Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 7 su 7

Discussione: virus dialer

  1. 21-02-2004, 09:36 #1
    mauro1978
    mauro1978 non è in linea
    Utente di HTML.it
    Registrato dal
    Jun 2001
    Messaggi
    626

    virus dialer

    Ieir tornandoa casa dopo una settimana trovo nel pc 1 sorpresa: sul desktop ci sono delle icone nere che non consoco con nomi stupidi tipo "cazzate-1". Tale icona appare anche bel menù a tendina che si apre col tasto sullo schermo start in basso a sx.
    Sono certo che si tratti di un dialer che prova a auto connettersi: infatti i nomi dei file sono stringhe di ricerca fatte su motori di ricerca e dopo un po' che faccio una ricerca su un motore con la stringa ABC appare nel desktop il file ABC-1 e poco dopo ancora una finestra di errore di windows che dice "no modems were found, program will terminate" (ho l'adsl).
    Posto che questo dialer non può fare danni, è comunque fastidioso. Come faccio a beccarlo. Sul computer ho instalalto AVG e Ad-aware come antivirus, regolarmente aggiornati, ma non trova niente.

    Aleego immagine del mio desk con l'icona incriminata.
    Grazie x l'help.
    Rispondi quotando Rispondi quotando
  2. 21-02-2004, 15:42 #2
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Vai in links utili in rilievo, scaricati HijackThis chiudi tutte le finestre di tutti i programmi e clicca su Scan, successivamente clicca su SaveLog, salvalo in .txt e copialo qui nel 3d. Per il momento non fare altro
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  3. 21-02-2004, 19:40 #3
    mauro1978
    mauro1978 non è in linea
    Utente di HTML.it
    Registrato dal
    Jun 2001
    Messaggi
    626
    Logfile of HijackThis v1.97.7
    Scan saved at 18.38.23, on 21/02/04
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v5.00 (5.00.2919.6304)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\WINUPD.EXE
    C:\PROGRAMMI\REALVNC\WINVNC\WINVNC.EXE
    C:\WINDOWS\SYSTEM\WINDFIND.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\PROGRAMMI\D-TOOLS\DAEMON.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.suoonerie.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suoonerie.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.suoonerie.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.suoonerie.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.suoonerie.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.alphacerca.com/cercalaterale.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.suoonerie.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O7 "EPUSB1:" /M "Stylus C42"
    O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAMMI\GRISOFT\AVG6\avgcc32.exe /startup
    O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\SYSTEM\WINUPD.EXE
    O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\SYSTEM\REGCPM32.EXE
    O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
    O4 - HKLM\..\Run: [atisrc2] C:\WINDOWS\SYSTEM\windfind.exe
    O4 - HKLM\..\Run: [mmxrun] \0000000\msosa.exe
    O4 - HKLM\..\Run: [vietato.exe] C:\WINDOWS\SYSTEM\vietato.exe -d
    O4 - HKLM\..\Run: [sex_i.exe] C:\WINDOWS\SYSTEM\sex_i.exe -d
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
    O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\SYSTEM\WINUPD.EXE
    O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\SYSTEM\REGCPM32.EXE
    O4 - HKLM\..\RunServices: [WinVNC] "C:\PROGRAMMI\REALVNC\WINVNC\WINVNC.EXE" -service
    O4 - HKLM\..\RunServices: [atisrc2] C:\WINDOWS\SYSTEM\windfind.exe
    O4 - HKLM\..\RunServices: [vietato.exe] C:\WINDOWS\SYSTEM\vietato.exe -d
    O4 - HKLM\..\RunServices: [sex_i.exe] C:\WINDOWS\SYSTEM\sex_i.exe -d
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
    O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmsearch.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmsimilar.html
    O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmbacklinks.html
    O12 - Plugin for .StampaPianoServlet: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
    O14 - IERESET.INF: SEARCH_PAGE_URL=
    O14 - IERESET.INF: START_PAGE_URL=
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/de.../GoogleNav.cab
    O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\windows\temp\demo.exe
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
    Rispondi quotando Rispondi quotando
  4. 22-02-2004, 12:10 #4
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Il pc è infetto dal trojan/dialer Dasmin.

    Crea sul desktop una nuova cartella, scaricati Sysclean
    http://www.trendmicro.com/ftp/products/tsc/sysclean.com
    scaricati poi le definizioni http://www.trendmicro.com/ftp/produc...ern/lpt757.zip metti all'interno della cartella appena creata sia Sysclean che il file .zip (definizioni), scompatta il file delle definizioni sempre all'interno della cartella.
    Riavvia in modalità provvisoria (tasto F8 prima del caricamento del sistema) e lancia sysclean
    Riavvia in modalità normale, lancia HijackThis e copia nuovamente il log qui nel 3d.
    N.B.
    Prima di lanciare Sysclean, disabilita il tuo antivirus.
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  5. 22-02-2004, 15:25 #5
    mauro1978
    mauro1978 non è in linea
    Utente di HTML.it
    Registrato dal
    Jun 2001
    Messaggi
    626
    Logfile of HijackThis v1.97.7
    Scan saved at 14.23.19, on 22/02/04
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v5.00 (5.00.2919.6304)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\PROGRAMMI\GRISOFT\AVG6\AVGSERV9.EXE
    C:\WINDOWS\SYSTEM\WINUPD.EXE
    C:\PROGRAMMI\REALVNC\WINVNC\WINVNC.EXE
    C:\WINDOWS\SYSTEM\WINDFIND.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\MIXER.EXE
    C:\PROGRAMMI\GRISOFT\AVG6\AVGCC32.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\SCANJET\PRECISIONSCANLT\HPPWRSAV.EXE
    C:\PROGRAMMI\D-TOOLS\DAEMON.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.suoonerie.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suoonerie.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.suoonerie.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.suoonerie.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.suoonerie.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.alphacerca.com/cercalaterale.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.suoonerie.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O7 "EPUSB1:" /M "Stylus C42"
    O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAMMI\GRISOFT\AVG6\avgcc32.exe /startup
    O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\SYSTEM\WINUPD.EXE
    O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\SYSTEM\REGCPM32.EXE
    O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
    O4 - HKLM\..\Run: [atisrc2] C:\WINDOWS\SYSTEM\windfind.exe
    O4 - HKLM\..\Run: [mmxrun] \0000000\msosa.exe
    O4 - HKLM\..\Run: [vietato.exe] C:\WINDOWS\SYSTEM\vietato.exe -d
    O4 - HKLM\..\Run: [sex_i.exe] C:\WINDOWS\SYSTEM\sex_i.exe -d
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
    O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\SYSTEM\WINUPD.EXE
    O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\SYSTEM\REGCPM32.EXE
    O4 - HKLM\..\RunServices: [WinVNC] "C:\PROGRAMMI\REALVNC\WINVNC\WINVNC.EXE" -service
    O4 - HKLM\..\RunServices: [atisrc2] C:\WINDOWS\SYSTEM\windfind.exe
    O4 - HKLM\..\RunServices: [vietato.exe] C:\WINDOWS\SYSTEM\vietato.exe -d
    O4 - HKLM\..\RunServices: [sex_i.exe] C:\WINDOWS\SYSTEM\sex_i.exe -d
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
    O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmsearch.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmsimilar.html
    O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR1.DLL/cmbacklinks.html
    O12 - Plugin for .StampaPianoServlet: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
    O14 - IERESET.INF: SEARCH_PAGE_URL=
    O14 - IERESET.INF: START_PAGE_URL=
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/de.../GoogleNav.cab
    O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\windows\temp\demo.exe
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab

    Si è rosolta? Grazie molte per l'aiuto.

    Ma come posso fare a difendermi dai trojan/dialer? Di certo io ho fatto qualche cosa che non andava se il computer aveva il virus, ma un'altra persona che usa lo stess ocomputer scarica un sacco di zip e ppt di scemenze che si scambiano tra amici: mi è già successo di vedere che ricevev un file cazzate.zip e dentro lo zip c'erano, oltre ai file delle cazzate da vedere, acnhe dei dialer exe ....
    Rispondi quotando Rispondi quotando
  6. 22-02-2004, 15:59 #6
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    No, non si è affatto risolta.
    Una cosa innanzitutto, sai di avere installato questo programma
    O4 - HKLM\..\RunServices: [WinVNC] "C:\PROGRAMMI\REALVNC\WINVNC\WINVNC.EXE" -service
    http://www.ilsoftware.it/articoli.asp?ID=872


    Comunque a parte quel software, le romozioni che ti indico (quelle come SearchPage/StartPage/MainStartPage......) sono necessarie anche se, come ho letto dal tuo precedente post, forse messe di proposito dal tuo amico, anche perchè da quei siti potrebbero ripresentarsi gli stessi inconvenienti. Quindi io ti indico cosa non ci deve essere poi deciti tu.

    Ricordati che tutto va fatto non connesso e con tutte le finestre chiuse
    Lancia nuovamente HijackThis e metti la spunta al fianco di queste voci, clicca poi su Fix checked
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.suoonerie.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.suoonerie.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.suoonerie.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.suoonerie.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.suoonerie.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.alphacerca.com/cercalaterale.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.suoonerie.com
    O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\SYSTEM\WINUPD.EXE
    O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\SYSTEM\REGCPM32.EXE
    O4 - HKLM\..\Run: [atisrc2] C:\WINDOWS\SYSTEM\windfind.exe
    O4 - HKLM\..\Run: [mmxrun] \0000000\msosa.exe
    O4 - HKLM\..\Run: [vietato.exe] C:\WINDOWS\SYSTEM\vietato.exe -d
    O4 - HKLM\..\Run: [sex_i.exe] C:\WINDOWS\SYSTEM\sex_i.exe -d
    O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\SYSTEM\WINUPD.EXE
    O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\SYSTEM\REGCPM32.EXE
    O4 - HKLM\..\RunServices: [atisrc2] C:\WINDOWS\SYSTEM\windfind.exe
    O4 - HKLM\..\RunServices: [vietato.exe] C:\WINDOWS\SYSTEM\vietato.exe -d
    O4 - HKLM\..\RunServices: [sex_i.exe] C:\WINDOWS\SYSTEM\sex_i.exe -d
    O14 - IERESET.INF: SEARCH_PAGE_URL=
    O14 - IERESET.INF: START_PAGE_URL=

    questa verificala
    O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\windows\temp\demo.exe

    ma essendo nella cartella Temp, la puoi eliminare

    Ora, riavvia in modalità provvisoria ed elimina questi eseguibili anche dal cestino(.exe)

    C:\WINDOWS\SYSTEM\WINUPD.EXE
    C:\WINDOWS\SYSTEM\WINDFIND.EXE
    riavvia e posta ancora il nuovo log di HijackThis
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  7. 22-02-2004, 16:14 #7
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    P.S.
    dimenticavo ovviamente elimina (anche dal cestino) ogni riferimento che hai sul desktop, svuota la cartella TEMP, cookie e temporary internet files
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.