....il bello è che non risulta nulla i due computerini che linkano sulla barra di win che dimostrano la connessione non ci sono, non c'e nemmeno nessuna schermata di connessione strana, l'unico indizio il ronzio del modem....l'unico modo per stoppare la connessione è riavviare il sistema...

Ho provato quindi a vedere se c'era qualcosa che non andava...ma nelle connessione è presente solamente la connessione Tele2, inoltre ho sottoposto il sistema a scansione con l'Antivirus, Ad-Aware, Sybot, Ewido, ho pulito cache, cookies, e cronologia ed ho installato Digisoft Antidialer per controllare il numero di connessione.....e non è stato rilevato assolutamente nulla di anomalo...

Eppure ad ogni connessione la situazione di ripete...dopo circa 10 minuti il modem si sconnette per cercare di connettersi a questa connessione fantasma...e non riuscendo a fermarlo l'unica cosa che posso fare è riavviare o spegnere il pc....

Secondo voi di cosa si tratta di un Dialer particolarmente insidioso o di un problema di connessione del modem???

Spero di essere stato chiaro grazie tante a chi mi da una mano :P

Modificato da Debian fan

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

Detta così, è difficile da valutare... potrebbe anche trattarsi di un nuovo dialer <_<

ti conviene postare un log di Hijack per vedere che cosa si carica... magari fatto mentre ti sta disconnettendo....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ecco i risultati della scansione:

Logfile of HijackThis v1.99.1

Scan saved at 23.53.38, on 08/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\Programmi\ewido anti-malware\ewidoctrl.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\sm56hlpr.exe

C:\Programmi\Winamp\winampa.exe

C:\WINDOWS\Temp\aosh1.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe

C:\Programmi\Messenger\msmsgs.exe

C:\Programmi\Digisoft AntiDialer\AntiDialer.exe

C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe

C:\Programmi\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {BD9F327E-44FB-F2C7-0DBF-AED00CEE3E14} - C:\WINDOWS\llmke1.dll (file missing)

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe

O4 - HKLM\..\Run: [aosh1.exe] C:\WINDOWS\Temp\aosh1.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: SecDxd - Unknown owner - C:\:ENNNX.exe

Se vi può essere ancora più d'aiuto il modem cerca di connettersi anche se non sono ancora stato su Internet...inoltre in "Mostra tutte le connessioni" oltre oltre ad esserci la connessione Tele2, è presente una connessione che si chiama Internet e che utilizza lo stesso numero di Tele2....se provo ad eliminarla si rigenera sempre....

Che ne pensate???

Grazie per l'aiuto :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ciao, puoi fare queste verifiche?

start>esegui>control userpasswords2>OK

si apre la finestra Account utente, verifica se hai un'utenza sospetta (oltre a quelle consuete Administrators e Utente) con un nome casuale, tipo GYZX e simili;

start>esegui>services.msc>OK , nell'elenco dei servizi verificare se ne trovi uno con nome casuale, dove nella colonna Connessione, invece che Sistema locale o Servizio di rete riporta nome casuale;

da risorse del computer>pannello di controllo, installazioni/applicazioni, verifica se trovi l'applicazione LinkOptimizer; se sì non tentare di rimuoverla, rimanda a un sito estero di dubbia legittimità;

Se hai presenti questi sintomi, posta anche un log di GMer da qui:

http://www.gmer.net/gmer110.zip

CITAZIONE:

Decomprimi il programma

Avvialo,portati sul tag "Rootkit"

Clicca su "Scan"

Attendi la fine della scansione e clicca su "Copy"

Apri il block notes di windows clicca su modifica e seleziona incolla

Adesso seleziona tutto il contenuto del block notes e fai un copia e incolla nel forum.

Fai uno scan anche dell'Autostart e allegalo insieme all'altro.

Questo serve per verificare eventuali presenze di malware che usano tecniche di rootkit per nascondersi al sistema.

Modificato da Luke57

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

LinkOptimizer ce l'avevo e l'ho cancellato....pero la situazione non sembra peggiorata.....anche dopo varie scansioni....

per il resto faro le prove che mi hai suggerito quando vado a casa....

Esaminando pero il log di HijackThis compare qualcosa di sospetto???

Grazie per l'aiuto :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, sì è la presenza di questo processo:

C:\WINDOWS\Temp\aosh1.exe che si ritrova poi in avvio, qui:

O4 - HKLM\..\Run: [aosh1.exe] C:\WINDOWS\Temp\aosh1.exe

oltre a queste

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {BD9F327E-44FB-F2C7-0DBF-AED00CEE3E14} - C:\WINDOWS\llmke1.dll (file missing)

sintomatiche di infezioni o residui di LinkOptimizer.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Va bene allora posso incominciare ad eliminare questi....

Poi con il programma che hai detto tu posto il Log....

Grazie! :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Si confermo...mi sono beccato questo virus Linkoptimizer....

Ho scaricato una guida molto completa per la rimozione manuale di esso e del rootkit installato....

Vedremo... ;-)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, in caso di interpretazioni dubbie e aiuti vari, chiedi pure.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ieri ho fatto la pulizia del pc dal virus solo che sono rimaste un paio di cosette da sistemare:

allora per tutti quelli che vogliono dare un 'occhiata alla guida la si trova qui:

LINK RIMOSSO ... non conforme al regolamento

Cosi avrete una maggiore idea di quella che dico....

allora con Rootkitreleaver ho fatto il log e ho trovato dei file infetti da rootkit come dice la guida...

poi con HijackThis elimino le voci "ambigue" che trova (quelle 02-BHO...R2..R3 file missing per intenderci) e fin qui ok....

poi cerco i file nascosti dll, tmp o exe nascosti in C:/Programmi o C:/Windows/temp e fin qui ok...

disabilito il servizio random creato e questo è ok (il servizio nel mio caso si chiama BUUMA...sarà quella no? dato che non mi è mai sembrato di vedere un servizio che si chiama cosi)

Quando devo pero svutare la cartella C:\WINDOW\Temp alcuni file non me li cancella..."file in uso gia da un altro utente..."

Inoltre con Tha Avenger eseguo i prcedimenti e cioè scrivere negli appunti

Registry value to replace with dummy:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winsows\AppInit_DLLs (che è identico al mio caso)

e poi scrivo

Files to delete:

... e inserisco e file che Rootkitreleaver mi aveva trovato...

Avvio The Avenger copio gli appunti come dice la guida, avvio lo script ma mi esce un errore "Syntax error:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winsows\AppInit_DLLs Line Not Found....riavvio il programma e anche nel log di avenger dice l'errore....

Infatti ripeto lo scan con rootkitreleaver e mi da sempre i soliti 4 file che avevo riportato....

a parte questo ho eliminato tutto e sembra che il pc non abbia problemi....pero volevo completare il lavoro....

Dove sbaglio secondo voi???

:)

Modificato da Kuma

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, per aiutarti devo vedere :)

Scarica Gmer :

http://www.gmer.net/gmer110.zip

CITAZIONE:

Decomprimi il programma

Avvialo,portati sul tag "Rootkit"

Clicca su "Scan"

Attendi la fine della scansione e clicca su "Copy"

Apri il block notes di windows clicca su modifica e seleziona incolla

Adesso seleziona tutto il contenuto del block notes e fai un copia e incolla nel forum

Allega anche il log della posizione Autostart

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0