Help Dialer

[Imirik]

Salve da un po di tempo mi compare questo dialer di nome Internet Private Zone che mi chiede se voglio collegarmi a siti porno .clicco no ma partono automaticamente dei link porno... e questo appare ogni ora circa facendomi cadere la connessione, vi metto i risultati di HijackThis.
Help Plz



Logfile of HijackThis v1.99.1
Scan saved at 13.56.27, on 24/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\fwnet64.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\sysmon.exe
C:\WINDOWS\System32\MSLs32.exe
C:\WINDOWS\System32\MSPs32.exe
C:\bm22.exe
C:\programmi\180search assistant\180sa.exe
C:\WINDOWS\System32\MsJ32.exe
C:\WINDOWS\System32\MSFW2.exe
C:\WINDOWS\System32\Rundll.exe
C:\WINDOWS\gyfwsg.exe
C:\Programmi\ISTsvc\istsvc.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Clod\Desktop\Internet\Sacred pg\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Clod\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 81.208.96.113 L2authd.lineage2.com #utopia
O1 - Hosts: 81.208.96.113 l2testauthd.lineage2.com #utopia
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programmi\180search assistant\180sahook.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programmi\SideFind\sfbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msls] C:\WINDOWS\System32\MSLs32.exe
O4 - HKLM\..\Run: [msps] C:\WINDOWS\System32\MSPs32.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] c:\bmp22.exe
O4 - HKLM\..\Run: [180sa] c:\programmi\180search assistant\180sa.exe
O4 - HKLM\..\Run: [nqpsf] C:\WINDOWS\nqpsf.exe
O4 - HKLM\..\Run: [navautoprotect] C:\WINDOWS\System32\MsJ32.exe
O4 - HKLM\..\Run: [MSFireWall2] C:\WINDOWS\System32\MSFW2.exe
O4 - HKLM\..\Run: [lsass] C:\p2.exe
O4 - HKLM\..\Run: [Rundll] Rundll.exe
O4 - HKLM\..\Run: [msp32] C:\WINDOWS\System32\msp32.exe
O4 - HKLM\..\Run: [pathname] C:\WINDOWS\System32\pathname.exe
O4 - HKLM\..\Run: [ntx32] C:\WINDOWS\System32\ntx32.exe
O4 - HKLM\..\Run: [wlsass] C:\WINDOWS\System32\wlsass.exe
O4 - HKLM\..\Run: [win32] C:\WINDOWS\System32\win32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmi\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [XGgAnM] C:\WINDOWS\gyfwsg.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programmi\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Programmi\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [ppl32] C:\WINDOWS\System32\ppl32.exe
O4 - HKLM\..\Run: [Ocvywjj] C:\Program Files\Nvrm\Zqlx.exe
O4 - HKLM\..\Run: [cc32] C:\WINDOWS\System32\cc32.exe
O4 - HKLM\..\Run: [lss] C:\WINDOWS\System32\lss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programmi\SideFind\sidefind.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.linkautomatici.com
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/180solu ... ge-c24.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C7435F7-D97A-4CAE-BA6D-D269506062D9}: NameServer = 212.247.156.66 212.247.156.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe

[patrix966]

Allora di seguito ti posto le voci sconosciute e quelle sospette!Controlla prima di proseguire per vedere se sono applicazioni da te conosciute!

Anzi..fai così..vai direttamente sul link..è una tragedia a riscriverlo tutto!
http://hijackthis.de/index.php#anl

Su quel link incolli il tuo log!Dopo fai analizza!e poi...Buon lavoro!ma mi raccomando attenzione!

[Dylan666]

sposto nella sezione giusta
Se hai dubbi suall'analisi del log che ti farà il sito indicato da patrix966 allora postaceli

[Imirik]

Grazie mille

[Imirik]

Ho cancellato un po di roba che ne ero certo che erano dannosi poi questi non so ditemi voi, non sono un esperto in ste cose

http://hijackthis.de/index.php#anl

[patrix966]

Ciao purtoppo il sito non memorizza i log..quindi dovresti rfare un'analisi e reincollare il nuovo log!

[Imirik]

Ho cancellato un po di roba che ne ero certo che erano dannosi poi questi non so ditemi voi, non sono un esperto in ste cose

http://hijackthis.de/index.php#anl

Non compaiono i dati ve li scrivo qua sotto

Sono tutti sconosciuti questi

C:\WINDOWS\fwnet64.exe
C:\bm22.exe
C:\WINDOWS\System32\MSFW2.exe
C:\WINDOWS\gyfwsg.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKLM\..\Run: [nqpsf] C:\WINDOWS\nqpsf.exe
O4 - HKLM\..\Run: [MSFireWall2] C:\WINDOWS\System32\MSFW2.exe
O4 - HKLM\..\Run: [lsass] C:\p2.exe
O4 - HKLM\..\Run: [msp32] C:\WINDOWS\System32\msp32.exe
O4 - HKLM\..\Run: [pathname] C:\WINDOWS\System32\pathname.exe
O4 - HKLM\..\Run: [ntx32] C:\WINDOWS\System32\ntx32.exe
O4 - HKLM\..\Run: [wlsass] C:\WINDOWS\System32\wlsass.exe
O4 - HKLM\..\Run: [XGgAnM] C:\WINDOWS\gyfwsg.exe
O4 - HKLM\..\Run: [ppl32] C:\WINDOWS\System32\ppl32.exe
O4 - HKLM\..\Run: [Ocvywjj] C:\Program Files\Nvrm\Zqlx.exe
O4 - HKLM\..\Run: [cc32] C:\WINDOWS\System32\cc32.exe
O4 - HKLM\..\Run: [lss] C:\WINDOWS\System32\lss.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C7435F7-D97A-4CAE-BA6D-D269506062D9}: NameServer = 212.247.156.66 212.247.156.70
O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe

[Imirik]

e questi sono sospetti

C:\Programmi\ISTsvc\istsvc.exe
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programmi\180search assistant\180sahook.dll
2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programmi\SideFind\sfbho.dll
O4 - HKLM\..\Run: [Rundll] Rundll.exe
O4 - HKLM\..\Run: [win32] C:\WINDOWS\System32\win32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmi\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programmi\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Programmi\Power Scan\powerscan.exe

[Dylan666]

Ciao purtoppo il sito non memorizza i log...

Li memorizza e come (c'è il link apposito a fine pagina) ma solo per tre giorni:
http://hijackthis.de/logfiles/00dede134 ... 48c0d.html

A occhio li eliminerei tutti, sia i gialli che i rossi, tranne la chiave O17.
Se i sintomi scompaiono poi a mano cancella pure i relativi file.
Infine aggiorna Internet Explorer.
PS: questa è una guida del programma che hai usato:
http://www.pc-facile.com/guida_hijackthis_t148946/

[Luke57]

Ciao, mi sembra che hai un bel campionario. Intanto fai una scansione on line qui:
http://www.kaspersky.com/downloads/kws/kavwebscan.html
Scarica poi Ewido Security Suite http://www.ewido.net/en/download/
e installalo.
Lancia ewido, doppio click sull'icona con una grande E sul desktop.
Il programma chiederà di fare l'update, click su OK
Apparirà la schermata principale del programma dove è necessario
aggiornare ewido alle ultime definizioni delle firme dei virus.
Sulla parte sinistra della schermata principale click su update
Click su Start
L' update partirà ed una barra mostrerà la progressione dell'aggiornamento.
Una volta che l'aggiornamento sarà completato :
riavvia in Modalità provvisoria
Avvia Ewido.
Click su scanner
Assicurati che le seguenti caselle siano spuntate:
Binder
Crypter
Archives
Click su Start Scan
Attendi la conclusione della scansione
Mentre la scansione è attiva può presentarsi la richiesta di fare il clean del primo file infetto che trova. Scegli "clean"
e spunta la casella "Perform action on all infections" nell'angolo a sinistra della finestra in modo da far effettuare da Ewido
automaticamente l'operazione ad ogni file infetto, Click su ok.
Una volta terminata la scansione click sul pulsante in basso sulla finestra "Save report"
Salva il report sul desktop .
Cancella i file temporanei di windows (temp e tmp), quelli di IE, cookies, svuota il cestino. Controlla da pannello di controllo, installazioni\applicazioni che non via siano programmi non installati da te. In caso affermativo eliminali. Allega poi un altro log di hijackthis

[Dylan666]

Ma perché fare tutto questo casotto con uno shareware quale è Ewido (a quanto ho capito dal sito ufficiale) quando esistono ottime alternative freeware e comunque ormai abbiabmo risolto?

[Luke57]

Ewido è un programma shareware, ma una volta scaricato , dopo 14 gg., perde solamente la protezione in real time e può essere aggiornato manualmente. Con ewido si tolgono anche varianti di Look2me a cui hijackthis non fa nemmeno il solletico. Gliel'ho consigliato perchè ha una situazione altamente incasinata con processi molto sospetti in esecuzione e perchè non sembra tanto esperto nell'uso di hijackthis, con il quale potremo intervenire dopo.

[Luke57]

Ciao Patrick, scusa se intervengo ancora. Siccome il consiglio che ti ho dato di usare ewido (programma share ware-freeware), è stato, penso con cognizione di causa, contestato volevo solo aggiungere che nel mio post ho inserito le modalità di uso solo per agevolare chi magari lo usa per la prima volta, ma il programma come altri antimalware è facile e intuitivo per fare scansioni del computer, e sicuramente molto efficace. Inoltre nel tuo caso, se intendi usare solamente hijackthis devi procedere anche alla cancellazione perlomeno delle seguenti cartelle :180 search assistant, Surf Accuracy, ISTVC oltre a cancellare i relativi programmi infidi da pannello di controllo, installazioni\applicazioni. Magari dopo il lavoro di ripulitura, con qualsiasi mezzo ritieni opportuno farlo, riallega un log di hijackthis affinchè la comunità possa valutarlo per ulteriori consigli

[Dylan666]

Con ewido si tolgono anche varianti di Look2me a cui hijackthis non fa nemmeno il solletico.

Pora miseria non me lo ricordare, quanto dare per capire come ci si infetta e studiare come eliminare quel maledetto O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\l04q0ah5ed4.dll

[Luke57]

Ciao Dylan, qui un esempo dell'ottomo lavoro compiuto da Ewido nei confronti del Look2me.

[Dylan666]

lo so lo so, ma mi interessava trovare il metodo di rimozione manuale
Come dire, mi piace capire COME funzionano le cose