connessione remota insistente

[SuperMariano81]

Originariamente inviato da LUCASS
Ciao per i servizi puoi usare questo
Scaricati GetService
Scompatta il tutto in una cartella,la cartella deve stare in C:\ fatto questo apri la cartella che si chiama getservice doppio click sul file getservice.bat aspetta un po,ti esce un block notes con tutti i servizi e i file che li sono legati
ciao ciao

PS a usare solo su XP, 2000, NT, e 2003 ci vogliono i privilegi di amministratore per usare il programma!!

Ottimo!
Ho appena fatto il testo sul mio PC e sembra funzionare alla grande senza grossi problemi!
stasera provo sul pc del mio amico!


grazie ancora!

[SuperMariano81]

Ciao ragazzi, anzi buongiorno (o buon caffè per chi è ancora in fase ), per quanto riguarda questo famigerato sixa ieri ho fatto un po di ricerca in google ed ho torvato su diversi forum (anche stranieri) di utenti che hanno avuto questo problema.
Il dialer si crea svariati file .exe e li mette in "C:\" ed in "c:\documents and settings\<nome utente>" i quali si ricreano una connessione ad internet, sixa appunto, che tenta di collegarsi più e più volte al numero 5 (si cinque!).
Al mio amico sono arrivati, per il mese di settembre, 70 euro di bolletta per meno di 6 minuti di connessione con questo dialer VVoVe:

Il problema è che i più diffusi e famosi software antidialer (Ad-aware 6.0, SpyBot 1.4, HiJackThis) non rilevavano la minaccia! Già con Ewido 3.5 (grazie a LUCASS) mi ha rilevato ed eliminato 33 nuove minacce che i software precedentemente indicati hanno ignorato.
Ho controllato i vari servizi, con il sw suggertio da LUCASS, ma non c'era nulla di strano.

In teoria ho risolto, nel senso che ieri siamo riusciti a navigare senza problemi per una buona mezzora anche se tengo tutto sotto controllo per un po di tempo.

Vi allego il log di hiJackThis, (fatto mentre andava ewido), io non ci ho trovat nulla di male...


=================================

Logfile of HijackThis v1.99.1
Scan saved at 21.46.49, on 03/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\spoollv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\ewido\security suite\SecuritySuite.exe
C:\Programmi\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{80B96EDF-7A33-44AE-B0EB-3A96EE8841FB}: NameServer = 151.99.125.2,194.243.154.62
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe

=================================

PS ho tolto quel spoollv.exe dopo aver fatto il log...

PPSS scusate per la lunghezza del post!

[LUCASS]

Ciao,controlla di non avere il file in rosso,se c'è eliminalo
Prima terminalo dal task manager
C:\WINDOWS\spoollv.exe
Per il servizio:
Apri il block notes e incollaci al suo interno questo

Const title = "Service Removal Tool"

Set oWS = CreateObject("Wscript.Shell")
sService = inputbox("Removing Service:",title,"spool")

If sService = "" then
msgbox "Script halted. No changes were made.", vbInformation, title
wscript.quit
End If

strComputer = "."
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonat e}!\\" & strComputer & "\root\cimv2")
Set colListOfServices = objWMIService.ExecQuery _
("Select * from Win32_Service Where Name = '" & sService & "' or displayName = '" & sService & "'")
If colListOfServices.count > 0 Then
For Each objService In colListOfServices
objService.StopService()
wscript.Sleep 5000
objService.ChangeStartMode("Disabled")
wscript.Sleep 2000
objService.Delete()
Msgbox "The " & sService & " service has been removed or marked for deletion.", vbInformation, title
Next
Else
Msgbox "The " & sService & " service was not found.", vbInformation, title
End If

File>salva con nome(desktop)salvare come tutti i file>remsvc.vbs>salva
Vai sul desktop>doppio click sul file remsvc.vbs>e aspetta una finestra assicurati che nella casellina sia riportato questo nome spool se non c'è incollacelo tu e clicca su OK
Con hijack fissa questa voce
O23 - Service: spool - Unknown owner -C:\WINDOWS\spoollv.exe

[SuperMariano81]

Ciao!
ho tolto la spunta da hijackthis e cancellato a mano il file, non ho disabilitato il servizio; se dovesse riapparire userò i tuo VB script!
Comodo anzi!

[SuperMariano81]

Dimenticavo!
hai un caffè ed una brioches pagati al bar qua sotto!

[LUCASS]

Grazie per il caffe,per il servizio non serve per tutti devi modificare lo script se ti serve per altri servizi legati a malware anzi mi hai ricordato una cosa siccome lo script non è mio,è stato fatto da un moderatore di un altro forum ci devo mettere il ringraziamento

"Service Removal Tool" by OLDTIMER
Grazie tanto a Bleepingcomputer per l'aiuto
With Many Thanks to Bleepingcomputer for this great help.