aiuto contro presunto dialer

[rael64]

Premesso che ho una conoscenza del computer molto scarsa, vorrei sottoporvi un mio problema. Quando uso explorer mi capita che cada la connessione e mi riappare la finestra di accesso remoto che mi chiede di nuovo di riconnetermi. Se clicco connetti mi dice che è impossibile stabilire una connessione. Infatti tra le connessioni remote mi appare una nuova connessione che risulta "in corso". Questa nuova connessione che mi si è creata accanto alle due solite da me usate (Tele2 e Alice 1Cent) reca il nome "x" o addirittura ricalca quello di una delle altre due esistenti e , tra le proprietà ne riporta anche lo stesso numero. Se provo ad eliminare questa nuova connessione mi risponde che è impossibile eliminare una connessione attiva, anche se in quel momento non sono più connesso ad internet. Riesco a eliminarla soltanto dopo aver riavviato il computer. Per fortuna ho disattivato al 187 tutti i vari 144,166,899,709,zona 7 ecc.ecc, per cui non mi sono mai arrivate bollette anomale ma il tempo che si perde per tutto ciò è piuttosto seccante.
Antivir non segnala niente, ho provato i vari Spybot S&D (nulla di strano a parte il solito DSO Exploit), Ad Aware (che ogni tanto mi segnala la presenza di qualche cookie che elimino ma questo non risolve il problema), Stop Dialers (nulla di anomalo) e HijackThis che mi da il seguente risultato che, in quanto poco esperto non so come interpretare:

Logfile of HijackThis v1.98.2
Scan saved at 22.10.33, on 24/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\htpatch.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\sistray.EXE
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AVPersonal\AVSched32.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\wavdriver.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\Io\IMPOST~1\Temp\Directory temporanea 4 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.olidata.it
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\system32\DUAGqJII.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVSCHED32] C:\Programmi\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
O4 - HKLM\..\Run: [DigiD] "C:\WINDOWS\DigitalSound.exe"
O4 - HKLM\..\Run: [wavdriver] "C:\WINDOWS\wavdriver.exe"
O4 - HKLM\..\Run: [netcom] C:\WINDOWS\netcom.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.it
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/261ea779957 ... 601_it.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Naturalmente ho fatto un'analisi ma non so se eliminare o meno ciò che mi viene segnalato come sconosciuto o sospetto. Per questo chiedo un aiuto a voi nella speranza che abbiate avuto la pazienza di leggere tutto questo lunghissimo post e che possiate rispondermi con un linguaggio semplice da non addetto ai lavori, magari specificando passo passo il da farsi.
Grazie

[Dylan666]

http://www.pc-facile.com/guide.php?t=111274

http://www.pc-facile.com/guide.php?t=148946

Della seconda guida leggi del sito dal quale farti analizzare il log

[rael64]

Ho già fatto analizzare dal sito che è nella seconda guida, ma che faccio: cancello tutto che è sconosciuto o sospetto?

[Dylan666]

Ops, vedo che molte procedure le hai seguite: ma Ad-aware ecc. sono Aggiornati? Con HijackThis si va a tentativi invece, tanto esitono i backup. Prova anche a usare il Process Explorer pera capire quale programma crea la nuova connessione:

http://www.sysinternals.com/ntw2k/freew ... cexp.shtml

[rael64]

Si, i programmi sono aggiornati. Backup significa che anche eliminando qualcosa di utile si può comunque tornare indietro? Ma da cosa posso iniziare? Il risultato che ho postato non suggerisce niente? Dalle domande forse capirai che il codice binario lo capisco poco!

[Dylan666]

Sì se leggi la guida capirai che HijackThis si fa una copia di riettere a posto se quello che elimini non è quello che cercavi.

[rael64]

ma veramente dal log che ho incollato nel primo post nessuno riesce ad indirizzarmi sulla strada giusta, visto che quando ricerco con google mi appaiono risultati in inglese che non riesco ad interpretare? In fondo nella guida di HijackThis c'è scritto che,in caso di difficoltà, bisogna incollare il log su questo forum. Grazie

[Dylan666]

Molti nomi non li consco nemmeno io... ma nella guida c'è scritto chiaramente che si procede in modo empirico: elimini quello che non conosci, e se l'effetto indesiderato scompare allora hai fatto centro, altrimenti rimetti tutto com'eroa (ho spiegato lì come) e continui. Mi pare molto più veloce farlo che stare a elemosinare ricerche su goole che comunque danno risultati parziali (e se il malware si chiama pippo.exe te lo segnalo ma per te è normale averlo? O se trovo kazaa.exe ma tu kazaa non lo hai mai instalato ed è il malware che usa un nome celebre) Io che ne so?).

[rael64]

ok, ho capito. Il fatto è che il malfuzionamento non è continuo ma si verifica non più di una volta circa al giorno, in genere all'inizio della connessione ma non è detto, per cui procedendo a tentativi si può impiegare parecchio tempo per capire se si è trovato la soluzione giusta.
Da profano pensavo che ci fosse un metodo più rapido ma, comunque, grazie lo stesso Dylan per i preziosi aiuti.

[Dylan666]

Purtroppo un metodo più veloce non lo conosco. Se l'usare il Process Explorer per vedere che programma genera la connessione non ti è utile non ho molte altre idee a parte una simile a questa...