anch’io vittima dei dialer, seppur protetto dal fatto che da poco possiedo la adsl alice. Coincidenza che sia capitato proprio da quando possiedo un servizio internet veloce? Grazie all'articolo di questo sito sui dialer.sfonditalia (MegaLab_it - Rimozione WinMoviePlugIn e Dialer_Sfonditalia) credo di aver ripulito il mio computer da questa immondizia. Ho però dei dubbi.
Andiamo con la prima difficoltà: l’avvio in modalità provvisoria di windows. Non sapendo come si fa vado sulla guida in linea di windows dove in realtà si spiega la procedura per windows 98 visto che le istruzioni non combaciano con quello che vedo io sul mio Windows XP:
Istruzioni:
1. Stampare le istruzioni prima di continuare. Esse non saranno disponibili dopo l'arresto del sistema, che verrà eseguito al passaggio 2.
2. Fare clic su Start, fare clic su Chiudi sessione e quindi selezionare Arresta il sistema nella casella di riepilogo a discesa.
3. Nella finestra di dialogo Fine della sessione di lavoro fare clic su Riavvia e quindi su OK.
4. Quando viene visualizzato il messaggio che richiede di selezionare il sistema operativo da avviare, premere F8.
5. Utilizzare i tasti di direzione per evidenziare l'opzione di modalità provvisoria appropriata e quindi premere INVIO.
6. Se si dispone di un sistema ad avvio doppio o ad avvio multiplo, scegliere l'installazione a cui si desidera accedere utilizzando i tasti di direzione e quindi premere INVIO.
Dal mio start si accede solo a Spegni computer con le tre diverse opzioni che conosciamo (Stand-by, Spegni, Riavvia).
Per cui sebbene nell’articolo che spiega le procedure per eliminare il dialer con Hijackthis si dica di avviare windows in modalità provvisoria in realtà ho proceduto in modalità standard. C’è alcuna differenza? e se sì mi spiegate come accedere a sta benedetta modalità provvisoria?
Secondo vi presento il mio log dopo l’eliminazione di alcune stringhe, cioè le solite tre 015 dei maledetti siti (archiviosex.net, ecc..) ed uno RO (www.skymasters). Magari mi dite se c'è qualcosa che rimasto da eliminare.
Logfile of HijackThis v1.99.1
Scan saved at 15.43.12, on 26/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Acer\Notebook Manager\almxptray.exe
C:\FlashEnc\FlashEnc.exe
C:\Programmi\USB Flash Disk Utility\UFD Utility\UFDMon.exe
C:\Programmi\USB Flash Disk Utility\UFD Utility\USBTD.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\PROGRA~1\Garzanti Linguistica\Italiano Clic\vb\ItaTray.exe
C:\WINDOWS\System32\sysmon.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\pc\Desktop\HijackThis.exe
C:\Programmi\Alice ti aiuta\bin\mad.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Logos Toolbar - {EF22CECC-F8B2-4A8D-95C9-68FE85E59215} - C:\Programmi\Logos Toolbar\logos_ie.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmi\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FlashEnc] c:\FlashEnc\FlashEnc.exe
O4 - HKLM\..\Run: [UFD Monitor] C:\Programmi\USB Flash Disk Utility\UFD Utility\UFDMon.exe
O4 - HKLM\..\Run: [UFD Utility] C:\Programmi\USB Flash Disk Utility\UFD Utility\USBTD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Italiano clic] C:\PROGRA~1\Garzanti Linguistica\Italiano Clic\vb\ItaTray.exe /w
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {CABDFEB1-FDBE-4DEF-96FD-38303F1C371D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {CABDFEB1-FDBE-4DEF-96FD-38303F1C371D} - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WPEServ - Unknown owner - C:\Programmi\File comuni\WPE\wpeserv.exe
Da premettere che i file dialer io li ho individuati grazie al Norton che mi segnalava due file: apihelp.chm e sysfind.exe o almeno credo siano questi, di fatto dopo la loro eliminazione i famosi sintomi di apparizione di icone e finestre di collegamento come quelle riportate nell’articolo sono scomparsi.
Dopo la scansione con Norton mi apparivano quattro file di questo tipo (due di ciascun tipo). Con elimina due sono andati via gli altri due mi diceva: Rimozione non riuscita. In realtà i file in questione non sono più nel mio computer di fatti sono assenti sia nel log che nella mia ricerca in C:
Vi riporto i risultati di Norton:
24/11/2005 19.35.31
Rilevazione virus,Dialer.Sfonditalia,Eliminazione non riuscita,File, Categoria minaccia:Connessione telefonicaOrigine: C:\Documents and Settings\pc\Impostazioni locali\Temp\apihelp.chm,Descrizione: Il file compresso apihelp.chm all'interno di C:\Documents and Settings\pc\Impostazioni locali\Temp\apihelp.chm è una minaccia Connessione telefonica."
24/11/2005 19.35.31,Rilevazione virus,Dialer.Sfonditalia,Eliminato manualmente,File,N/A,N/A,,Categoria minaccia:Connessione telefonicaOrigine: C:\Documents and Settings\pc\Impostazioni locali\Temp\apihelp.chm,Descrizione: Il file C:\Documents and Settings\pc\Impostazioni locali\Temp\apihelp.chm è una minaccia Connessione telefonica."
24/11/2005 19.35.31,Rilevazione virus,Dialer.Sfonditalia,Eliminazione non riuscita,File,N/A,N/A,,Categoria minaccia:Connessione telefonicaOrigine: C:\WINDOWS\system32\sysfind.exe,Descrizione: Il file compresso sysfind.exe all'interno di C:\WINDOWS\system32\sysfind.exe è una minaccia Connessione telefonica."
24/11/2005 19.35.31,Rilevazione virus,Dialer.Sfonditalia,Eliminato manualmente,File,N/A,N/A,,Categoria minaccia:Connessione telefonicaOrigine: C:\WINDOWS\system32\sysfind.exe,Descrizione: Il file C:\WINDOWS\system32\sysfind.exe è una minaccia Connessione telefonica."
23/11/2005 19.37.54,Rilevazione virus,Dialer.Sfonditalia,Non è stata eseguita alcuna operazione,File,N/A,N/A,Categoria minaccia:Connessione telefonicaOrigine: C:\WINDOWS\system32\sysfind.exe,Descrizione: Il file compresso sysfind.exe all'interno di C:\WINDOWS\system32\sysfind.exe è una minaccia Connessione telefonica."
23/11/2005 19.37.54,Rilevazione virus,Dialer.Sfonditalia,Non è stata eseguita alcuna operazione,File,Categoria minaccia:Connessione telefonicaOrigine: C:\WINDOWS\system32\sysfind.exe,Descrizione: Il file C:\WINDOWS\system32\sysfind.exe è una minaccia Connessione telefonica."
Spero che qualcuno riesca ad aiutarmi in questa lotta...davvero non ne posso più.
Piuttosto ditemi cosa fare e quello di cui ho bisogno oltre al Norton Antivirus per difendermi da queste bestie (Dialer, Trojan Horses, ecc.)
Grazie a tutti e complimenti a questo portale che ci aiuta a sopravvivere in questo mondo cosi bello (Internet) ma a quanto pare anche molto pericoloso.
Clau