www.MegaLab.it

[Posho86]

Cerco disperatamente aiuto perché è da due mesi che sono assalito da dialer, ... prima eros.exe, poi ora sex.exe ed anche girl.exe, tutti con la medesima icona... Li elimino ogni volta, in regedit non li trovo.. Non so che fare!! per piacere aiutatemi!!!

[crazy.cat]

Scaricati questo programma e mantienilo regolarmente aggiornato
http://www.javacoolsoftware.com/spywareblaster.html
abiliti tutte le protezioni (pulsante enable) che ti propone serve a bloccare il ritorno di tante "schifezze"
Uso regolare di Adware o spybot per fare pulizia dagli spyware e dialer vari.
Scaricati anche Hijackthis fai la scansione e salvi il log della scansione in un file di testo (non cancellare niente al momento) poi apri il file del log e copi e incolli il testo in un post che vediamo cosa gira nel tuo pc.
Aspetto tue notizie

Benvenuto nel forum e ti ho cancellato la tua seconda discussione doppia che avevi aperto.

[Posho86]

Ciao, grazie mille per quello che hai fatto finora... ho scaricato sia Spyware blaster che Hijackthis... Allora per quanto riguarda Spywareblaster ho schiacciato su enable, ma non so come si usa poi... cioè, quando lo apro compare una schermata dove c'è scritto che 0 items have protection disabled (di fianco all'icona tipo di explorer e di un bloc notes), ma per il resto non so come muovermi con questo software... Per quanto riguarda il secondo questo è il log (non ho eliminato né fatto niente, solo lo scan e ho creato il log)...

Logfile of HijackThis v1.97.7
Scan saved at 19.26.51, on 25/06/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSSYSTEMMSTASK.EXE
C:WINDOWSSYSTEMMDM.EXE
G:TRENDPCCIOMON.EXE
C:WINDOWSSYSTEMWINUPD.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSSYSTEMATIPTAAA.EXE
C:PROGRAMMIWINAMPWINAMPA.EXE
C:PROGRAMMIREALREALPLAYERREALPLAY.EXE
C:PROGRAMMIREALREALJUKEBOXTSYSTRAY.EXE
G:TRENDPOP3TRAP.EXE
G:TRENDWEBTRAP.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:WINDOWSHELPW.EXE
C:PROGRAMMIDSBDSB.EXE
C:WINDOWSSYSTEMPSTORES.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
G:PROGRAMMIDAPDAP.EXE
C:WINDOWSNOTEPAD.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSDESKTOPHIJACKTHIS.EXE

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://searchbar.findthewebsiteyouneed.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://searchbar.findthewebsiteyouneed.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://searchbar.findthewebsiteyouneed.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com/
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://searchbar.findthewebsiteyouneed.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://www.searchwww.com/search.cgi?s=%s
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,SearchAssistant = http://searchbar.findthewebsiteyouneed.com/
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - G:PROGRAMMIDAPDAPBHO.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [TaskMonitor] C:WINDOWS askmon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [ATIGART] c:atigartatigart.exe
O4 - HKLM..Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM..Run: [NewsUpd] C:ProgrammiCreativeNewsNewsUpd.EXE /q
O4 - HKLM..Run: [IOMON98.EXE] "C:ProgrammiTrend PC-cillin 98IOMON98.EXE"
O4 - HKLM..Run: [WinampAgent] "C:PROGRAMMIWINAMPWINAMPa.exe"
O4 - HKLM..Run: [RealTray] C:ProgrammiRealRealPlayerRealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM..Run: [RealJukeboxSystray] "C:PROGRAMMIREALREALJUKEBOX systray.exe"
O4 - HKLM..Run: [PCCIOMON.EXE] g:TrendPCCIOMON.EXE
O4 - HKLM..Run: [pop3trap.exe] g:Trendpop3trap.exe
O4 - HKLM..Run: [WebTrap.exe] g:TrendWebTrap.exe
O4 - HKLM..Run: [DXM6Patch_981116] C:WINDOWSp_981116.exe /Q:A
O4 - HKLM..Run: [WhenUSave] C:PROGRA~1SAVESave.exe
O4 - HKLM..Run: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..Run: [helpw] "helpw.exe"
O4 - HKLM..Run: [DSB] C:ProgrammiDSBDSB.exe
O4 - HKLM..Run: [RegCompres] C:WINDOWSSYSTEMREGCPM32.EXE
O4 - HKLM..Run: [MSStartOptimizer] C:WINDOWSSYSTEMWINUPD.EXE
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] C:WINDOWSSYSTEMmstask.exe
O4 - HKLM..RunServices: [Machine Debug Manager] C:WINDOWSSYSTEMMDM.EXE
O4 - HKLM..RunServices: [IOMON98.EXE] "C:ProgrammiTrend PC-cillin 98IOMON98.EXE"
O4 - HKLM..RunServices: [PCCIOMON.EXE] g:TrendPCCIOMON.EXE
O4 - HKLM..RunServices: [MSStartOptimizer] C:WINDOWSSYSTEMWINUPD.EXE
O4 - HKLM..RunServices: [RegCompres] C:WINDOWSSYSTEMREGCPM32.EXE
O8 - Extra context menu item: &Download with &DAP - G:PROGRA~1DAPdapextie.htm
O8 - Extra context menu item: Download &all with DAP - G:PROGRA~1DAPdapextie2.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Umail (HKCU)
O12 - Plugin for .mid: C:PROGRA~1INTERN~1PLUGINS
pvmidi.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/italy/start
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/italy/start
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab


Grazie comunque per ora!!!

[crazy.cat]

Con spywareblaster sei a posto così,ricordati di aggiornarlo ogni tanto e di rifare enable protection dopo l'aggiornamento.
Leggendo il log queste voci sono eliminabili,metti il flag nella casellina e poi premi Fix, metti Hicjthis in una directory a parte perché ti fà un backup di queste voci nel caso fossero eliminate per errore e dovesti recuperarle.
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = NOT USED (OK)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSuwuas.dll/sp.html#10213
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://uwuas.dll/index.html#10213
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://uwuas.dll/index.html#10213
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSuwuas.dll/sp.html#10213
R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http://searchbar.findthewebsiteyouneed.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://searchbar.findthewebsiteyouneed.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://searchbar.findthewebsiteyouneed.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com/
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://searchbar.findthewebsiteyouneed.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = www.com/search.cgi?s=%s" target="_blank">http://www.searchwww.com/search.cgi?s=%s
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,SearchAssistant = http://searchbar.findthewebsiteyouneed.com/

O4 - HKLM..Run: [WhenUSave] C:PROGRA~1SAVESave.exe
O4 - HKLM..Run: [helpw] "helpw.exe"
O4 - HKLM..Run: [DSB] C:ProgrammiDSBDSB.exe

Scaricati anche CWShredder e fagli fare la scansione e pulizia: http://209.133.47.12/~merijn/files/CWShredder.exe
e poi adware e aggiornalo subito e poi scansione e pulizia
http://lavasoft.element5.com/italian/support/download/

[Posho86]

Grazie mille! Ho scaricato tutti e due i programmi che mi hai detto... ma percaso l'update di Spyware blaster è a pagamento?? comunque non sono riuscito a fare fix con hijackthis perché non ho capito in che modo fare il backup o comunque non trovo hicjthis... grazie di tutto...

[crazy.cat]

Spwareblaster è gratis e anche l'update.
Ti crei una directory in c:programmi e la chiami Hijackthis ci copi dentro il programma e lanci la scansione e il fix.
In quella directory ti rimarranno i backup della roba che togli per eventualmente recuperarla.

[Posho86]

ok, ho scaricato e fatto update con tutto... Ad-aware mi ha trovato tipo 2000 file e li ho salvati in log... Così anche in schredder... Però girl.exe e sex.exe continuano ad autoinstallarsi e a connettersi...

[crazy.cat]

che antivirus hai?

Fai una scansione online con questo
http://www.pandasoftware.com/activescan ... ncipal.htm

Ci sono svariati virus che usano quei due nomi che hai dato, a questo punto non sono dei dialer ma un qualche virus trojan.

[Posho86]

Il fatto è che dall'ultima bolletta risultavano come numeri 899******* quindi ho pensato fossero dialer... provo la scansione online...

[Posho86]

Ho trend pc cillin aggiornato quotidianamente... E trend mi individua solo un virus che è vbs_hptime, se non ricord male... non mi lascia fare il controllo con active scan del panda perché mi dice che sono disabilitati i controlli active x sul mio pc... nel frattempo si autoscarica ancora il file sex.exe... ha un'icona con un computer tutto nero...

[crazy.cat]

Spero che tu abbia una Adsl come linea, altrimenti sono dolori con la bolletta.
Prova a controllare questo link e segui le istruzioni.
http://www.pestpatrol.com/pestinfo/s/sex.asp

[Posho86]

L'ultima volta eran solo 2€ perché quando si connette si può facilmente disconnettere, non è che mi si connette e non me ne accorgo... comunque per il virus vb_haptime a.1 ho trovato un file su microtrend.com che dovrebbe fixarlo... tu mi consigli di utilizzarlo??? Grazie comunque!! ps Io non ho adsl!!!

[crazy.cat]

Certo devi usarlo.

[Posho86]

NOn funziona e sex.exe continua a scaricarsi... Cos'è task manager???
Ma con ad-aware devo rimuoverli i file che ha trovato?? Vuoi che posto il log???

[crazy.cat]

Task manager ti appare quando premi Ctrl-alt-canc
Certo che devi rimuovere i file che trova adware,altrimenti non ha senso usarlo.

[crazy.cat]

Hai una stampante Hp? Se si la riga è buona.
HPFSCHED is a small TSR that will remind you to clean the cartridges in your DeskJet from time to time in order to keep print quality high. It can be removed from the run line in win.ini if you do not want that feature.

Altrimenti controlla questo
http://www.wilderssecurity.com/archive/ ... hp/t-17894

[Posho86]

Sì... Ho una stampante Hpdeskjet 815c... Allora provo a eliminare i file con Ad-Aware... comunque mi si continua a scaricare... E' davvero una persecuzione!!! Mi ha telefonato una della Tin.It per mettere l'DSL... se è il caso la metto e vediamo se funziona...

[Posho86]

Questo è quello che dice quando entro in sex.exe:


SE LA TUA CONNESSIONE A INTERNET AVVIENE TRAMITE
UN CENTRALINO, INSERISCI LE CIFRE PER LE CHIAMATE USCENTI
NELLA APPOSITA CASELLA IN BASSO, ALTRIMENTI LASCIALA
VUOTA.

Il costo della connessione e di 2,00 Euro più IVA al minuto, con scatto alla risposta di 0.50 Euro più IVA.

Non ci sono altri costi aggiuntivi, ne passwords da
dover utilizzare, pagherete esclusivamente il solo costo della
telefonata.

La durata massima della connessione è di 5,16 minuti.

CLICCA SU "Connetti" PER ACCEDERE AL SERVIZIO!
-----Avvertenze-----
L utilizzo di questo programma di connessione e libero,
anonimo ed esente da licenze e registrazioni. Non ci sono
specificazioni particolari sulla bolletta telefonica circa
la natura dei servizi offerti. Questo programma chiuderà
la connessione locale con il vostro internet provider, se
attiva,dopodiche il vostro modem si riconnettera al
nostro server,poi il vostro browser si aprira automaticamente
nella pagina dei servizi richiesti.

QUESTO PROGRAMMA E ESENTE DA VIRUS E NON MODIFICA
IN ALCUN MODO LE CONFIGURAZIONI DEL SISTEMA
OPERATIVO, NE DI ALCUN PROGRAMMA, E NON CREA ALCUN
TIPO DI COLLEGAMENTO NEL MENU AVVIO O NEL DESKTOP.


L'ultima frase non è vera perché io ho quattro icone, nel menù avvio, nei file temporanei di Internet, sul desktop e in system...

Ora non vi resta che navigare, buon divertimento!!
Con ad-aware mi trova dei data miner che sono la maggior parte cookie e poi delle chiavi di registro... non so se è il caso di cancellare anche quelle... se vuoi posto il log...

[crazy.cat]

Prova a seguire queste istruzioni per farti un set di floppy di boot per una scansione a ntivirus dal dos se non riesci ad eliminare quel figlio di un trojan di virus che ti ributta dentro quel dialer non ne esci più.Ci sono troppi virus che usano quel file sex.exe
Altrimenti prendi in considerazione un bel format c: e così sei sicuro di farla finita più in fretta e in maniera definitiva.


Scansione dos con mcafee lanciabile da floppy o cd di boot
Il programma è in Beta version , provato funziona bene anche su partizioni Ntfs e Fat.
Da questo indirizzo è scaricabile la Beta version di Cleanboot della Mc.afee che permette di fare una scansione antivirus partendo da floppy o da cd autocaricante.

Il programma è scaricabile da qui
http://secure.nai.com/us/downloads/beta/cbt/cbt.htm

Aggiornamento del Sdat antivirus

Da questo sito
http://www.networkassociates.com/it/dow ... perdat.asp
potete scaricarvi l'ultima versione del superdat sdatXXXX.exe (al posto delle xxxx ci saranno dei numeri) scegliete la versione italiana.

Mettete il file superdatXXXX.exe in una directory a parte, da start - esegui (utilizzando sfoglia cercate la vostra directory dove avete copiato il file) lanciate il comando

"D:Update AntivirussdatXXXX.exe" /e (mantenete gli " ")
questo scompatterà il file Sdatxxxx nella directory.

Cleanboot Mc.afee

Lanciate il comando Clnbtmgr.exe dalla directory dove avete installato il programma Cleanboot e vi appare la finestra principale del programma.

1) Selezionate Update DAT's vi apparirà questa finestra dove con browse andrete a selezionare la directory dove avete scompattato il Sdat.

Premete poi Update

e dovrebbe comparirvi il messaggio di conferma dell'avvenuto aggiornamento.

2) Selezionate il pulsante Select language, scegliete Italian e poi premete Select.

3) In Generation Options scegliete l'opzione che volete
Write immediatly to floppy disk, al momento crea 3 floppy disk autoavviabili da cui far partire la scansione.
Cd image (ISO 9660) crea un'immagine Iso che dovrà poi essere masterizzata su un cd usando Nero burning rom o un altro software adatto a masterizzare immagini Iso.
Dato l'immagine deve essere riscritta ogni volta che si aggiorna il Sdat si consiglia di usare un cd riscrivibile.

A questo punto inserite nel pc i floppy o il cd di boot che vi siete creati e riavviate il computer.

Avvio della scansione

Una volta caricato il Sw di cleanboot avrete una schermata di scelta dove potrete modificare le seguenti opzioni
F5 Scan level : seleziona i files che verranno controllati, se messo su high saranno controllati tutti.
F6 Archive support : se On,controlla anche i files all’interno di archivi compressi
F7 Cleaning : se On, pulisce in automatico i file infetti.
F8 Logging : se On,permette di salvare il file di log della scansione su un floppy.

Altre scelte:
Scan all volumes Avvia la scansione vera e propria.
List volumes Mostra i dischi o le partizioni presenti.
Last scan result Mostra i risultati dell’ultima scansione.
Version information Verifica il livello di aggiornamento dell’antivirus.
Help Spiegazioni sui settaggi e sul funzionamento
Exit and reboot Riavvia il pc.

[Posho86]

Ultima cosa... Ma con shredder e Ad-aware faccio fix sui file che trova senza fare alcuna selezione? Io sono sicuro che quello che trova è davvero dannoso e non qcs d'importante??