Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

dialer?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

dialer?

Messaggioda trigly » lun lug 25, 2005 7:33 am

Temo di avere preso un dialer, nonostante il Norton e la cautela nella visita dei siti.
Certo è che cade la connessione internet dopo pochi secondi. Per fortuna ho rapidamente staccato il telefono.
Chiedo il vostro solito prezioso aiuto:
allego il log di hijack

Logfile of HijackThis v1.99.1
Scan saved at 1.04.59, on 25/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\WINDOWS\timer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\timer.exe
C:\Programmi\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programmi\Nikon\NkView4\NkVwMon.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Corel\Custom Photo\Register\Remind32.exe
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\svcohos1at.exe
C:\DOCUME~1\UGOIEZ~1\IMPOST~1\Temp\Directory temporanea 4 per hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Timer] C:\WINDOWS\timer.exe /i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Startup: Registrazione elettronica Corel® - Corel® Custom Photo.lnk = C:\Programmi\Corel\Custom Photo\Register\Remind32.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: NkVwMon.exe.lnk = C:\Programmi\Nikon\NkView4\NkVwMon.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=laptop
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Grazie
Trigly
Avatar utente
trigly
Aficionado
Aficionado
 
Messaggi: 37
Iscritto il: gio gen 13, 2005 10:14 am
Località: Chieti

Messaggioda liverani_99 » lun lug 25, 2005 8:48 am

Via!
Codice: Seleziona tutto
C:\WINDOWS\timer.exe
O4 - HKLM\..\Run: [Timer] C:\WINDOWS\timer.exe /i

Questo file, sai per caso che cosa sia? E' Abbastanza sospetto!
Codice: Seleziona tutto
C:\WINDOWS\svcohos1at.exe
La libertà è poter affermare che due più due fa quattro. Se ciò è garantito, tutto il resto segue. George Orwell, 1984
Avatar utente
liverani_99
Silver Member
Silver Member
 
Messaggi: 1481
Iscritto il: lun nov 22, 2004 7:08 pm
Località: Pisa

Messaggioda crazy.cat » lun lug 25, 2005 9:13 am

liverani_99 ha scritto:Via!
Codice: Seleziona tutto
C:\WINDOWS\timer.exe
O4 - HKLM\..\Run: [Timer] C:\WINDOWS\timer.exe /i

Questo file, sai per caso che cosa sia? E' Abbastanza sospetto!
Codice: Seleziona tutto
C:\WINDOWS\svcohos1at.exe


Cancellali tutti e due.
Il primo dovrebbe essere questo
http://securityresponse.symantec.com/av ... se.ag.html

Il secondo è forse il dialer.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Messaggioda Skuod » gio ago 25, 2005 7:18 pm

Anche a me cadeva spesso la connessione, però si ripristinava da sola. Un mese fà, prima di aver formattato il pc e quando non avevo nessun antivirus installato, mi è capitato parecchie volte che durante la connessione remota ad internet la connessione si interrompesse da sola(quasi mai successo in 3 anni) però il modem(esterno), tramite led, indicava che la linea telefonica rimana ancora impegnata mentre era interrotta la connessione al provider. Effettivamente le pagine smettevano di caricare. Dopo pochi secondi lampeggiavano il led di trasmissione e ricezione e subito dopo quello di collegamento si riaccendeva indicando che era ristabilita la connessione al server. Come se non fosse successo niente, internet riprendeva a viaggiare. La prima volta non ho dato molta importanza anche se mi son fatto sfiorare dal sospetto di un dialer.
La stessa situazione mi si è ripresentata in altre tre occassioni e dal qual momento mi sono allarmato, ritenendo sempre più probabile l'ipotesi dialer e terminando all'istante la connessione. Il fatto è che non ero completamente convinto che si potesse trattare di un dialer perché:
1)non ho mai visitato siti con contenuti a pagamento, o in ogni caso ho sempre rifiutato conferme di installare ed eseguire....
2)ho pensato che un dialer per comporre il suo numero deve mostrare una finestrina di composizione ed il modem deve emettere il suo suono(cosa mai avvenuta).
3)dopo la riconnessione in seguito alla breve interruzione ho controllato le proprietà di connessione nell'area di notifica ed erano le solite(nome connessione, numero, ip server...).
Sta il fatto che pochi giorni fà è arrivata la bolletta telecom alla quale pago solo 30€ di canone in quanto abbonato tele2, e riportava il totale di 90€ di cui 60 per 4 chiamate a numeri speciali. Spaventato e insospettito chiamo il 187 e l'operatore verifica che erano state fatte 4 chiamate a numeri inizianti per 899 con scatto alla risposta di € 12,50 , con relativa data e durata effettivamente riscontrate in un log di connessioni che utilizzo per registrare le connessioni.
La prima cosa che ho fatto è stata chiedere all'operatore la disattivazione delle chiamate a numeri 899. Dopo aver formattato ho installato Antivir e ho attivato il controllo dei dialer.Ho guardato nelle opzioni internet e non ci sono connessioni strane. Prima di aver formattato ho solo fatto una scansione con antivir, ha trovato una decina di virus e poi basta.
Mi chiedo se bastano queste misure per difendersi da questi dialer invisibili che non danno alcun segno della lora presenza a parte che sulla bolletta?Inoltre, non è che esista qualche forma di protesta/rimborso?
Avatar utente
Skuod
Aficionado
Aficionado
 
Messaggi: 128
Iscritto il: sab ott 11, 2003 7:21 pm
Località: Catanzaro

Messaggioda crazy.cat » ven ago 26, 2005 7:21 am

Skuod ha scritto:Mi chiedo se bastano queste misure per difendersi da questi dialer invisibili che non danno alcun segno della lora presenza a parte che sulla bolletta?Inoltre, non è che esista qualche forma di protesta/rimborso?


Prova a leggere questo per la prevenzione
http://www.MegaLab.it/2387/2
verso il fondo ci sono i link al sito della polizia che spiegano cosa fare in caso di fregature.

Non ho capito se hai l'adsl?
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Skuod » ven ago 26, 2005 12:33 pm

no ho il 56k.
Avatar utente
Skuod
Aficionado
Aficionado
 
Messaggi: 128
Iscritto il: sab ott 11, 2003 7:21 pm
Località: Catanzaro

Messaggioda Skuod » ven ago 26, 2005 8:28 pm

ho installato stop dialer, da quel che ho letto dovrebbe fare bene il suo lavoro.
Intanto al 187 mi dicono che tutto è perfettamente legale, sia che il dialer richieda o no il consenso del'utente a modificare la connessione.
Per il momento ho richiesto la variazione di fattura, e dopo aver letto alcune pagine sul sito della polizia di stato e su www.mdc.it (movimento difensa del cittadino), provvederò a comunicare denuncia con apposita domanda scaricata.
vediamo cosa succederà
Avatar utente
Skuod
Aficionado
Aficionado
 
Messaggi: 128
Iscritto il: sab ott 11, 2003 7:21 pm
Località: Catanzaro

Messaggioda Skuod » sab nov 05, 2005 11:47 am

[:-D]
dopo aver fatto denuncia la prima settimana di settembre e aver spedito alla telecom con raccomandata la copia della denuncia, la copia della bolletta e del pagamento parziale della bolletta, l'altro giorno è arrivata la nuova bolletta: tutto a posto, importo regolare.
Da pessimista che sono mi sarei aspettato l'addebbito, dei 60€ non pagati, sulla bolletta successiva, invece alla Telecom sembra che abbiano chiuso un occhio, o meglio, non hanno fiatato, come era giusto che fosse.
Da questo episodio ho imparato prima di tutto a non andarmene in giro senza antivirus, ma meglio ancora, a prendere le dovute precauzioni(firewall, antidialer,ecc.). Sono contento sia finita qui, ho letto esperienze di altre persone che ci sono rimaste incasinate con procedure legali, addebbiti, taglio della linea, ecc., ma sopratutto sono contento di aver salvato 60€ che stavano perdendo la strada di casa...
Avatar utente
Skuod
Aficionado
Aficionado
 
Messaggi: 128
Iscritto il: sab ott 11, 2003 7:21 pm
Località: Catanzaro


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising