www.MegaLab.it

[domenico127]

Ho eliminato le due connessioni in più da Opzioni Internet ---> Connessioni (adesso ce ne sono tre: quella che utilizzo, quindi Alice, connessione predefinita e connessione remota). Dopo che le ho eliminate ho notato che in AntiDialer comparivano gli stessi 4 numeri di prima, così senza modificare quel file, l'ho reinstallato e in effetti due numeri non ci sono più. Sono rimasti il comune 8,35 e quello di cui stiamo parlando.

[crazy.cat]

Prova a fare la scansione di hijackthis, forse ti hanno cacciato dentro un plugin per Ie e forse da quella si riesce a vedere.

[domenico127]

Ops... scusami crazy.cat, mi sono dimenticato di postarlo nel post precedente. Eccolo:

Codice: Seleziona tutto

Logfile of HijackThis v1.99.1
Scan saved at 18.00.45, on 28/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Yahoo!\Messenger\ypager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Shareaza\Shareaza.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\MSN Toolbar Suite\DS\02.05.0000.1082\it-it\bin\WindowsSearch.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0000.1082\it-it\bin\WindowsSearchIndexer.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\File comuni\Vbox\Common\vboxm.dll
C:\WINDOWS\system32\RUNDLL32.exe
C:\WINDOWS\system32\RUNDLL32.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Domenico\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.MegaLab.it/forum
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programmi\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programmi\Softwin\BitDefender8\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programmi\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Shareaza] "C:\Programmi\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\MSN Toolbar Suite\DS\02.05.0000.1082\it-it\bin\WindowsSearch.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll/search.htm
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0000.1110\it-it\msntabres.dll/230?33e29c3190324bb58765bad65780d74d
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0000.1110\it-it\msntabres.dll/229?33e29c3190324bb58765bad65780d74d
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B402DBB3-BBBB-45FB-B131-788AEDFBA735}: NameServer = 85.37.17.50 151.99.125.1
O23 - Service: bdss - Broadcom Corporation - (no file)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\WM\MySQL-4.0.22\bin\mysqld-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe



P.S. Il primo "023" non sono riuscito ad eliminarlo!![/b]

[crazy.cat]

I 023 sono dei servizi di windows, devi andare in pannello di controllo, strumenti amministrazione, servizi e cercare nella lista il tuo e disabilitarlo.

MySQL sono delle cose legate a gestione di archivi in reti aziendali, non è che lo usi per lavoro?

L'unica voce inutile e da eliminare e quest'altro servizio
O23 - Service: bdss - Broadcom Corporation - (no file)

non si vede niente nel log, non saprei che altro dirti dove andare a pescare quel numero di telefono

[domenico127]

P.S. Il primo "023" non sono riuscito ad eliminarlo!!

L'unica voce inutile e da eliminare e quest'altro servizio
O23 - Service: bdss - Broadcom Corporation - (no file)

Mi riferivo a quello....


Per quanto riguarda MySql... è un database generalmente di supporto al php... comunque non lo utilizzo personalmente, nè tantomeno in azienda... ho 14 anni!!!!

[crazy.cat]

Avevo guardato male io.
Non lo trovi nei servizi dove ti ho indicato?

[domenico127]

Ecco. Potrebbe essere quello evidenziato:

[crazy.cat]

Forse no.

Codice: Seleziona tutto

BitDefender Scan Server   L   bdss.exe   Related to Bitdefender antivirus

[domenico127]

Allora? Se non è quello che ti ho indicato??

[crazy.cat]

Prova a postare lo screen di tutto l'elenco.
Cerca però di tagliarlo in modo che mostri solo il nome e la descrizione, il resto non interessa.

[domenico127]

Eh, ne dovrei fari più di uno... e poi la descrizione non entra tutta... farò il possibile!

[crazy.cat]

Prova intanto a telefonare al 187 e gli chiedi se risultano telefonate a quel numero che hai indicato, in modo da capire se lo usi o lo hai mai usato.
Loro possono vedere tutto quanto.

[Arindal]

Ho letto attentissimamente l'articolo su Winmovieplugin cercando di fare tutto pedissequamente quanto riportato....ma non essendo un'esperta smanettona in materia di pc non sono certa di aver ripulito del tutto la mia macchina...

alcune premesse:
- ho una connessione adsl Alice
- sono collegata alla borchia tramite un router/firewall e non attraverso il modem di Alice

mio padre stava guardando il sito www.kakkiate.com (lo segnalo per avvertire gli scaricatori freeware più incauti, se dovesse essere considerata pubblicità, editerò immediatamente il post) quando ad un certo punto ha cliccato non so dove, facendomi trovare poi una sorpresina sul desktop...

Ho lanciato Norton, e Spybot....ma senza risultati apparenti
ho provveduto a cancellare manualmente tutte le icone sarse ovunque
e tramite hijack ho ripristinato la mia vecchia pagina iniziale..

ecco le mie domande:
mio padre dice di aver provato ad aprire il fimato (un .mpeg e non un exe), che gli ha dato errore e non si è aperto. secondo voi abbiamo pagato?

io ho doppiocliccato sull'icona del desk, e mi è comparso quel messaggio di pagamento che ho provveduto a togliere con l'alt+F4, e non capendo che cosa fosse quella roba ho doppiocliccato anche sull'icona del explorer che mi ha aperto una pagina con 3 immagini porno....ho pagato verò?

la casella di connessioni remote dentro "opzioni internet" era stata flaggata per essere bloccata, e l'ho trovata vuota di altre connessioni

attraverso la funzione "cerca" ho provveduto ad eliminare tutti i collegamenti e gli eseguibili di winmovieplugin...

posso considerarmi salva?
sto preparando la tesi e ho bisogno di un pc perfetamente funzionante

vi ringrazio molto per le preziose informazioni che ho potuto leggere in questo topic e nell'articolo.
mi scuso davvero per la mia niubbaggine e ringrazio anticipatamente chiunque possa rassicurarmi in materia di sicurezza ripristinata del mio pc, o sul fatto o meno di dover pagare una bolletta supersalata.

un'ultima cosa......mannaggia a papà
saluti
Arindal

[crazy.cat]

X Arindal
Direi che non hai pagato niente, usando la linea adsl i dialer non possono attaccarti.
Se vuoi stare più tranquilla, puoi chiamare il 187 e chiedere che ti facciano un controllo delle telefonate fatte nell'ultimo periodo.
Se vuoi essere più tranquilla sulla pulizia del computer, puoi mandare qui il log della scansione di Hijackthis e poi vediamo se sono rimaste delle cose strane.
Il programma lo trovi allegato a questo articolo
http://www.MegaLab.it/2286

Benvenuta e facci sapere

[domenico127]

Arindal, non puoi aprire un'altro topic dato che questo è ancora attivo nei miei riguardi, e si finirebbe per fare confusione?? Grazie.

crazy.cat, rieccoci!! Immagino che anche a te ogni volta che entri in questo yopic esca il fumo dalle orecchie dato che ti sto "tormentando". Scusami.

Comunque... ho fatto i vari screens, ma al solo pensiero che devo chiamare il 187 mi viene da mettermi le mani ai capelli. Piuttosto mi tengo il dialer.



http://www.domenico127.altervista.org/primo.jpg
http://www.domenico127.altervista.org/secondo.jpg
http://www.domenico127.altervista.org/terzo.jpg

P.S. Io non li ho ancora controllati.

[crazy.cat]

Arindal, non puoi aprire un'altro topic dato che questo è ancora attivo nei miei riguardi, e si finirebbe per fare confusione??

Visto che il problema è lo stesso ha fatto bene ad unirlo, al limite lo separo il più tardi se ci saranno problemi.
Adesso guardo le immagini a parte perché non si visualizzano nella discussione e poi ti rispondo.
La soluzione migliore è di chiamare il 187, solo loro possono controllare se ci sono chiamate a numeri a pagamento.

Si vede solo il sevizio Mysql, l'altro no.
Non so che dirti.

[domenico127]

e cosa devo fare con il MySql??

[crazy.cat]

e cosa devo fare con il MySql??

Niente, troppe risposte date contemporaneamente, mi fanno fare confusione.

[domenico127]

Non capisco. Se ho sbagliato ti chiedo scusa

[crazy.cat]

No, non hai sbagliato tu.
Nel momento che ti stavo rispondendo, qui al lavoro mi stavano rompendo le scatole, ho visto il Mysql e solo dopo mi è tornato in mente che non era quello il tuo problema vero.

Cerca anche nel registro di configurazione di windows se trovi quel numero di telefono.
Dopo la telefonata al 187 la farei lo stesso.