Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Dialer viscido

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Dialer viscido

Messaggioda katvin » mar gen 24, 2006 12:11 pm

Salve a tutti. Sono nuovo di questo forum e dei forum in generale. Può essere che commetta qualche errore postando... imparerò. Ho letto il regolamento e, prima di scrivere, ho cercato la soluzione al mio problema senza trovarla. Comunque dalle vostre risposte a post precedenti ho già cominciato ad apprendere qualcosa. Si tratta di questo: ho sventuratamente scaricato del software che mi ha infestato il pc. Ho utilizzato spybot, adawarese, cwshredder, etremover per più passate eliminando spazzatura varia ed in ultimo hijackthis con cui ho eliminato alcuni files inconfondibilmente evidenti. Mi è però rimasto un dialer (credo) che funziona in questo modo: dopo qualche minuto di navigazione in internet la connessione predefinita viene chiusa e subito riaperta una nuova che porta ad un sito (sempre lo stesso) senza possibilità di chiuderla se non spegnendo il modem. So che la soluzione radicale consiste nel riformattare ma vorrei evitarlo. Da voi ho imparato che individuando i files .dll e/o .exe responsabili e seguendo una certa procedura, si potrebbe risolvere il problema. Ecco allora il log di hijackthis ringraziandovi da subito per i preziosi consigli.
Logfile of HijackThis v1.99.1
Scan saved at 22.29.49, on 23/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Windows\System32\CTSvcCDA.exe
C:\Windows\System32\NMSSvc.exe
C:\WINDOWS\system32\PDFCreatorMessages.exe
C:\Windows\System32\snmp.exe
C:\Windows\System32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\PROMon.exe
C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programmi\HP\HP Software Update\HPWuSchd.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\SlipStream Web Accelerator\slipcore.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programmi\JawsSystems\Jaws PDF Creator\PDFClient.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Windows\System32\ctfmon.exe
C:\Programmi\Logitech\Profiler\lwemon.exe
C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\SlipStream Web Accelerator\slipgui.exe
C:\Programmi\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Programmi\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\Windows\System32\devldr32.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Documents and Settings\Vincenzo\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/4q00cdt/0410/kb2.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\Windows\System32\DXIHKB~1.DLL
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\SlipStream Web Accelerator\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: (no name) - {DA7CE6A3-195A-47A4-B02F-D0A644DB73A7} - C:\Documents and Settings\Vincenzo\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\3inav.dat
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Windows\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: SlipStream Web Accelerator - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\Programmi\SlipStream Web Accelerator\Toolband.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\System32\hkcmd.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\Windows\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\SlipStream Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [PDFCreatorClient] C:\Programmi\JawsSystems\Jaws PDF Creator\PDFClient.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programmi\Logitech\Profiler\lwemon.exe" /noui
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\SlipStream Web Accelerator\slipgui.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O20 - Winlogon Notify: igfxcui - C:\Windows\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\Windows\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\Windows\System32\CTSvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\Windows\System32\NMSSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\Windows\System32\nvsvc32.exe
O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINDOWS\system32\PDFCreatorMessages.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\Windows\System32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

Vi farò sapere. Ciao
Avatar utente
katvin
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: mar gen 24, 2006 10:25 am

Messaggioda crazy.cat » mar gen 24, 2006 12:28 pm

Si vedono solo un paio di cose strane, la prima con il nome tagliato non so cosa sia, la seconda direi che è eliminabile.

O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\Windows\System32\DXIHKB~1.DLL
O2 - BHO: (no name) - {DA7CE6A3-195A-47A4-B02F-D0A644DB73A7} - C:\Documents and Settings\Vincenzo\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\3inav.dat

Hai controllato nelle proprietà delle connessioni di internet che non c'è ne sia una di troppo?

Cancella anche tutti i file temporanei di internet.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Dialer viscido

Messaggioda katvin » mar gen 24, 2006 1:06 pm

Grazie crazy. Credo siano da eliminare anche:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

Tu lo consigli sempre. E' una delle cose che credo di avere imparato.
Nelle connessioni remote c'è solo 'Libero' ed i files temporanei di internet vengono sempre cancellati per abitudine. Quando questo dialer si attiva, scompare l'icona del modem dalla trybar e il numero telefonico composto non è visibile da nessuna parte.
Nel pomeriggio proverò ad eliminare i file che mi hai segnalato e poi vi aggiorno.
Avatar utente
katvin
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: mar gen 24, 2006 10:25 am

Messaggioda katvin » gio gen 26, 2006 9:33 am

Salve a tutti.
Il dialer, per il momento, non si è più ripresentato. Il problema sembrerebbe risolto.
Operazioni eseguite:
disattivato il ripristino del sistema;
cancellato il contenuto di tutte le dir Temp…;
fixato con hijackthis i files sospetti (grazie crazy);
eseguita scansione con “trend micro sysclean” (molto lunga);
in modalità normale e provvisoria ho eseguito diverse passate con “spybot”, “adaware”, “cwshredder”, “etremover” che non segnalavano più nulla. Ma la differenza credo l’abbiano fatta: “emco malware destroyer” che ha scovato un trojan non rilevato nelle precedenti scansioni e “regseeker” con il quale ho filtrato il registro con parole chiave rilevando alcuni .dll molto sospetti eliminabili senza rischio perché ne viene fatto automaticamente il backup.
Alla fine ho riattivato il ripristino del sistema ed installato “antidialer”, “spywareblaster”, “avast4home” ed ho sostituito I.E. con “firefox”: molto più agile, veloce e (spero) sicuro.
Non so se sia il caso di installare pure “segate personal firewall”.
Ciao.
Avatar utente
katvin
Neo Iscritto
Neo Iscritto
 
Messaggi: 3
Iscritto il: mar gen 24, 2006 10:25 am

Messaggioda Robby78 » gio gen 26, 2006 9:41 am

katvin ha scritto:Non so se sia il caso di installare pure “segate personal firewall”.

Antivirus aggiornato e firewall evitano un sacco di seccature, poi sygate è piuttosto leggero e poco invadente... te lo consigio.
Povera patria! Schiacciata dagli abusi del potere di gente infame, che non sa cos'è il pudore - Franco Battiato
ricordati di pensare! - mia mamma
Avatar utente
Robby78
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3829
Iscritto il: gio gen 08, 2004 5:25 pm
Località: Emilia Romagna


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 17 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising