Accedi per seguire   
Seguaci 0
drau

Ma Come Lo Elimino Questo Dialer?

41 messaggi in questa discussione

Ho beccato un dialer che, pur avendo l’ADSL, mi ha mangiato un bel po’ di euro con una serie di telefonate internazionali a Grenada, Antigua e Barbuda ecc. e ben 64 chiamate satellitari a Globalstar B. Penso che questo sia potuto avvenire poiché continuavo a tenere collegato al PC anche il modem 56K. E’ vero?

Ora ho staccato questo modem e, chiamando il 4717 di Telecom (che dà la situazione dei consumi mensile) sembra che queste chiamate internazionali non si verifichino più (sembra…).

Tuttavia il dialer rimane attivo e la sua azione si manifesta con un continuo scollegamento della linea ADSL che quasi non mi permette più di collegarmi a Internet. :sigh:

Inoltre nelle Connessioni remote mi appare una nuova connessione denominata PCCFN che, anche se cancellata, ricompare al successivo avvio del computer.

Chiedo: come fare per individuare ed eliminare questo fastidiosissimo dialer?

Faccio presente che ho fatto scansioni con l’antivirus, Spybot, AD-Aware, ma senza nessun risultato….

Grazie per l’aiuto che vorrete darmi.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao,

si purtroppo il problema si è verificato solo perchè hai lasciato il modem 56k collegato ,altrimenti il dialer anche se presente non avrebbe potuto compiere chiamate tramite la linea ADSL.....

per vedere di eliminarlo fai cosi;

# Posta un log di hijackthis

# Fai anche uno scan online qui;

http://www.nanoscan.com/as/v1/principal.aspx

- seleziona "Full Scan"

- accetta la licenza

- scarica/installa l'activex

Alla fine salva il log e copialo in un post di risposta

Attenzione gianna f.!

titolo.jpg

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie per la risposta.

Solo ora si è ripristinato il collegamento a Internet, per cui posto i lig richiesti:

Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 0.05.37, on 17/07/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Programmi\Sygate\SPF\smc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Programmi\Bluetooth Software\bin\btwdins.exe

C:\Programmi\Tobit ClipInc\Server\ClipInc-Server.exe

C:\WINNT\System32\CTsvcCDA.exe

C:\Programmi\Executive Software\Diskeeper\DkService.exe

C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

C:\WINNT\System32\svchost.exe

C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe

C:\Programmi\Eset\nod32krn.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Programmi\File comuni\Real\Update_OB\realsched.exe

C:\Programmi\Eset\nod32kui.exe

C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Programmi\RocketDock\RocketDock.exe

C:\Programmi\PeerGuardian2\pg2.exe

C:\Programmi\Bluetooth Software\BTTray.exe

C:\Programmi\Spamihilator\spamihilator.exe

C:\Programmi\Html2pop3 2.32\html2pop3.exe

C:\Programmi\StopDialers\StopDialers.exe

C:\WINNT\system32\wuauclt.exe

C:\WINNT\Samsung\ComSMMgr\ssmmgr.exe

C:\Programmi\SiteAdvisor\6020\SiteAdv.exe

C:\WINNT\explorer.exe

C:\Programmi\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.metacrawl.ws

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.metacrawl.ws

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,"c:\winnt\system32\autoclean.exe",

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\6020\SiteAdv.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.3.19.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator\Applications\LEC IE Translation Extension.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\6020\SiteAdv.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [hpcmd] C:\WINNT\system32\spool\cmd.exe

O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [KIT3] C:\WINNT\system32\spool\hpprintqueue.exe

O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe

O4 - Startup: Spamihilator.lnk = C:\Programmi\Spamihilator\spamihilator.exe

O4 - Startup: html2pop3.lnk = C:\Programmi\Html2pop3 2.32\html2pop3.exe

O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe

O4 - Global Startup: BTTray.lnk = C:\Programmi\Bluetooth Software\BTTray.exe

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Download all links using BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Download Video - http://www.viloader.net/addon.htm

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROProj.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1142449988260

O17 - HKLM\System\CCS\Services\Tcpip\..\{72BA23F7-7E48-449B-A2DD-EE2B86FE0FC9}: NameServer = 212.216.112.222,212.216.172.162

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programmi\SiteAdvisor\6020\SiteAdv.dll

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINNT\system32\btxppanel.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\Bluetooth Software\bin\btwdins.exe

O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programmi\Tobit ClipInc\Server\ClipInc-Server.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe

O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

O23 - Service: DirectX Service (Talub) - Unknown owner - C:\WINNT\system32\directx.exe (file missing)

Totalscan:

ANALYSIS: 2007-07-17 01:31:10

PROTECTIONS: 1

MALWARE: 22

SUSPECTS: 1

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

NOD32 Antivirus 0.0.0 No Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00029429 Bck/Freeze.C Virus/Trojan No 0 Yes No C:\Programmi\ScreenSaver.com\Living 3D Dolphins Full\UNINSTAL.EXE

00032731 application/mywebsearch HackTools No 0 Yes No hkey_current_user\software\toolbar

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\6enpo1qt.default\COOKIES.TXT[.atdmt.com/]

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\6enpo1qt.default\COOKIES.TXT[.weborama.fr/]

00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\6enpo1qt.default\COOKIES.TXT[.weborama.fr/]

00322928 Adware/Cydoor Adware No 0 No No D:\Downloads\mechanic-2[1].7.1.exe[¦$$\System32\winsdrv.dll]

00355191 Adware/IconAds Adware Yes 1 Yes No C:\WINNT\SYSTEM32\SPOOL\CMD.EXE

00358231 Bck/DService.gen Virus/Trojan No 0 Yes No C:\WINNT\Cursors\EXPLORER.EXE

00376327 Trj/Mitglieder.MU Virus/Trojan No 1 Yes No G:\eMule\Varie\3D Sea Aquarium Screensaver 1.zip[3D Sea Aquarium Screensaver 1.exe]

00376327 Trj/Mitglieder.MU Virus/Trojan No 1 Yes No G:\eMule\Varie\AquaSupreme Aquarium Screensaver 3.0.zip[AquaSupreme Aquarium Screensaver 3.0.exe]

00481811 Trj/Downloader.MDW Virus/Trojan No 1 No No D:\Downloads\mechanic-2[1].7.1.exe[¦$$\System32\wmidext.dll]

00503715 Trj/Mitglieder.NJ Virus/Trojan No 1 Yes No G:\eMule\Programmi\Crack.Activator.for.Symantec.Norton.Ghost.10.0.2006.v10.0.0.8400.zip[Crack.Activator.for.Symantec.Norton.Ghost.10.0.2006.v10.0.0.8400.exe]

00507966 Rootkit/Goldun.NZ Virus/Trojan No 1 Yes No C:\WINNT\SYSTEM32\SPOOL\HPPRINTQUEUE.EXE

00528260 Adware/ActiveSearch Adware No 0 No No D:\eMule\Any Video Converter Professional 1.3.3 working CRACK!!!.zip[Any Video Converter Professional 1.3.3 working CRACK!!!.exe][bar.exe][tbhelper.dll]

00528271 Adware/ActiveSearch Adware No 0 No No D:\eMule\Any Video Converter Professional 1.3.3 working CRACK!!!.zip[Any Video Converter Professional 1.3.3 working CRACK!!!.exe][bar.exe][like_googlenew1.1a.dll]

00529129 Trj/Downloader.OJF Virus/Trojan No 0 No No D:\eMule\Any Video Converter Professional 1.3.2 CRACK [TMS].rar[Any Video Converter Professional 1.3.2 CRACK [TMS]\Any Video Converter Professional 1.3.2 working CRACK.exe][crack.exe]

00529130 Adware/StartPage.CVC Adware No 0 No No D:\eMule\Any Video Converter Professional 1.3.2 CRACK [TMS].rar[Any Video Converter Professional 1.3.2 CRACK [TMS]\Any Video Converter Professional 1.3.2 working CRACK.exe][crack1.exe]

00529131 Trj/Multidropper.REI Virus/Trojan No 0 No No D:\eMule\Any Video Converter Professional 1.3.2 CRACK [TMS].rar[Any Video Converter Professional 1.3.2 CRACK [TMS]\Any Video Converter Professional 1.3.2 working CRACK.exe]

01043458 Bck/Bifrose.AKL Virus/Trojan No 1 Yes No D:\Downloads\Lavasoft.Ad-Aware.SE.Professional.v1.06r1.DIRFIX-DVT\Setup\ADAWARE.EXE

01174306 Adware/ActiveSearch Adware No 0 Yes No D:\eMule\Any Video Converter Professional 1.3.3 working CRACK!!!.zip[Any Video Converter Professional 1.3.3 working CRACK!!!.exe][crack.exe]

01174307 Adware/ActiveSearch Adware No 0 Yes No D:\eMule\Any Video Converter Professional 1.3.3 working CRACK!!!.zip[Any Video Converter Professional 1.3.3 working CRACK!!!.exe][ff.exe]

01174308 Adware/ActiveSearch Adware No 0 Yes No D:\eMule\Any Video Converter Professional 1.3.3 working CRACK!!!.zip[Any Video Converter Professional 1.3.3 working CRACK!!!.exe][ca.exe]

01174323 Adware/ActiveSearch Adware No 0 Yes No D:\eMule\Any Video Converter Professional 1.3.3 working CRACK!!!.zip[Any Video Converter Professional 1.3.3 working CRACK!!!.exe][bar.exe]

01228851 Adware/Gator Adware No 0 Yes No G:\Revconnect\Video\Tutto Per Divx\Codec per DivX (vedo tutti i film).zip[DivXPro501GAINBundle.exe]

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

C:\PROGRAMMI\HTML2POP3 2.32\HTML2POP3.EXE

;===================================================================================================================================================================================

Spero che dall'esame di questi log si riesca a capire qualcosaper eliminare questo dialer che mi sta perseguitando...

Grazie in anticipo. :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao

Scarica PSERV.CPL

http://p-nand-q.com/download/pserv_cpl/pserv-2.6.exe

Clicca con il tasto destro sul nome del servizio e seleziona "Delete"

questo è il servizio da eliminare: DirectX Service (Talub)

---

Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) +

Vise Registry Cleaner (per pulire il registro)

Quando installi Ccleaner ricordati che se lasci le spunte di defualt ,verrà installata anche la toolbar yahoo (togli le spunte se non la vuoi)

STAMPA queste istruzioni (oppure salvale in un file sul desktop)

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

Esegui queste operazioni essendo disconnesso e con tutte le applicazioni chiuse

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva "nascondi file protetti di sistema"

e Togli la spunta da: "Nascondi le estensioni dei file per i tipi di file conosciuti"(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta davanti a queste voci (potrebbero non esserci tutte) e clicca su "fix checked

O4 - HKLM\..\Run: [hpcmd] C:\WINNT\system32\spool\cmd.exe

Trova e se ci sono elimina questi files o cartelle usando esplora risorse

C:\WINNT\system32\spool\cmd.exe

Controlla se questi sono già stati eliminati:

\System32\winsdrv.dll

\System32\wmidext.dll

C:\WINNT\Cursors\EXPLORER.EXE

G:\eMule\Varie\3D Sea Aquarium Screensaver 1.zip

G:\eMule\Varie\AquaSupreme Aquarium Screensaver 3.0.zip

G:\eMule\Programmi\Crack.Activator.for.Symantec.Norton.Ghost.10.0.2006.v10.0.0.8400.zip

C:\WINNT\SYSTEM32\SPOOL\HPPRINTQUEUE.EXE (<-- ROOTKIT)

D:\eMule\Any Video Converter Professional 1.3.3 working CRACK!!!.zip

D:\eMule\Any Video Converter Professional 1.3.2 CRACK [TMS].rar

D:\Downloads\Lavasoft.Ad-Aware.SE.Professional.v1.06r1.DIRFIX-DVT\Setup\ADAWARE.EXE

G:\Revconnect\Video\Tutto Per Divx\Codec per DivX (vedo tutti i film).zip

Ripulisci il sistema con Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

capt0013pz.jpg

Pulisci il registro con Vise registry Cleaner (Pulizia del Registro)

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

Devi farmi per sicurezza un altro scan online (questo dura parecchio)

---> scansione Avanzata come descritto qui ed allega il log in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

rifai il log di Hijack e mettilo qui per un ulteriore controllo (il log va fatto in modalità normale)

specificando se il problema ti pare che si sia risolto e le cose che non sei riuscito a fare o i files che non sei riuscita ad eliminare (non trovati ecc...)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Prima di tutto voglio ringraziare Kuma per le completissime indicazioni date che mi hanno tenuta impegnata per un sacco di tempo...

Allora, ho fatto tutto quanto indicato.

Gli unici file che non sono riuscita a trovare sono:

\System32\winsdrv.dll

\System32\wmidext.dll

Se devo essere sincera, però, penso che il problema non sia ancora risolto.

Ogni tanto la connessione ADSL cade ancora e Stop Dialer, nei suoi avvisi periodici dice che al egistro sono state aggiunte nuove chiavi.

Allego il file derivato dallo scan online con Kaspersky

e posto l'ultimo log di Hijackthis.

Aspetto fiduciosa nuove notizie.

Grazie e ciao :)

Logfile of HijackThis v1.99.1

Scan saved at 23.21.29, on 17/07/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)</SPAN></SPAN></SPAN>

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Programmi\Sygate\SPF\smc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Programmi\Bluetooth Software\bin\btwdins.exe

C:\WINNT\System32\CTsvcCDA.exe

C:\Programmi\Executive Software\Diskeeper\DkService.exe

C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

C:\WINNT\System32\svchost.exe

C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe

C:\Programmi\Eset\nod32krn.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

c:\winnt\system32\svchost.exe

C:\Programmi\Eset\nod32kui.exe

C:\Programmi\File comuni\Real\Update_OB\realsched.exe

C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Programmi\RocketDock\RocketDock.exe

C:\Programmi\Bluetooth Software\BTTray.exe

C:\Programmi\Spamihilator\spamihilator.exe

C:\Programmi\Html2pop3 2.32\html2pop3.exe

C:\WINNT\system32\wuauclt.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\SiteAdvisor\6020\SiteAdv.exe

C:\WINNT\explorer.exe

C:\Programmi\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.metacrawl.ws

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.metacrawl.ws

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,"c:\winnt\system32\autoclean.exe",

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\6020\SiteAdv.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.3.19.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator\Applications\LEC IE Translation Extension.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\6020\SiteAdv.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"

O4 - Startup: Spamihilator.lnk = C:\Programmi\Spamihilator\spamihilator.exe

O4 - Startup: html2pop3.lnk = C:\Programmi\Html2pop3 2.32\html2pop3.exe

O4 - Global Startup: BTTray.lnk = C:\Programmi\Bluetooth Software\BTTray.exe

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Download all links using BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Download Video - http://www.viloader.net/addon.htm

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROProj.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1142449988260

O17 - HKLM\System\CCS\Services\Tcpip\..\{72BA23F7-7E48-449B-A2DD-EE2B86FE0FC9}: NameServer = 212.216.112.222,212.216.172.162

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programmi\SiteAdvisor\6020\SiteAdv.dll

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINNT\system32\btxppanel.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\Bluetooth Software\bin\btwdins.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe

O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

REPORT_KASPERSKY.html

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

E si,kuma è sempre preciso! :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao gianna f.

Il log di Hijack non presenta minacce in esecuzione (pulito)

Svuota la cartella Quarantena di Trend Micro (ma non stai usando Il NOD32??? Elimina tutta la cartella in questo caso)

C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\

Elimina anche questi che risultano infetti:

D:\Downloads\Tm-Share 1[1].0.15.zip

D:\Downloads\mechanic-2[1].7.1.exe

Questo file: "c:\winnt\system32\autoclean.exe"

Io non so di cosa si tratta, ma è piuttosto sospetto (forse è lui la causa del messaggio alle aggiunte al registro)

Per eliminare il richiamo, occorre editare il registro...

Start\Esegui --> regedit

Portarsi all seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individuare nella finestra di destra USERINIT ed eliminare la voce: (in rosso)

UserInit=c:\winnt\system32\userinit.exe,"c:\winnt\system32\autoclean.exe", (virgolette comprese)

ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

In pratica la chiave, dopo l'eliminazione della voce infetta, dovrà presentarsi in questo modo:

capt0020yj.jpg

Siccome non so se il file è infetto o no, prima di eliminarlo, collegati a VIRUS TOTAL nella mia firma e fallo analizzare

ALTRE CONSIDERAZIONI:

vedo che usi sia la CRAWLER che McAfee SiteAdvisor

io ne terrei solo uno (il secondo) l'altro disinstallalo

______

@ bubina:

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ancora una volta ho seguito con diligenza i consigli di Kuma, però:

- arrivata al punto di eliminare nel registro "c:\winnt\system32\autoclean.exe",

pur cancellando la voce nella finestra "Modifica", ad un successivo controllo la voce ricompare. Perchè? Dove sbaglio?

- Cos'è questo Crawler, non lo uso e non so come eliminarlo....

Aspetto notizie e, nel frattempo chiedo: a che punto devo considerare la lotta al dialer? Cosa dobbiamo fare ancora e come avere riscontri chiari?

Grazie! :):P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao ,

il file lo hai eliminato? altrimenti prova cosi;

Assicurati di visualizzare i file nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)

1) metti la spunta su: Visualizza file e cartelle nascoste

2) Disattiva: nascondi file protetti di sistema

* Scarica AGVPFix

- Estrai l'archivio

- avvia il file AGVPFix.exe

- clicca su Start

- si aprirà una finestra simile a quella di esplora risorse , scorri l'albero fino al file in questione (c:\winnt\system32\autoclean.exe)

- selezionalo e dai l'ok

A questo punto portati nel registro e ripeti l'operazione come consigliato da Kuma

PS__Quando esegui le operazioni disconnettiti da Internet

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ragazzi sto diventando matta!

Non riesco ad eliminare il file "c:\winnt\system32\autoclean.exe",

Ho scaricato ed eseguito AGVPfix e da lì ho cancellato il file (rd infatti riaprendo AGVPFIX, nella struttura ad albero il file non compare più);

quando però vado nel registro il file è sempre presente e, anche tentando di cancellarlo, ricompare sempre...

Che fare?

Ed intanto l'ADSL mi si disconnette sempre e Stop Dialer continua a mandare messaggi che il registro è stato alterato... :sigh:

L'impresa comincia a sembrare disperata :P

Comunque confido in voi :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

proviamo a cercare qualche atro suo eventuale collegamento...

Scarica ed estrai RegSearch

Apri la cartella e fai un doppio clik su RegSearch.exe

Inserisci nella prima riga autoclean.exe e dai l'ok

Posta il contenuto della finestra del notepad che si aprirà

(Se il computer ti sembra bloccato è normale)

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusate, ma si sa già il nome di questo dialer ?

Almeno così si sa con cosa si ha a che fare.

Cmq, consiglio una scansione on-line, sapendo il nome del dialer forse si avranno maggiori info su come rimuoverlo.

p.s. la mia è solo un'idea, nn intendo criticare l'operato di nessuno suggerendo la scansione in rete :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Scusate, ma si sa già il nome di questo dialer ?

Almeno così si sa con cosa si ha a che fare.

Cmq, consiglio una scansione on-line, sapendo il nome del dialer forse si avranno maggiori info su come rimuoverlo.

p.s. la mia è solo un'idea, nn intendo criticare l'operato di nessuno suggerendo la scansione in rete :P

ciao,

prima di suggerire delle procedure, assicurarsi che non siano già state eseguite :P

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

opo un'impaziente attesa che il forum tornasse online, eccomi dinuovo.

Posto il messaggio creato da RegSearch ed aspetto fiduciosa:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.5.0

; Results at 20/07/2007 0.39.04 for strings:

; 'autoclean.exe '

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

; End Of The Log...

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

mah.... , non vorrei che si trattasse di una voce di una qualche applicazione installata e che ad ogni riavvio ricrea la modifica <_<

comunque ricapitolando,

* Disconnettiti da internet (modem spento o cavo tirato)

* Assicurati che il file non ci sia piu

* Fai la modifica alla chiave di registro

* Sempre nel registro, seleziona la voce Risorse del computer, premi F3 della tua tastiera, digita autoclean.exe e vedi se compare qualche voce collegata al file (continua fino alla visualizzazionde dell'avviso che la ricerca è terminata)

* Avvia hijackthis, metti la spunta alle voce che segue e con tutte le applicazioni chiuse e disconnesso da Internet, premi su fix checked

F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,"c:\winnt\system32\autoclean.exe",

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ad un ennesimo tentativo, modificando la voce di registro (senza fare niente di diverso dalle altre volte) sono riuscita a cancellare autoclean.exe (che del resto è anche scomparsa da log di Hijackthis)

Ma ora?

Solo adesso mi sono potuta riconnettere ad Internet (ADSL bloccata per ore) e Stop Dialer continua imperterrito a lanciare i suoi periodici sinistri messaggi...

In più, Sygate mi ha mandato un messaggio in cui, a fianco di un paio di labbra rosse, si chiedeva il permesso di accedere ad Internet dell'applicazioneC:\winnt\Ozzmaa.exe(199.200.29.144)...

Insomma, penso di essere ancora in alto mare!

Help me :P

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

elimina il file C:\winnt\Ozzmaa.exe

e comunque se il firewall ti richiede l'accesso ad un altro file con un'icona simile, bloccalo.

preleva l'ultima versione di VirIT. (non crea conflitti)

http://www.tgsoft.it/italy/download.htm

Installalo, avvialo, aspetta il termine del controllo della memoria, ed AGGIORNALO (importante)

poi fai la scansione completa del sistema (salva il log e postalo)

Al termine, Fai una scansione Avanzata come descritto qui ed allega il log in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Anche se con ritardo , ho effettuato gli "ordini" di Kuma

Quindi, ho cancellato Tramite Hijackthis, perchè altrimenti non ci riusivo proprio) il file Ozzmaa. exe.

Posto poi il log di VirIt:

VirIT eXplorer Lite Log

[sCANSIONE DELLA MEMORIA]

OK

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

22/07/2007 - 01:41:07

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

22/07/2007 - 01:55:18

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

C:\Programmi\PPLive TV\Update.exe Infetto da Backdoor.RBot.QK

* * * RIMOSSO * * *

C:\Programmi\Stargrade\Stargrade.exe Infetto da Trojan.Win32.Agent.AOO

* * * RIMOSSO * * *

Chiavi Registro infette: 0.

Files Infetti: 2.

Files Sospetti: 0.

Files Analizzati: 50579.

Files Totali: 50579.

Chiavi Registro rimosse: 0.

Virus Rimossi: 2.

ALLEGO INFINE IL LOG hTML DELLA SCANSIONE ONLINE CON KASPERSKY:

ASPETTO COME AL SOLITO FIDUCIOSA NOTIZIE ED INDICAZIONI.

CIAO :)

log2_kaspersky.html

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, posta un nuovo log di hijackthis, ma scarica questa versione:

http://www.trendsecure.com/portal/en-US/th.../HiJackThis.exe

salvi l'eseguibile in una cartella permanente del disco fisso appositamente creata, poi fai la scansione allo stesso modo della versione 1.99.1.

Poi fai anche questi controlli, sempre nel registro di sistema (start>esegui>regedit>OK):

Aperto il registro cliccando sul segno + accanto alle singole voci segui questi percorsi:

HKEY_LOCAL_MACHINE

SOFTWARE

Microsoft

RFC1156Agent

se trovi la voce che ti indico in neretto click tasto dx e scegli Elimina

2)HKEY_LOCAL_MACHINE

SOFTWARE

Macromedia

ShockPlayer32

se trovi la voce che ti indico in nerettoin neretto click tasto dx e scegli Elimina

3)HKEY_LOCAL_MACHINE

SOFTWARE

Microsoft

Internet Explorer

AdvancedOptions

sotto l'ultima voce in neretto, se trovi sottochiavi con nome causale con 5 lettere (che può variare e possono essere più di uno), informa nel forum, potrebbero essere voci da eliminare.

Cerca le stesse voci , se presenti, sotto la chiave iniziale di registro:

1)HKEY_CURRENT_USER

SOFTWARE

Microsoft

Internet Explorer

AdvancedOptions

Nome causale con 5 lettere

2)HKEY_CURRENT_USER

SOFTWARE

Macromedia

ShockPlayer32

3)HKEY_CURRENT_USER

SOFTWARE

Microsoft

RFC1156Agent

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scaricata nuova versione di Hijackthis, fatta scansione (log postato più giù).

Pur avendo ieri eliminato l'avviso con labbra rosse Ozzmaa.exe e senza che abbia praticamente navigato in Internet, oggi mi è comparso un avviso simile, solo leggermente modificato nel nome (lo si vede nel log di Hijackthis). Di che si tratta? da dove vengono fuori? Sono legati al dialer?

Fatti gli interventi nel registro, ho trovato presenti tutte le voci incriminate e le ho eliminate.

Sotto Microsoft, Internet Explorer, Advanced Options ho trovato 2 voci di quelle citate: VVPVV e XXRXX. presenti sia Local Machine che in Current User:

le ho lasciate in attesa di istruzioni....

Ciao e grazie :):P

Log di Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20.20.38, on 23/07/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Programmi\Sygate\SPF\smc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Programmi\Bluetooth Software\bin\btwdins.exe

C:\Programmi\Tobit ClipInc\Server\ClipInc-Server.exe

C:\WINNT\System32\CTsvcCDA.exe

C:\Programmi\Executive Software\Diskeeper\DkService.exe

C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

C:\WINNT\System32\svchost.exe

C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe

C:\Programmi\Eset\nod32krn.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\VEXPLITE\viritsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

c:\winnt\system32\winlogon.exe

C:\Programmi\Eset\nod32kui.exe

C:\Programmi\File comuni\Real\Update_OB\realsched.exe

C:\Programmi\Tobit ClipInc\Player\ClipIncTray.exe

C:\VEXPLITE\MONLITE.EXE

C:\WINNT\TEMP\€zsmaa.exe

C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Programmi\RocketDock\RocketDock.exe

C:\Programmi\Bluetooth Software\BTTray.exe

C:\Programmi\Spamihilator\spamihilator.exe

C:\Programmi\Html2pop3 2.32\html2pop3.exe

C:\Programmi\StopDialers\StopDialers.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\SiteAdvisor\6020\SiteAdv.exe

C:\Programmi\Hijackthis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.metacrawl.ws

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.metacrawl.ws

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\6020\SiteAdv.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.3.19.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator\Applications\LEC IE Translation Extension.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\6020\SiteAdv.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programmi\Tobit ClipInc\Player\ClipIncTray.exe"

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE

O4 - HKLM\..\Run: [€zsmaa.exe] C:\WINNT\TEMP\€zsmaa.exe

O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"

O4 - Startup: Spamihilator.lnk = C:\Programmi\Spamihilator\spamihilator.exe

O4 - Startup: html2pop3.lnk = C:\Programmi\Html2pop3 2.32\html2pop3.exe

O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe

O4 - Global Startup: BTTray.lnk = C:\Programmi\Bluetooth Software\BTTray.exe

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Download all links using BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Download Video - http://www.viloader.net/addon.htm

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROProj.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1142449988260

O17 - HKLM\System\CCS\Services\Tcpip\..\{72BA23F7-7E48-449B-A2DD-EE2B86FE0FC9}: NameServer = 212.216.112.222,212.216.172.162

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\Bluetooth Software\bin\btwdins.exe

O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programmi\Tobit ClipInc\Server\ClipInc-Server.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe

O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--

End of file - 9312 bytes

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

fai cosi:

elimina le due voci che hai citato (VVPVV e XXRXX)

poi

* scarica e decomprimi avenger sul desktop

- Disconnettiti da internet

- con un doppio click avvia il file avenger.exe

- Seleziona "Input Script Manually"

- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"

- copia / incolla quanto segue

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

folders to delete:

C:\WINNT\TEMP

C:\Winnt\Tasks

Registry values to delete:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | zsmaa.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | €zsmaa.exe

- Clicca sul tasto Done

- Poi sull'icona del semaforo

- Rispondi Yes

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

Con hijackthis metti la spunta a queste voci e premi su fix checked:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = [-url=http://www.metacrawl.ws]http://www.metacrawl.ws[/url]

O4 - HKLM\..\Run: [€zsmaa.exe] C:\WINNT\TEMP\€zsmaa.exe

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ragazzi siete davvero impagabili!

Resto a bocca aperta nel vedere quanto impegno e quanti tentativi di soluzione proponete.

Mi auguro (e, credetemi, non solo per me, ma anche per voi) che tanto impegno sia coronato da successo!

Grazie e bravi!

Ma veniamo a noi:

Ho fatto tutto quanto indicato da Steve 75.

Posto il log di Avenger.

Non sono molto esperta, ma temo che non tutto sia andato per il verso giusto, spero di sbagliarmi...:

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\mbucaetn

*******************

Script file located at: \??\C:\Program Files\rjtnywai.txt

Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\WINNT\TEMP deleted successfully.

Folder C:\Winnt\Tasks deleted successfully.

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Could not delete registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run|zsmaa.exe

Deletion of registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run|zsmaa.exe failed!

Status: 0xc0000034

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run|€zsmaa.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

A risentirci :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

Avenger ha fatto quello che doveva... la voce che dice di non aver eliminato, penso che Steve l'abbia messa in più per avere la sicurezza dell'eliminazione...

Come ti sembra... Problema risolto???

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ciao...

Avenger ha fatto quello che doveva... la voce che dice di non aver eliminato, penso che Steve l'abbia messa in più per avere la sicurezza dell'eliminazione...

Come ti sembra... Problema risolto???

Si Kuma hai perfettamente ragione, le ho messe tutte e due prorpio per essere sicuro di beccarlo con una delle due :P

@gianna f. : hai ancora problemi ?

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Forse è arrivato il momento di fare il punto della situazione:

Voi cosa pensate ? Secondo voi il dialer è scomparso? E se sì quale era?

Sono veramente curiosa di capirci un pò di più, viste le tante manovre messe in atto.

Quanto a me, non saprei esprimere un giudizio chiaro: Resta il fatto che l'ADSL continua ad interrompersi, mentre Stop Dialer insiste ogni dieci minuti a segnalare (senza che io faccia niente) che il registro ha subito modificazioni.

Voi che pensate? Tutto sommato erano i sintomi che si manifestavano anche prima...

Aspetto con ansia un vostro giudizio e, se possibile, nel caso pensiate che il dialer non c'è più, una spiegazione di questi problemi (particolarmente grave e inaccettabile è la continua disconnessione dell'ADSL).

E se invece il maledetto dialer fosse ancora qui?....

A presto :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0