Dialer FDHLH

[casablan]

Salve a tutti.

Mi è capitato sotto mano un pc con win 98 nel quale si è insinuato il dialer in oggetto. L'unico segnale visibile della sua presenza appare in Accesso remoto come connessione dal nome FDHLH quando tenta di comporre i suoi numeri. Attualmente è tenuto sotto controllo con l'ottimo Stop dialers, ma lo si vorrebbe eliminare. Programmi free come Bazooka e Spybot non lo hanno rilevato, altri come A2antidialer non si installano nemmeno (dal pc infetto non è nemmeno possibile connettersi al sito). Hijackthis non funziona, come se qualcosa gli impedisse girare (ed anche in questo caso il sito è off-limits dal pc infetto). L'unica analisi del sistema è stata possibile con Hijackfree, per mezzo del quale si è potuto vedere che la directory c:\windows\tasks era piena di materiale sconosciuto, che è stato cancellato (ad esempio var, xhmyu, ed almeno un'altra cinquantina di altre cose simili).

Chiedo cortesemente qualche suggerimento.

Grazie in anticipo.

[casablan]

Salve, proprio nessuno ha idee su come procedere sul problema in oggetto?

Saluti

Salve a tutti.

Mi è capitato sotto mano un pc con win 98 nel quale si è insinuato il dialer in oggetto. L'unico segnale visibile della sua presenza appare in Accesso remoto come connessione dal nome FDHLH quando tenta di comporre i suoi numeri. Attualmente è tenuto sotto controllo con l'ottimo Stop dialers, ma lo si vorrebbe eliminare. Programmi free come Bazooka e Spybot non lo hanno rilevato, altri come A2antidialer non si installano nemmeno (dal pc infetto non è nemmeno possibile connettersi al sito). Hijackthis non funziona, come se qualcosa gli impedisse girare (ed anche in questo caso il sito è off-limits dal pc infetto). L'unica analisi del sistema è stata possibile con Hijackfree, per mezzo del quale si è potuto vedere che la directory c:\windows\tasks era piena di materiale sconosciuto, che è stato cancellato (ad esempio var, xhmyu, ed almeno un'altra cinquantina di altre cose simili).

Chiedo cortesemente qualche suggerimento.

Grazie in anticipo.

[Luke57]

Ciao, puoi fare questa verifica?
Apri il registro di sistema (start>esegui>regedit>OK)

Cliccando sul segno + accanto alle singole voci, segui questo percorso
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
verifica, tra le sottochiavi dell'ultima chiave, la presenza o meno di:
explorer.exe
se essa è presente, ci clicchi all'interno e riporti che cosa hai trovato.

Se non trovi la voce suddetta, fai un'altra giratina nel regedit, ma in questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, clicca su Winlogon e, all'interno, cerca la voce
userinit
riporata che cosa trovi alla sua destra (in genere la dicitura legittima è C:\windows\system32\userinit.exe,)

[casablan]

Ciao.

Ho verificato quanto mi hai suggerito. Nel registry non vi sono le chiavi Image File Execution Options e Winlogon.
Posso eseguire qualche altro controllo?

Grazie.