Pc Infetto Da Win32:dialer

[markdima]

Ciao ragazzi,

da qualche giorno sul mio pc compare l'avviso da parte di avast della presenza del virus win32:dialer...

Ho provato in diversi modi ma avast non lo elimina.

Vi allego il log di hijack.

Spero che possiate aiutarmi!

Grazie in anticipo!!!

hijackthis.log

[Steve75]

ciao

fai cosi;

* Scarica ATF Cleaner

* Assicurati di avere accesso a file e cartelle nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione) 

1) metti la spunta su: Visualizza file e cartelle nascoste

2) Disattiva: nascondi file protetti di sistema

* disattiva il ripristino configurazione di sistema

(Vai su Start / tx destro del mouse sull'icona "Risorse del computer", e seleziona "Proprietà")

Nella sezione "Ripristino configurazione di sistema"

metti la spunta su: "Disattiva Ripristino configurazione di sistema"

* Avvia in modalità provvisoria 

* Avvia hijackthis , clicca su Do a System Scan Only metti la spunta alle voci che andro ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked (potrebbero non esserci tutte).

O4 - HKLM\..\Run: [ZZAIAA.EXE] C:\WINDOWS\TEMP\ZZAIAA.EXE

O4 - HKLM\..\Run: [FIZEAA.EXE] C:\WINDOWS\TEMP\FIZEAA.EXE

O4 - HKLM\..\Run: [wimsnn] Wscript C:\WINDOWS\NOHIBERMSE.VBS /B

O4 - HKUS\.DEFAULT\..\Run: [WEBCAMRT.EXE] (User 'Default user')

O4 - .DEFAULT Startup: up.exe (User 'Default user')

O4 - .DEFAULT Startup: Ricorrenze Next Gestionale.lnk = C:\Programmi\Next Gestionale\Ricorrenze.exe (User 'Default user')

O4 - Startup: up.exe Applicazione sconosciuta. 

O4 - Startup: Ricorrenze Next Gestionale.lnk = C:\Programmi\Next Gestionale\Ricorrenze.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

* Cerca ed elimina:

C:\WINDOWS\SYSTEM\LSACWEEP.EXE

C:\WINDOWS\web\related.htm

* Avvia ATF Cleaner.exe con un doppio click

- clicca sul menu main

- seleziona la casella Select All  

- clicca sul pulsante Empty selected 

- aspetta l'avviso Done Cleaning.

(se non vuoi eliminare le password togli la spunta)

(se usi opera o firefox,spunta anche le loro sezioni)

* Ritorna in modalità normale e posta un log aggiornato

* Fai anche uno scan online Kaspersky in questo modo e posta il suo log

* Postami anche il log di Virit

_____________________________________________

Alla fine delle procedure di pulizia è fondamentale :

1) ri-nascondere i file e le cartelle di sistema

2) Riattivare il ripristino configurazione di sistema (XP / ME)

3) Creare un nuovo punto di ripristino

 

[markdima]

ok grazie per i consigli, provvedo subito.

A dopo per i risultati!

ho omesso di dirti che come sistema operativo ho windows Me...

Per quanto riguarda il "ripristino configurazione funzionante"...che faccio? Non c'è vero?

E il resto? Procedo come mi hai detto?

[Steve75]

Si, salta il ripristino e vai avanti

[markdima]

Ok, ho riavviato il pc in modalità provvisoria e fatto quello che mi hai detto. Non ho fixato solo le voci

O4 - .DEFAULT Startup: Ricorrenze Next Gestionale.lnk = C:\Programmi\Next Gestionale\Ricorrenze.exe (User 'Default user')

O4 - Startup: Ricorrenze Next Gestionale.lnk = C:\Programmi\Next Gestionale\Ricorrenze.exe

in quanto ho un programma di gestione del magazzino (si chiama next magazzino) e credo che siano relative a quello. Se mi sbaglio correggimi!

Poi ho lanciato Atf, pulito tutto e cancellato il file related.htm, l'altro non l'ho trovato.

Infine in modalità normale ho rifatto la scansione con hijack ed ecco il log.

Comunque al momento avast non mi ha segnalato nulla.

hijackthis.log

[Steve75]

ok, per quelle voci hai fatto bene....

io non conoscendole ti ho consigliato di fixarle senza troppe precauzioni in quanto sono voci di avvio automatico che anche se fixate non causano nessun danno se non quello di non avviare in automatico l'applicazione, e inoltre sono ripristinabili tranquillamente

per il resto, conosci anche queste?

O4 - .DEFAULT Startup: up.exe (User 'Default user')

resta comunque questo file che secondo me é infetto, fallo analizzare su www.virustotal.com

C:\WINDOWS\SYSTEM\LSACWEEP.EXE

Poi ti consiglierei di ;

- Disattivare il tea timer di Spybot

- Sostituire Avast con Antivir o AVG

- di fare comunque lo scan online

[markdima]

Non saprei che dirti su up.exe...

Ho provato a caricare su virustotal il file ma mi da un erorre: Impossibile visualizzare la pagina...

Poi come disattivo il teatimer?

[Steve75]

il tea timer lo disattivi da Utilità / Resident, e toglie la spunta dalla casella "Attiva il modulo TeaTimer"

poi con hjt fixa queste voci;

O4 - .DEFAULT Startup: up.exe (User 'Default user') 

O4 - Startup: up.exe Applicazione sconosciuta. 

e con avenger come fatto sopra inserisci questo ;

files to delete:

C:\WINDOWS\SYSTEM\LSACWEEP.EXE

[markdima]

Buongiorno Steve75,

scusa se rispondo solo ora, ma solo stamattina ho potuto mettere le mani sul pc infetto.

Comunque credo di aver eliminato tutto quello che mi hai detto di eliminare.

Ti posto il nuovo log di hijack e dimmi se è tutto ok.

Grazie mille!!!

hijackthis.log

[Steve75]

buongiorno anche a te

il log é pulito..

hai ancora problemi?

[markdima]

il log é pulito..

hai ancora problemi?

No, almeno per ora va tutto bene...magari vedo di scaricare ed installare avira al posto di avast come mi hai consigliato!

E magari per sicurezza faccio anche una scansione online...

Poi ti posto i risultati!

Intanto ti ringrazio per l'aiuto!! Siete sempre disponibili qui! Grazie mille davvero!

A presto,

Marco!

Ps esiste una guida per imparare a utilizzare Hijackthis? Vorrei tanto imparare ad usarlo!

[Steve75]

eccola qui

http://www.wininizio.it/forum/index.php?showtopic=80752

[markdima]

Buongiorno Steve75,

eccomi nuovamente qui.

Ho riscontrato un nuovo problema. Ogni volta che accendo il pc mi esce una sola volta un messaggio di errore (vedi immagine allegata). Come posso fare per non farlo uscire più?

Ho dato un'occhiata su internet e a quanto pare è il file eseguibile per effettuare gli aggiornamenti di windows...

Inoltre ho provato a fare la scansione online con kaspersky,ma ho un problema...forse il mio pc non supporta i requisiti minimi per poter eseguire lo scanner online. Come ti ho detto come SO ho Windows millenium e per poter scaricare la versione di java richiseta da kaspersky il windows me non basta...almeno così mi pare di aver capito.

Ti ringrazio ancora per l'aiuto!

Aspetto i tuoi consigli...