www.MegaLab.it

da **ric74** » lun feb 26, 2007 5:37 pm

Un agente che opera nella società per la quale lavoro mi ha chiamato dicendo di aver forse preso un virus che lo fa disconnettere dalla connessione al server aziendale e gli fa comporre un numero telefonico per il quale, fortunatamente, è inabilitato.

Dato che penso che si tratti di un dialer, magari questo me lo confermerete Voi, volevo sapere come poterlo rimuovere.

Se non ricordo male, proprio in questo forum, mi fu indicato come buon antidialer "a-squared Free".

E' possibile risolvere il problema con questo programma?

Grazie anticipate.

da **crazy.cat** » lun feb 26, 2007 5:44 pm

ric74 ha scritto:E' possibile risolvere il problema con questo programma?

E' probabile, ma non è detto.
Riesci a farti mandare un log della scansione di Hijackthis?

da **ric74** » mar feb 27, 2007 10:42 am

Domani, in occasione di una riunione aziendale, mi faccio portare il PC in ufficio.
Magari la scansione la faccio io e, se si riesce a fare tutto nell'arco del pomeriggio, intervengo direttamente io dietro i Vs. suggerimenti che spero non mancheranno.

da **crazy.cat** » mar feb 27, 2007 10:59 am

ric74 ha scritto:Magari la scansione la faccio io e, se si riesce a fare tutto nell'arco del pomeriggio, intervengo direttamente io dietro i Vs. suggerimenti che spero non mancheranno.

Qualcuno dovresti trovare, quindi posta pure il log.

da **ric74** » mar feb 27, 2007 11:02 am

Proprio poco fa sono stato informato che la scansione fatta con a-squared pare che abbia dato un esito positivo, in quanto il problema di composizione automatica non si è presentato più.
Conto comunque, in giornata, di ricevere il log di Hijackthis così da poter avere la vostra conferma che il problema sia stato effettivamente eliminato.

da **ric74** » mar feb 27, 2007 6:34 pm

Anche se un po' in ritardo (nel frattempo mi hanno riferito che, contrariamente a quanto precedentemente postato, il problema persiste ancora), ecco il log del PC:

Logfile of HijackThis v1.99.1
Scan saved at 15.07.47, on 27/02/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\CA\eTrust Antivirus\InoRpc.exe
C:\Programmi\CA\eTrust Antivirus\InoRT.exe
C:\Programmi\CA\eTrust Antivirus\InoTask.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
c:\winnt\system32\services.exe
C:\WINNT\Explorer.Exe
C:\WINNT\system32\Promon.exe
C:\WINNT\system32\PELMICED.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\SYSTEM32\3cshtdwn.exe
C:\WINNT\TEMP\dqrgaa.exe
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\system32\internat.exe
C:\CFGSAFE\AUTOCHK.EXE
C:\WINNT\system32\CMMON32.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\SCADUTO\IMPOST~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.it/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=C:\WINNT\Explorer.Exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [tourpath] regedit /s c:\winnt\tour.reg
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd
O4 - HKLM\..\Run: [dqrgaa.exe] C:\WINNT\TEMP\dqrgaa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AUTOCHK.LNK = C:\CFGSAFE\AUTOCHK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = colussigroup.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{26A5E25C-223A-4EE9-9BDE-9D4F70A11B11}: NameServer = 151.99.125.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{443F4CC8-7512-44EC-9B45-9D446314DC06}: NameServer = 192.168.0.44 192.168.0.45
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = colussigroup.it
O17 - HKLM\System\CS1\Services\Tcpip\..\{26A5E25C-223A-4EE9-9BDE-9D4F70A11B11}: NameServer = 151.99.125.2
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = colussigroup.it
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoTask.exe

Attendo speranzoso il vostro responso.

da **crazy.cat** » mar feb 27, 2007 6:50 pm

questa modifica la conosci
O4 - HKLM\..\Run: [tourpath] regedit /s c:\winnt\tour.reg

di brutto si vede questo
O4 - HKLM\..\Run: [dqrgaa.exe] C:\WINNT\TEMP\dqrgaa.exe
Prima di cancellare i file, controlla che la sua icona non abbia due labbra rosse.

Se le ha fai passare i tools di rimozione che sono segnalati in questo articolo
http://www.MegaLab.it/2654

altrimenti carica il file exe sul sito www.virustotal.com e vediamo di che virus si tratta.

da **ric74** » mar feb 27, 2007 8:03 pm

Ho inoltrato la tua risposta all'agente interessato.

Spero che sappia cosa fare!!! Sicuramente avrò sue notizie solo domani.

Intanto grazie per quanto fatto fin'ora!

www.MegaLab.it

Composizione automatica numero telefonico

Composizione automatica numero telefonico

Re: Composizione automatica numero telefonico

Chi c’è in linea