son due settimane che impazzisco con 'sto dialer, dopo un po che sono connesso ad internet mi butta giu' la line e inizia a fare un n. di telefono (immagino un 899, che ho cmq disabiltato da telecom).
si installa un .exe con nome sempre diverso su /winnt/temp di 57k (come icona appaiono due labbra rosse ...)
inserisce sul regisry una autoloading entry che lo fa rieseguire ad ogni ripartenza di windows.
se anche elimino il file .exe + l'entry sul registry con hijackthis, dopo un po' mi ricompare di nuovo il dialer in /winnt/temp con un'altro nome.
ho installato nod32 v2.5 e avg 7.1, ho scannato in disco con spybot+adaware+doctorspy : niente. (non ho nessun firewall)
in precedenza avg mi aveva diagnosticato LOP.AH che avevo rimosso con l'utility di prevx ( ma questo credo che non c'entri, xk e' passato un po' di tempo da quando mi sono impestato di nuovo con questo dialer...).
recentemente invece nod32 mi aveva segnalato come sospetto un nul.exe che sono riuscito a rimuovere (dopo varie peripezie) con una utility di eset + ho eliminato manualmente dal registry tutti i riferimenti al nul.exe.
come ultima cosa ho provato a controllare i servizi di windows (ho w2k) ed ho trovato due cose strane. Tutti i servizi hanno nella colonna 'Connessione' LocalSystem, tranne due che hanno :
.\ASPNET e .\iwUZkvUP
possono essere questi ?
posso fare danni se li disabilito ?
hijackthis controlla le entry dei servizi di windows ?
esiste da qualche parte documentazione di quali sono i servizi essenziali di windows e a cosa servono ? (in modo da poter riconoscere e stoppare cose inutili o dannose...)
vi allego il log di hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 21.07.46, on 06/02/2007
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
c:\winnt\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\LTSMMSG.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Eset\nod32kui.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\WINNT\TEMP\z€nmaa.exe
C:\Programmi\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\mmc.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=hom e
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [z€nmaa.exe] C:\WINNT\Temp\z€nmaa.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C48A176-FADF-4369-86F7-81E2D749C5D5}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4CE8F8C-B108-4DFA-924D-EE5541B4B873}: NameServer = 192.168.253.12
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
GRAZIE 1000 A CHIUNQUE MI PUO' DARE UNA MANO !!!
stefano
Rispondi quotando