Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

beccato dialer - log di hijackthis

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

beccato dialer - log di hijackthis

Messaggioda fredericks » ven set 29, 2006 12:30 am

Ciao a tutti
in mia assenza da casa...è successo un casino...e ho trovato un bel dialer che se ne stava tranquillo da qualche parte...

Installando il programma stopdialers noto che ogni tanto qualche programma tenta di creare una connessione di accesso remoto e connettersi....ma il programma lo blocca....fatto sta che il dialer rimane....ho eseguito hijackthis. vi posto il log:

la riga che mi sembra più sospetta è quella riguardante

E:\WINDOWS\Temp\idxf3.exe

comunque....ditemi voi...notate niente di strano?

Logfile of HijackThis v1.99.1
Scan saved at 15.22.26, on 28/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programmi\Apache Group\Apache2\bin\Apache.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
E:\Programmi\Apache Group\Apache2\bin\Apache.exe
E:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
E:\WINDOWS\system32\mgabg.exe
E:\WINDOWS\Explorer.EXE
C:\mysql41\bin\mysqld-nt.exe
E:\WINDOWS\system32\PDesk\PDesk.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
E:\WINDOWS\Temp\idxf3.exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
E:\Programmi\StopDialers\StopDialers.exe
E:\WINDOWS\system32\MsPMSPSv.exe
E:\Programmi\Internet Explorer\IEXPLORE.EXE
E:\WINDOWS\system32\wuauclt.exe
E:\Programmi\WinRAR\WinRAR.exe
E:\DOCUME~1\Sunrise\IMPOST~1\Temp\Rar$EX01.526\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper -
{AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Matrox Powerdesk] E:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Zone Labs Client] c:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [idxf3.exe] E:\WINDOWS\Temp\idxf3.exe
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stop Dialers.lnk = E:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
04 - Global Startup: Monitor Apache Servers.lnk = E:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Google Search - res://e:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://e:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://e:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://e:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://e:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://e:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC588D43-595F-4C89-A818-43DC72D01342}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Apache2 - Unknown owner - E:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Unknown owner - E:\WINDOWS\system32\Ctsvccda.exe (file missing)
O23 - Service: MGABGEXE - Matrox Graphics Inc. - E:\WINDOWS\system32\mgabg.exe
O23 - Service: MySQL41 - Unknown owner - C:\mysql41\bin\mysqld-nt".exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe
Avatar utente
fredericks
Aficionado
Aficionado
 
Messaggi: 94
Iscritto il: gio set 11, 2003 8:13 am

Messaggioda crazy.cat » ven set 29, 2006 1:53 am

L'unico file strano è quello che hai individuato.
Termina il processo dal task manager e cancella il file nella cartella, anzi svuota tutti gli exe in quella cartella.
Cancella anche i file temporanei di internet che male non fa mai.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Amantide » ven set 29, 2006 1:56 am

Visto il nome del file direi che potrebbe trattarsi anche del LinkOptimizer. Fai girare i tools che trovi nella discussione in rilievo.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Messaggioda fredericks » lun ott 02, 2006 8:56 pm

scusate se rispondo solo ora....ho rimosso le voci di registro e il file idxf3.exe, poi ho notao che c'erano altri files simili....e comunque sono rimasti dei files che non riesco a cancellare...che sembrano legati sempre al dialer....con nomi tipo ib2,ib4, senza estensione....

in ogni caso dopo la rimozione tutto sembra tornato alla normalità...non compare + la finestra di connessione continuamente...

Non credo abbia a che fare con il linkoptimizer....in installazione applicazioni non ho trovato nulla di anomalo.....ho scaricato i programmi per eliminarlo...ma non li ho ancora provati...casomai vi faccio sapere...

grazie
ciao
Avatar utente
fredericks
Aficionado
Aficionado
 
Messaggi: 94
Iscritto il: gio set 11, 2003 8:13 am

Messaggioda fredericks » dom ott 15, 2006 9:38 pm

Ciao di nuovo....

Il dialer è tornato di nuovo...inoltre ho notato che compare una nuova connessione di accesso remoto, che si chiama Internet.....anche se la rimuovo prima o poi ricompare....inoltre ci sono sempre dei files che non riesco a cancellare da windows\temp, cioè ib1,ib2,ib3.

Però ho rimosso il file idxf3.exe, e ho rimosso le voci di registro che lo lanciavano ad ogni avvio.....però solo apparentemente il dialer è stato eliminato...infatti ogni tanto ricompare...
Avatar utente
fredericks
Aficionado
Aficionado
 
Messaggi: 94
Iscritto il: gio set 11, 2003 8:13 am

Messaggioda crazy.cat » dom ott 15, 2006 9:43 pm

Fai una scansione con A2 squared o superantispyware aggiornati e vedi se lo rimuovono loro.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising