Problema: "TR/Dialer"

di **DevilAngel** » 18/03/06 13:49

ciao a tutti. Ho fatto una piccola ricerca sul vostro forum prima di postare questo topic.. ma nn ci ho capito quasi niente. il mio problema è questo "cavallo di troia" ke mi apre in continuazione un sito porno.
Ho visto ke tutti quanti consigliate HijackThis, ho aperto la guida e l ho installato.
Ho postato il risulato nella pag dell analisi automatica ke mi ha segnalato quali sono i file più sospetti e da cancellare. ma come faccio a cancellarli?
me ne ha segnati rossi più di una trentina!!

NON HO CAPITO BENE BENE BENE... ( è LA MIA VOLTA??? -Zelig-

)

a parte gli skerzi.. non ho capito davvero!! :undecided:

se potete rispondetemi, grazie!

di **Pao1o** » 18/03/06 13:54

Trenta rossi?
Non male.
Hai una bella navigazione sicura!
Per eliminarli metti lo spunto su quelle che ti sono consiglite in rosso e poi clicchi su fix checked.
Ti consiglio anche una bella scansione con adaware e spybot.

P.S. Stai attento ai dialer, dato che sei così in rosso.

In pochi minuti un dialer è capace di farti arrivarer una bolletta di centinaia di euro.

Ti consiglio anche di montare un anti dialer che trovi nella sezione download.

Ciao.

di **DevilAngel** » 18/03/06 14:00

asp.. non mi abbandonare.. spiegami un pò di cose. prima di tutto: i dialer sarebbero? e poi x far in modo ke la mia bolletta non aumenti vertiginosamente non devo stare attenta solo a non aprire nuove connessioni sconosciute? o possono fregarmi anke in altri modi?
non sono molto pratica da quanto avrai capito.. ora faccio quel ke mi hai detto con HijackThis e vediamo..grazie mille. proverò a scaricare anke quei download ke mi hai consigliato (anke se nn so cosa sono :roll:

)

grazie mille

di **Pao1o** » 18/03/06 14:14

aspetto, gentile fanciulla.

I dialer sono le bestie nere che assalgono i navigatori meno esperti.
Con mille trucchi, a volte ti si aprono delle finestre e tu cliccando sulla x che pensi la chiuda, ti installi un dialer.

In poche parole sono dei programmini che ti cambiano la connessione a volte in modo automatico, facendoti collegare, invece che al tuo solito provider ad un numero a valore aggiunto (tipo 899 o quegli altri che vanno di moda) e spendendo anche 20 euro al minuto.

Oppure si connettono a un cellulare internazionale.

Ti consiglio di telefonare a telecom e disabilitare gli 899.

Devi stare sempre attenta che la connessione sia quella del tuo provider.

Soprattutto non cliccare MAI nessuna finestra che si apre.

Semmai chiuderla dalla barra dagli strumenti in basso o addirittura da task manager.

Infine scansione periodica con adaware e spybot e hijack.

Monta un buon firewall ed evita tutti i siti tipo sesso e cartoline e screen saver.

Soprattutto attenzione.

Molta attenzione.

Ciao.

di **DevilAngel** » 18/03/06 14:21

ok grazie mille. sei stato kiarissimo. finora utilizzavo ANTIVIR.. ma ora lo disinstallerò e metterò quelli ke mi hai consigliato.

ti posto quel ke mi è rimasto (c è il file services.exe ke mi dà problemi e ke nn si cancella!!)

Logfile of HijackThis v1.99.1
Scan saved at 14.19.26, on 18/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RDSHOST.exe
C:\WINDOWS\system32\sessmgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmi\KiddiesBarre\KiddiesBarre.exe
C:\PROGRA~1\EUROBA~1\erobar.exe
C:\Documents and Settings\De Paolis\Documenti\KitBar2.00.exe
C:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\Documents and Settings\De Paolis\Desktop\HIJACKTHIS\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [DSLAGENTEXE] DSLAGENT.EXE USB
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Eurobarre.lnk = C:\Programmi\eurobarre\eb.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0628400218
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

-----------------------------------------------

tutto il resto sembra ok dall analisi automatica. c è solo il services.exe ke nn si cancella. come faccio??

kiamerò anke la telecom x disattivare quei numeri. grazie mille d nuovo!!!

di **Dylan666** » 18/03/06 14:42

1) due utili guide su cosa sono i dialer e come si combattono:

http://www.pc-facile.com/combattere_spyware_t111274/

http://www.pc-facile.com/guida_hijackthis_t148946/

2) sposto nella sezione giusta

3) con HijackThis leva questo:

O4 - Startup: Eurobarre.lnk = C:\Programmi\eurobarre\eb.exe

4) da modalità provvisoria cancella questi file: erobar.exe KiddiesBarre.exe

5) sempre da modalità provvisoria dai una passata di antivirusa (prima aggiornalo)

di **DevilAngel** » 18/03/06 14:49

eurobarre e kkiddiesbarre sono sicuri xkè li uso da tanto tempo e conosco molte altre persone ke ne fanno uso, non sn qst due applicazioni ke mi danno problema ma il serivices.exe ke mi collega ad un sito porno del cavolo!!

di **Mikizo** » 18/03/06 14:50

DevilAngel ha scritto:eurobarre e kkiddiesbarre sono sicuri

ne sei proprio certa? :mmmh:

di **Dylan666** » 18/03/06 15:03

Se sei sicura al 100% che C:\WINDOWS\SERVICES.EXE è il problema e NON è roba di Windows (una occhiata alle proprietà e lo capisci subito) vai in modalità provvisoria e cancella il file

Il problema è che guardando il log quel file non ha chiavi di avvio... quindi è messo in moto da qualche altro programma, e gli unici tre EXE che l'analizzatore di log mi suggerisce come sospetti sono:

O4 - Startup: Eurobarre.lnk = C:\Programmi\eurobarre\eb.exe
C:\Programmi\KiddiesBarre\KiddiesBarre.exe
C:\PROGRA~1\EUROBA~1\erobar.exe

A queste si aggiunga RDSHOST.exe che però ha avuto voti positivi dagli uenti (pare roba Microsoft)

di **DevilAngel** » 18/03/06 15:18

ok, però questi programmi li uso da tanto e sono usati anke da molte altre persone ke non han problemi simili.
ho provato dalla modalità provvisoria a cancellare il services.exe ma niente, ritorna sempre.

di **Pao1o** » 18/03/06 15:32

Per il services. exe prova qui

http://virus.html.it/virus/cat_3/virus_23/netsky.b.html

Ma attenta a disattivarlo con hijack: è anche un processo di windows.

A me non convincono neanche quelli di cui sei sicura che ti ha consigliato Dylan.

di **fabrizius** » 18/03/06 15:35

Ciao,
per services.exe questo tool dovrebbe eliminarlo tranquillamente:http://vil.nai.com/vil/stinger/

dai anche un occhiata qui

di **Pao1o** » 18/03/06 15:36

Guarda anche

clicca qui

di **DevilAngel** » 18/03/06 15:47

ok ragazzi, grazie 1000. ho visto tutti i link ke mi avete mandato.. ora sto facendo una scansione con system da uno d quelli ke mi avete postato: vediamo un pò! speriam ke si aggiusti!!

cmq grazie tante a tutti, siete stati molto gentili e soprattutto molto pazienti con me!!

:roll:

eh eh

cia ciao!!!

Problema: "TR/Dialer"

Problema: "TR/Dialer"

Topic correlati a "Problema: "TR/Dialer"":

Chi c’è in linea