Per cortesia una mano con questo log di Hijackthis

[Zero G]

Solito problema di dialers (maledetti! )
Gli effetti sono abbastanza comuni : dopo 4-5 minuti si stacca la connessione "legale" e cerca di collegarsi con un numero 899. Ho scaricato Spybot ed Ad-aware senza che mi risolvessero nulla. Il log di Hijackthis è questo:

Logfile of HijackThis v1.98.2
Scan saved at 11.35.07, on 03/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\HotXXXut.exe
C:\WINDOWS\svchst.exe

C:\WINDOWS\Adult_Playut.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ShellExt\au.EXE
C:\Documents and Settings\utente principale\Desktop\HijackThis.exe
C:\Programmi\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmi\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HotXXXut] C:\WINDOWS\HotXXXut.exe
O4 - HKLM\..\Run: [SchedulerMgr] C:\WINDOWS\navchk.exe /i
O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\svchst.exe /i
O4 - HKLM\..\Run: [Adult_Playut] C:\WINDOWS\Adult_Playut.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programmi\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mpeg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll

ci sono un paio di filez sospetti au.exe , hotxxxut.exe, adultplayut.exe

Il nome della connessione è "au" e si riforma anche quando viene cancellata. L'ultima volta che ho messo le mani su quel PC sono sicuro di aver cancellato hot*.* e adult*.*, non ricordo se ho ucciso anche au.exe.
Sono però sicuro che il problema si è ripresentato al riavvio del PC.
Cosa faccio se dopo aver cancellato anche AU.exe mi ritrovo punto e a capo?
Come faccio a immunizzarlo in maniera definitiva?
Installare mozzilla firefox potrebbe essere un metodo?

Grazie.

[antares11]

dialer per dialer, prova 'antidialer scanner' che trovi qua a fondo pagina (free, con relative istruzioni) e dovrebbe trovarti qualcosa
http://www.sicurezzainrete.com/antidialer.htm
se lo usi posta le tue impressioni

[Zero G]

Ok, proverò anche questa
Ma come fanno i dialers a "camuffare" il numero di telefono nella connessione?
Quando vedo il num c'è solo "0" ma so per certo che compone un 899...

[nickcrazy]

:master: mi puzza parecchio quel svchst.exe nella cartella windows, perchè dovrebbe chiamarsi svchost.exe ed essere nella sottocartella system32, che non sia un virus?

[Zero G]

heeeeeemmmm.....
Qual'è la collocazione naturale di svchost.exe?

Se lo uccido da hijack e poi mi son sbagliato disintegro tutto e pagherò la mia disattenzione con un "format c:"?

[nickcrazy]

Originariamente inviato da Zero G
heeeeeemmmm.....
Qual'è la collocazione naturale di svchost.exe?

Se lo uccido da hijack e poi mi son sbagliato disintegro tutto e pagherò la mia disattenzione con un "format c:"?

Come ti ho detto svchost.exe è un file legittimo che si trova nella sottocartella system32 di C\WINDOWS, mentre il file che hai tu si chiama svchst.exe e si trova in C\WINDOWS (tipico comportamento di files fraudolenti che assomigliano al nome di file legittimi), io fossi in te farei prima una bella scansione antivirus, poi con ad-aware e spybot, infine se detto file resistesse a questo trattamento lo eliminerei da hijack, ma prima di tutto questo mi farei una bella ricerca su google su questo file per capire di cosa si tratta

[Zero G]

Originariamente inviato da nickcrazy
Come ti ho detto svchost.exe è un file legittimo che si trova nella sottocartella system32 di C\WINDOWS, mentre il file che hai tu si chiama svchst.exe e si trova in C\WINDOWS (tipico comportamento di files fraudolenti che assomigliano al nome di file legittimi), io fossi in te farei prima una bella scansione antivirus, poi con ad-aware e spybot, infine se detto file resistesse a questo trattamento lo eliminerei da hijack, ma prima di tutto questo mi farei una bella ricerca su google su questo file per capire di cosa si tratta

adesso provo.

Grazie!

[nickcrazy]

Se trattasi di trojan o virus potresti anche andare QUI e uploadare detto file per fare una scansione con ben 11 antivirus

[Zero G]

Alla TREND
mi dicono:

This procedure terminates the running malware process.

1. Open Windows Task Manager.
» On Windows 95, 98, and ME, press
CTRL+ALT+DELETE
» On Windows NT, 2000, and XP, press
CTRL+SHIFT+ESC, then click the Processes tab.
2. In the list of running programs*, locate the process:
SVCHST.EXE
3. Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system.
4. To check if the malware process has been terminated, close Task Manager, and then open it again.
5. Close Task Manager.

Se è questo è un worm

Mi si presenta un luuuuuuunghissimo pomeriggio (o format c: e festa finita )

[nickcrazy]

Originariamente inviato da Zero G
Alla TREND
mi dicono:

This procedure terminates the running malware process.

1. Open Windows Task Manager.
» On Windows 95, 98, and ME, press
CTRL+ALT+DELETE
» On Windows NT, 2000, and XP, press
CTRL+SHIFT+ESC, then click the Processes tab.
2. In the list of running programs*, locate the process:
SVCHST.EXE
3. Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system.
4. To check if the malware process has been terminated, close Task Manager, and then open it again.
5. Close Task Manager.

Se è questo è un worm

Mi si presenta un luuuuuuunghissimo pomeriggio (o format c: e festa finita )

Fermo lì . Se fosse un worm fai come detto: taskmanager disabiliti il processo, dopodichè cerchi se trovi un tool apposito di rimozione per quel worm (se ne trovano diversi e specifici per sigoli o per più categorie di worm presso diversi siti antivirus tipo norton, mcafee ed inoltre la maggior parte sono gratuiti), poi vai nel pannello di controllo--->sistema--->ripristino configurazione di sistema e la disattivi, riavvia in modalità provvisoria (controlla che il processo non sia in esecuzione) e fai partire il tool o se non ci fosse l'antivirus, ricordati infine di riattivare ripristino configurazione di sistema