Condividi:        

dialer super bastardo...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

dialer super bastardo...

Postdi rikodj » 14/04/05 14:19

ciao , purtroppo ho sbagliato a cliccare e mi ritrovo con un dialer rompiscatole veramente da http://www.sfondissimi.net .
praticamente chi ci guadagna e' il sig. 1746; naturalmente non esistono uninstaller.

ora accedo al registro in mod provvisoria, cerco nel registro e levo qualsiasi cosa riguardante "sfondissimi" , riguardante "1746" e un . exe chiamato "italydldl1.exe, cancello tutte i file sul computer con gli stessi nomi....

computer lindo al riavvio normale, il tempo di collegarmi in internet che mi ritrovo tutto installato. ora dove trovo questo file che permette il download di qualcosa che mi si installa nel computer???
grazie
DESKTOP:amd 2000+ ; atx 333; 512 mb ddr 333; win me adsl alice 640 kb; PORTATILE: Packard Bell e1266, amd athlon 2600+; 256 mb ram ddr 266; win xp home;
rikodj
Utente Senior
 
Post: 309
Iscritto il: 03/09/01 01:00
Località: sanremo

Sponsor
 

Postdi LUPO21 » 14/04/05 14:34

Ti coonsiglio di andare sull'icona di Ie sul desk e poi vedere nelle connessioni se ce ne sono di strane,poi leggi qui e scarica questo prog
http://www.pc-facile.com/guida_hijackthis_t148946/
Poi facci sapere!
LA VITA E' COME UNA PARTITA DI CALCIO: SI RICORDA CHI HA FATTO IL GOL NON CHI HA FATTO L'ASSIST!
LUPO21
Utente Senior
 
Post: 1145
Iscritto il: 03/01/05 17:45
Località: Castelli Romani

Postdi rikodj » 14/04/05 15:17

grazie, il prog ha funzionato bene, mi ha fatto trovare che cosa veniva caricato nel win ini...
interessante...
grazie!!!
DESKTOP:amd 2000+ ; atx 333; 512 mb ddr 333; win me adsl alice 640 kb; PORTATILE: Packard Bell e1266, amd athlon 2600+; 256 mb ram ddr 266; win xp home;
rikodj
Utente Senior
 
Post: 309
Iscritto il: 03/09/01 01:00
Località: sanremo

Postdi Dylan666 » 14/04/05 15:42

troverai interessante pure questo allora:
http://www.pc-facile.com/combattere_spyware_t111274/
Avatar utente
Dylan666
Moderatore
 
Post: 40105
Iscritto il: 18/11/03 16:46

Postdi rikodj » 14/04/05 19:54

ciao, in realtà ho esultato troppo presto...

allora ho levato quasi tutto, tranne un valore che nonostante lo elimino - sia nel registro che con l'hijack- , riappare subito ed e' in local machine_run si chiama etbrun e il valore e' c:\windows\system32\elitepmm32.exe (tra i nomi di questo virus c'era la elitebar). il problema e' che questo file non c'e' nella posizione indicata , nemmeno mostrando tutti i file nascosti

e praticamente succede che appena mi collego in internet, tempo un minuto tutto viene reinstallato (i vari collegamenti in tutti i menu, i pop up, il tentativo di dialer ecc ecc ecc....)

cosa fare? e poi volevo chiedere come poter entrare nella scheda dove si gestisce il boot e c'e' anche il win.ini se non erro, tutto cio' che viene caricato all'avvio...
grazie
DESKTOP:amd 2000+ ; atx 333; 512 mb ddr 333; win me adsl alice 640 kb; PORTATILE: Packard Bell e1266, amd athlon 2600+; 256 mb ram ddr 266; win xp home;
rikodj
Utente Senior
 
Post: 309
Iscritto il: 03/09/01 01:00
Località: sanremo

Postdi Dylan666 » 14/04/05 20:48

Le voci di Win.ini si vedono con MSCONFIG (scrivi il comando in Start > Esegui).

Per il tuo problema trascrivi qui il log di HijackThis
Avatar utente
Dylan666
Moderatore
 
Post: 40105
Iscritto il: 18/11/03 16:46

Postdi rikodj » 15/04/05 08:14

Logfile of HijackThis v1.99.1
Scan saved at 9.13.14, on 15/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WFXSVC.EXE
C:\WINDOWS\System32\STDSB.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Symantec\WinFax\WFXMOD32.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\wfxsnt40.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\msnmessag.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Software Bluetooth\BTTray.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\SOFTWA~1\BTSTAC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Intuwave\Shared\MROUTE~1\MROUTE~2.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\WINDOWS\slrundll.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Riccardo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sfondissimi.net?1746
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\it.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... earch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\System32\STDSB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MSN Messages] msnmessag.exe
O4 - HKLM\..\Run: [Services] C:\windows.exe
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitepmm32.exe
O4 - HKLM\..\RunServices: [MSN Messages] msnmessag.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSN Messages] msnmessag.exe
O4 - HKCU\..\RunServices: [MSN Messages] msnmessag.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programmi\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programmi\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programmi\Yahoo!\Common/ycdict.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.sfondissimi.net
O15 - Trusted Zone: http://www.skymasters.biz
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{131D4D25-26E1-4BD9-9CF6-DC596C014241}: NameServer = 1.1.202.120,1.1.202.121
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF4078C1-92CA-4B5F-93EE-DD59BA871CC8}: NameServer = 83.224.65.134 83.224.65.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{131D4D25-26E1-4BD9-9CF6-DC596C014241}: NameServer = 1.1.202.120,1.1.202.121
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Software Bluetooth\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\System32\WFXSVC.EXE


grazie
DESKTOP:amd 2000+ ; atx 333; 512 mb ddr 333; win me adsl alice 640 kb; PORTATILE: Packard Bell e1266, amd athlon 2600+; 256 mb ram ddr 266; win xp home;
rikodj
Utente Senior
 
Post: 309
Iscritto il: 03/09/01 01:00
Località: sanremo

Postdi dado » 15/04/05 11:35

Elimina (fixa) queste voci:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sfondissimi.net?1746

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\it.htm

X le altre voci sospette:
STDSB.EXE = Scrollbar driver for notebooks. If it's taken out of the Startup, it will not provide scrolling. Quindi niente di nocivo.

O4 - HKLM\..\Run: [ClickMe] C:\apps\ClickMe\ClickMe.exe
Probabile trojan:
http://www3.ca.com/securityadvisor/pest ... =453072659

Da eliminare questa voce e dare una passata con lo stinger.

O4 - HKLM\..\Run: [Services] C:\windows.exe
Altro virus, da eliminare...
http://www.liutilities.com/products/win ... y/windows/

Non ne sono certo, ma credo che anche tutte le voci relative a msnmessag.exe siano porcate e quindi da eliminare.

Poi c'è una sfilza di indirizzi di siti 'sporchi' che ti piazzato schifezze, da eliminare:
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.sfondissimi.net
O15 - Trusted Zone: http://www.skymasters.biz


Detta in parole povere: hai più schifezze che processi comuni... :x

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi rikodj » 15/04/05 13:00

tranne il windows.exe (sei sicuro??) le altre le avevo gia' eliminate , ma reinstallandosi il tutto ogni volta provoca questo....

apps/it sono file della packard bell.... pero' li levo tanto non servono...

e il file eliteppm.exe che mi dici??? ogni volta che lo levo si rimette da solo... e' un file fondamentale??

il problema e' che appena parto con internet si reinstalla il tutto...

grazie ancora
DESKTOP:amd 2000+ ; atx 333; 512 mb ddr 333; win me adsl alice 640 kb; PORTATILE: Packard Bell e1266, amd athlon 2600+; 256 mb ram ddr 266; win xp home;
rikodj
Utente Senior
 
Post: 309
Iscritto il: 03/09/01 01:00
Località: sanremo

Postdi dado » 15/04/05 13:32

rikodj ha scritto:tranne il windows.exe (sei sicuro??) le altre le avevo gia' eliminate , ma reinstallandosi il tutto ogni volta provoca questo....


Sicuro. Non c'è un file di windows con quel nome. Inoltre google lo conferma...

e il file eliteppm.exe che mi dici??? ogni volta che lo levo si rimette da solo... e' un file fondamentale??


Su google non trovo nulla...

il problema e' che appena parto con internet si reinstalla il tutto...


Ma oltre ad hijackthis, hai provato a fare pulizia anche con spy-bot, ad-aware e cwshredder?

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi rikodj » 20/04/05 12:39

allora il dialer in questione si trova in rete cercando http://www.masterbiz69.net o http://www.sfondissimi.net con relative istruzioni di disinstallazione e riomzione ecc ecc.... tutti confermano cmq che e' davvero un dialer very strong....

grazie a tutti!!
a presto
DESKTOP:amd 2000+ ; atx 333; 512 mb ddr 333; win me adsl alice 640 kb; PORTATILE: Packard Bell e1266, amd athlon 2600+; 256 mb ram ddr 266; win xp home;
rikodj
Utente Senior
 
Post: 309
Iscritto il: 03/09/01 01:00
Località: sanremo

Postdi Dylan666 » 20/04/05 12:41

rikodj ha scritto:con relative istruzioni di disinstallazione e riomzione ecc ecc....


Lasciaci uno di quei link magari ;)
Avatar utente
Dylan666
Moderatore
 
Post: 40105
Iscritto il: 18/11/03 16:46

Postdi rikodj » 20/04/05 13:23

DESKTOP:amd 2000+ ; atx 333; 512 mb ddr 333; win me adsl alice 640 kb; PORTATILE: Packard Bell e1266, amd athlon 2600+; 256 mb ram ddr 266; win xp home;
rikodj
Utente Senior
 
Post: 309
Iscritto il: 03/09/01 01:00
Località: sanremo

Postdi piercing » 20/04/05 14:13

rikodj ha scritto:Logfile of HijackThis v1.99.1
Scan saved at 9.13.14, on 15/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


quanto vuoi aspettare prima di riprendertelo?
aggiorna il sistema!!!!
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Dylan666 » 20/04/05 14:22

Metti anche la Java Machine della SUN ;)
http://www.java.com/it/download/windows_automatic.jsp
Avatar utente
Dylan666
Moderatore
 
Post: 40105
Iscritto il: 18/11/03 16:46

Postdi rikodj » 20/04/05 23:01

l'sp2 non lo voglio!!! ehehehehh
il resto provvedero'.... ma a che pro???
DESKTOP:amd 2000+ ; atx 333; 512 mb ddr 333; win me adsl alice 640 kb; PORTATILE: Packard Bell e1266, amd athlon 2600+; 256 mb ram ddr 266; win xp home;
rikodj
Utente Senior
 
Post: 309
Iscritto il: 03/09/01 01:00
Località: sanremo

Postdi Dylan666 » 21/04/05 04:50

Continua a non aggiornare e continuerai ad avere problemi, poi fai come vuoi ;)

Intanto sul mio PC non ci sono malware e sul tuo sì
Avatar utente
Dylan666
Moderatore
 
Post: 40105
Iscritto il: 18/11/03 16:46

Postdi rikodj » 21/04/05 11:02

si e' vero, anche se devo dire che non sono l'unico a pensare che il sp2 sia - per ora- troppo "protettivo" e che quindi richieda uno sbattimento maggiore per utilizzare il computer nello stesso modo in cui lo si utilizzava prima dell'installazione del sp2.

per quanto riguarda i miei malware, purtroppo e' stata colpa mia che ho cliccato male e non delle falle del mio sistema....

cmq seguiro' il consiglio....

grazie ancora a tutti per il prezioso e sempre valido aiuto!
a presto
DESKTOP:amd 2000+ ; atx 333; 512 mb ddr 333; win me adsl alice 640 kb; PORTATILE: Packard Bell e1266, amd athlon 2600+; 256 mb ram ddr 266; win xp home;
rikodj
Utente Senior
 
Post: 309
Iscritto il: 03/09/01 01:00
Località: sanremo

Postdi Mikizo » 21/04/05 11:05

rikodj ha scritto: devo dire che non sono l'unico a pensare che il sp2 sia - per ora- troppo "protettivo" e che quindi richieda uno sbattimento maggiore per utilizzare il computer nello stesso modo in cui lo si utilizzava prima dell'installazione del sp2

Mah, ognuno pensa ciò che vuole, anche che gli asini volano volendo, ma lo "sbattimento" in più consiste giusto nella disattivazione del firewall e di qualche controllo automatico, il che si fa in pochi minuti, dopodichè il sistema operativo diventa uguale a prima.
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi Dylan666 » 21/04/05 13:37

Concordo, installa il sp2 e configuratelo, non ci vuole nulla, si fa tutto da uno apposito pannello a cui si accede cliccando sullo scudo rosso vicino all'orologio.
Avatar utente
Dylan666
Moderatore
 
Post: 40105
Iscritto il: 18/11/03 16:46


Torna a Sicurezza e Privacy


Topic correlati a "dialer super bastardo...":

Super optimezer e vari
Autore: eleivga
Forum: Sicurezza e Privacy
Risposte: 14

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti