Home News Guide Hardware Download Forum Glossario

Condividi:        

dialer

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Regole del forum
Rispondi al post

dialer

Postdi makv83 » 09/09/07 16:42

salve ragazzi

al momento ho un problemino con vari dialer che mi entrano inesorabilmente ogni volta che mi connetto ad internet.ho installato a squared anti dialer che almeno me li blocca,ma se li cancello dopo un certo tempo,tipo un ora,me ne entrano degli altri uguali.In particolare c'è sempre questo file kd678.exe che mi entra in c:\programmi e in c:\documents and settings\(nome utente)\temp
e il file temp77726.exe nella stessa cartella,oltre ad altri file del tipo 1189258716.dat.exe...attualmente ce li ho in quarantena visto che se li cancello rientrano sempre....

ho notato inoltre che tutte le volte che accendo il pc,se vado a vedere in task manager mi compare tra le applicazioni in esecuzione una fantomatica connessione remota,anche se non mi sto connettendo ad internet,che mi scompare dopo qualche minuto,mentre tra i processi ci sono sempre uno o due IEXPLORE.EXE attivi,anche se io non ho nessuna pagina di internet explorer aperta (anche perchè uso firefox)

mi sembra logico che mi sono preso qualche malware che si è rintanato da qualche parte,ma nn riesco proprio a scovarlo visto che con AVG e AVG anti spyware con la scansione non mi trova mai niente,e nel task manager non riesco mai ad individuare processi sospetti in atto (sembra tutto nella norma)

potreste aiutarmi a eliminare il problema?
makv83
Utente Junior
 
Post: 35
Iscritto il: 29/08/07 11:48
Top
Sponsor
 

Postdi makv83 » 09/09/07 17:04

ed ecco cosa ho trovato facendo la scansione con hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.00.52, on 09/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sstray.exe
C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\a-squared Anti-Dialer\a2service.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
c:\programmi\internet explorer\iexplore.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\a-squared Anti-Dialer\a2antidialer.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Documents and Settings\marco\Desktop\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\googletoolbar1.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe" /d=60
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{6345B1D8-A655-4BB2-95AD-0F7FC1DB9293}: NameServer = 85.37.17.52 85.38.28.92
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: cam - {634be415-da12-496b-b89e-329b73c4807f} - (no file)
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Dialer\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 6730 bytes




credo che il problema siano i whataboutdog e rabbit...che devo fare a questo punto?
makv83
Utente Junior
 
Post: 35
Iscritto il: 29/08/07 11:48
Top

Postdi Luke57 » 09/09/07 18:08

Ciao, scarica findawf e vediamo il suo log

http://noahdfear.geekstogo.com/FindAWF.exe

dopo averlo avviato, scegli l'opzione 1 per avviare lo scan.
Posta il report generato dalla scansione.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10
Top

Postdi makv83 » 09/09/07 18:35

ecco qua,scusate il ritardo


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6CE8-7375

Directory di C:\WINDOWS\SYSTEM32\BAK

30/08/2004 22.00 15.360 ctfmon.exe
19/07/2005 18.32 221.184 LVCOMSX.EXE
2 File 236.544 byte
2 Directory 52.389.756.928 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6CE8-7375

Directory di C:\PROGRA~1\GRISOFT\AVGFRE~1\BAK

17/08/2007 15.52 416.256 avgcc.exe
1 File 416.256 byte
2 Directory 52.389.756.928 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6CE8-7375

Directory di C:\PROGRA~1\LOGITECH\VIDEO\BAK

08/06/2005 16.24 458.752 ISStart.exe
08/06/2005 16.14 217.088 LogiTray.exe
08/06/2005 15.44 196.608 ManifestEngine.exe
3 File 872.448 byte
2 Directory 52.389.752.832 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6CE8-7375

Directory di C:\PROGRA~1\ADOBE\READER~1.0\READER\BAK

11/05/2007 03.06 40.048 Reader_sl.exe
1 File 40.048 byte
2 Directory 52.389.752.832 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6CE8-7375

Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK

12/01/2006 16.40 155.648 NeroCheck.exe
16/11/2006 20.04 139.264 NMBgMonitor.exe
2 File 294.912 byte
2 Directory 52.389.752.832 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6CE8-7375

Directory di C:\PROGRA~1\JAVA\JRE16~2.0_0\BIN\BAK

12/07/2007 04.00 132.496 jusched.exe
1 File 132.496 byte
2 Directory 52.389.752.832 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 30 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 30 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
24080 21 Aug 2007 "C:\WINDOWS\system32\LVCOMSX.EXE"
221184 19 Jul 2005 "C:\WINDOWS\system32\bak\LVCOMSX.EXE"
416256 22 Aug 2007 "C:\Programmi\Grisoft\AVG7\avgcc.exe"
416256 17 Aug 2007 "C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe"
24080 21 Aug 2007 "C:\Programmi\Logitech\Video\ISStart.exe"
458752 8 Jun 2005 "C:\Programmi\Logitech\Video\bak\ISStart.exe"
24080 21 Aug 2007 "C:\Programmi\Logitech\Video\LogiTray.exe"
217088 8 Jun 2005 "C:\Programmi\Logitech\Video\bak\LogiTray.exe"
24080 21 Aug 2007 "C:\Programmi\Logitech\Video\ManifestEngine.exe"
196608 8 Jun 2005 "C:\Programmi\Logitech\Video\bak\ManifestEngine.exe"
24080 21 Aug 2007 "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
40048 11 May 2007 "C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe"
24080 21 Aug 2007 "C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe"
155648 12 Jan 2006 "C:\Programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe"
24080 21 Aug 2007 "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
139264 16 Nov 2006 "C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe"
49263 9 Nov 2006 "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
75520 15 Dec 2006 "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
83608 14 Mar 2007 "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
24080 21 Aug 2007 "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
132496 12 Jul 2007 "C:\Programmi\Java\jre1.6.0_02\bin\bak\jusched.exe"


end of report
makv83
Utente Junior
 
Post: 35
Iscritto il: 29/08/07 11:48
Top

Postdi makv83 » 10/09/07 14:40

niente di strano?
makv83
Utente Junior
 
Post: 35
Iscritto il: 29/08/07 11:48
Top

Postdi Luke57 » 10/09/07 15:57

makv83 ha scritto:niente di strano?

Ciao, il malware sostituisce i file legittimi dei processi d'avvio con proprie copie infette.

Scarica The Avenger
http://swandog46.geekstogo.com/avenger.zip


Poi avvia il file Avenger.exe.
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno dello spazio bianco copia ed incolla questo script:

files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\LVCOMSX.EXE | C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe | C:\Programmi\Grisoft\AVG Free\avgcc.exe
C:\Programmi\Logitech\Video\bak\ISStart.exe | C:\Programmi\Logitech\Video\ISStart.exe
C:\Programmi\Logitech\Video\bak\LogiTray.exe | C:\Programmi\Logitech\Video\LogiTray.exe
C:\Programmi\Logitech\Video\bak\ManifestEngine.exe | C:\Programmi\Logitech\Video\ManifestEngine.exe
C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe | C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe | C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe | C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\Java\jre1.6.0_02\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe



Clicca sul pulsante Done
Adesso clicca sul semaforo con la luce verde
Rispondi Yes 2 volte
Il pc si dovrebbe riavviare,se non si riavvia,riavvialo manualmente

Al riavvio collegati e allega il file C:\Avenger.txt

Poi scarica deldomains da qui:
http://www.mvps.org/winhelp2002/DelDomains.inf
lo metti sul desktop, click tasto dx sul file .inf e scegli Installa (fa tutto da sè).
Distalla la versione 5.0.10 della java e lascia solo l'ultima
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10
Top

Postdi makv83 » 10/09/07 16:24

ho terminato la prima parte...dico subito che il problema degli IEXPLORE e della connessione remota è scomparso...

allego il testo di avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\udoomfbm

*******************

Script file located at: \??\C:\WINDOWS\hhxmikjv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\LVCOMSX.EXE|C:\WINDOWS\system32\LVCOMSX.EXE completed successfully.
File move operation C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe|C:\Programmi\Grisoft\AVG Free\avgcc.exe completed successfully.
File move operation C:\Programmi\Logitech\Video\bak\ISStart.exe|C:\Programmi\Logitech\Video\ISStart.exe completed successfully.
File move operation C:\Programmi\Logitech\Video\bak\LogiTray.exe|C:\Programmi\Logitech\Video\LogiTray.exe completed successfully.
File move operation C:\Programmi\Logitech\Video\bak\ManifestEngine.exe|C:\Programmi\Logitech\Video\ManifestEngine.exe completed successfully.
File move operation C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe|C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe completed successfully.
File move operation C:\Programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe|C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe completed successfully.
File move operation C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe|C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe completed successfully.
File move operation C:\Programmi\Java\jre1.6.0_02\bin\bak\jusched.exe|C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe completed successfully.

Completed script processing.

*******************

Finished! Terminate.
makv83
Utente Junior
 
Post: 35
Iscritto il: 29/08/07 11:48
Top

Postdi makv83 » 10/09/07 16:27

non ho capito però che devo fare nel link finale...mi appare una pagina di testo e non succede niente
makv83
Utente Junior
 
Post: 35
Iscritto il: 29/08/07 11:48
Top

Postdi makv83 » 10/09/07 16:34

apposto..il problema era che usavo firefox anzichè explorer....

grazie mille,il problema sembra risolto
makv83
Utente Junior
 
Post: 35
Iscritto il: 29/08/07 11:48
Top

Postdi makv83 » 11/09/07 18:54

ho notato che continuano a entrarmi i soliti dialer,nonostante è stato risolto il problema di whataboutrabit...a questo punto che posso fare?
makv83
Utente Junior
 
Post: 35
Iscritto il: 29/08/07 11:48
Top
Rispondi al post

Torna a Sicurezza e Privacy


Topic correlati a "dialer":

Dialer, virus vari
Autore: zena 		Forum: Sicurezza e Privacy
Risposte: 4
TR/Dialer.VXS.1 - cos'è?
Autore: catone il censore 		Forum: Sicurezza e Privacy
Risposte: 1
X LUKE 57-TROJAN WIN32.DIALER.GEN
Autore: thethunder 		Forum: Sicurezza e Privacy
Risposte: 2
Probabile dialer
Autore: prof2000 		Forum: Sicurezza e Privacy
Risposte: 5
Problema con WIN 32:Dialer-gen
Autore: inidab71 		Forum: Sicurezza e Privacy
Risposte: 2

Chi c’è in linea

Visitano il forum: Nessuno e 58 ospiti