principiante v.s. dialer

[greydayinparis]

Ciao a tutti ho un disperato bisogno di aiuto !Ho un maledetto dialer che mi interrompe la connessione creandone una nuova con il nome di gvabb che mi connette a numeri speciali. Ho scansionato con ad aware e spybot ma non ho risolto nulla. Cosa posso fare? che programmi devo scaricare?Grazie a tutti per il vostro aiuto!

[tognazzi]

un programma specifico contro i dialer è a-squared Anti-Dialer
http://www.emsisoft.com/en/software/antidialer/

puoi anche postare un log di hijackthis.
la procedura è spiegata al punto 4 della guida antimalware tra i thread in rilievo.
se è possibile (e spesso lo è) facciamo la rimozione manuale del dialer.

[greydayinparis]

Ciao Tognazzi. Per prima cosa grazie del tuo aiuto. Seconda cosa volevo dirti che dopo aver eseguito i primi 4 punti della guida,senza risultati, provo a scaricare hijack this ma internet explorer si chiude in automatico e lo fa ogni volta che provo a scaricarlo da qualsiasi sito web. Sicuramente la colpa è del dialer o di qulche altro virus che ho nel pc ma che però ne AVG ne AD Aware ne Spybot riesce a trovare.Ora provo a scaricare il setup di hijack dal pc di un amico poi in caso ti mostro il log. Grazie ancora! Ti tengo aggiornato!!

[tognazzi]

http://forum.html.it/forum/showthrea...readid=1110210

probabile infezione da rootkit. sono sempre più frequenti.
tieni d'occhio anche il thread sopra e comincia a scaircare dei software antirootkit, in particolare avg antirootkit beta ed f-secure blacklight.
da una ricerca su questo stesso forum poi trovare i link per scaricarli e discussioni sui rootkit che ti possono aiutare.

[greydayinparis]

Ciao Tognazzi. Ho provato a istallare i programmi da te consigliati, ma f-secure black ligth il virus non me lo fa istallare(neanche in modalità provvisoria) mentre avg antirootkit beta non trova nessun virus. Non so più cosa fare, ma se ti puo essere d'aiuto nell' autare me posso dirti che questo virus è in grado di spegnermi ogni tot di tempo il pc.Attendo tue indicazioni. Grazie ancora!

[Habanero]

suppongo che greydayinparis volesse rispondere a questa discussione invece che aprirne una nuova...

Ho unito le discussioni ma la prossima volta fa' attenzione a cliccare su "rispondi" invece che su "nuovo"

[OYS]

Se c'è un rootkit o qualcosa del genere, con systemscan le cose potrebbero esserci più chiare...
Fai una scansione con systemscan.
Una volta eseguita la scansione portati in C:\suspectfile e carica il file report.txt su www.sendmefile.com e scrivi il link per poterlo scaricare

[greydayinparis]

Ciao sono riuscito a scaricare il programma runscanner e fare il log. Ve lo mando, però da quando l'ho scaricato il pc mi si spegne molto più frequentemente e a volte non riesco a scrivervi. Ciao

Runscanner logfile http://www.runscanner.net

000 General info
----------------
Computer name : EZIO-FD7BE9A2F2
Type of scan : Full scan
RunScanner Version : 0.9.0.0
Creation time : 11/04/2007 19.17.32
OS : Microsoft Windows 2000
OS Build : 2195
OS SP : Service Pack 4
User Language : Italiano (Italia)
IE version : 6.0.2600.0000
Windows folder : C:\WINNT

001 Running processes
---------------------
c:\progra~1\grisoft\avgfre~1\avgamsvr.exe (GRISOFT, s.r.o.)
c:\progra~1\grisoft\avgfre~1\avgupsvc.exe (GRISOFT, s.r.o.)
c:\progra~1\grisoft\avgfre~1\avgemc.exe (GRISOFT, s.r.o.)
c:\winnt\system32\drivers\cdac11ba.exe (Macrovision)
c:\winnt\system32\ufdsvc.exe (Generic)
c:\progra~1\grisoft\avgfre~1\avgcc.exe (GRISOFT, s.r.o.)
c:\programmi\quicktime\qttask.exe (Apple Computer, Inc.)
c:\programmi\trust\mi-2500x optical mouse\mouse32a.exe
c:\programmi\cyberlink\powerdvd\pdvdserv.exe (Cyberlink Corp.)
c:\programmi\nikon\pictureproject\nkbmonitor.exe (Nikon Corporation)
c:\docume~1\ezio\impost~1\temp\724772.exe
c:\documents and settings\ezio\documenti\rimuovere dialer\runscanner.exe (Runscanner.net)

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\progra~1\grisoft\avgfre~1\avgcc.exe (GRISOFT, s.r.o.)
c:\programmi\quicktime\qttask.exe (Apple Computer, Inc.)
c:\programmi\trust\mi-2500x optical mouse\mouse32a.exe
c:\winnt\system32\nerocheck.exe (Ahead Software Gmbh)
c:\docume~1\ezio\impost~1\temp\724772.exe
c:\programmi\cyberlink\powerdvd\pdvdserv.exe (Cyberlink Corp.)

003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\docume~1\ezio\impost~1\temp\724772.exe

005 C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
----------------------------------------------------------------------------------
c:\progra~1\fileco~1\adobe\calibr~1\adobeg~1.exe (Adobe Systems, Inc.)
c:\progra~1\adobe\acroba~1.0\reader\reader~1.exe (Adobe Systems Incorporated)
c:\progra~1\nikon\pictur~1\nkbmon~1.exe (Nikon Corporation)

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
-----------------------------------------------------
c:\progra~1\grisoft\avgfre~1\avgamsvr.exe (AVG7 Alert Manager Server)
c:\progra~1\grisoft\avgfre~1\avgupsvc.exe (AVG7 Update Service)
c:\progra~1\grisoft\avgfre~1\avgemc.exe (AVG E-mail Scanner)
c:\winnt\system32\drivers\cdac11ba.exe (C-DillaCdaC11BA)
* C:\WINNT\system32\dmadmin.exe (Servizio amministrativo di Gestione disco logico)
* c:\programmi\google\common\google updater\googleupdaterservice.exe (Google Updater Service)
c:\winnt\system32\ufdsvc.exe (UFD Command Service)

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
----------------------------------------------------
C:\WINNT\system32\drivers\avgarkt.sys (AVG Anti-Rootkit)
c:\winnt\system32\drivers\avg7core.sys (AVG7 Kernel)
c:\winnt\system32\drivers\avg7rsnt.sys (AVG7 Resident Driver NT)
c:\winnt\system32\drivers\avg7rsw.sys (AVG7 Wrap Driver)
C:\WINNT\system32\drivers\avgarcln.sys (Avg Anti-Rootkit Clean Driver)
c:\winnt\system32\drivers\avgtdi.sys (AVG Network Redirector)
c:\winnt\system32\drivers\cdac15ba.sys (CdaC15BA)
* C:\WINNT\system32\drivers\cnxtrlan.sys (Access Gateway USB Network Adapter driver)
* C:\WINNT\system32\drivers\cnxtrusb.sys (Access Gateway USB Interface Device Driver)
* C:\WINNT\system32\drivers\dmboot.sys (Filter)
* C:\WINNT\system32\drivers\dmio.sys (Driver Gestione disco logico)
* C:\WINNT\system32\drivers\dmload.sys (System Bus Extender)
C:\WINNT\system32\drivers\hsfhwbs2.sys (HSF_HWB2 WDM driver)
C:\WINNT\system32\drivers\hsf_dp.sys (HSF_DP driver)
C:\WINNT\system32\drivers\mdmxsdk.sys (Diagnostic Interface DRIVER)
C:\WINNT\system32\drivers\nv4_mini.sys (Video)
* C:\WINNT\system32\drivers\ptilink.sys (Driver Direct Parallel Link)
C:\WINNT\system32\drivers\pxhelp20.sys (Filter)
c:\winnt\system32\drivers\secdrv.sys (SecDrv)
* C:\WINNT\system32\drivers\tffsport.sys (M-Systems DiskOnChip 2000)
- c:\winnt\system32\drivers\uiusys.sys (Conexant Setup API)
C:\WINNT\system32\drivers\hsf_cnxt.sys (HSF_CNXT driver)

031 HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
-------------------------------------------
c:\programmi\file comuni\microsoft shared\information retrieval\msitss.dll (Microsoft Corporation) {0A9007C0-4076-11D3-8789-0000F8105754}

033 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
-----------------------------------------------------------------------
c:\winnt\system32\siemenscenter.exe

035 HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
-------------------------------------------------------------
- C:\WINNT\system32\updcrl.exe -e -u C:\WINNT\system32\verisignpub1.crl {9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}

036 HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
----------------------------------------------------------------
About:Home

052 HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects
----------------------------------------------------------------------------------
* c:\programmi\adobe\acrobat 7.0\activex\acroiehelper.dll (Adobe Systems Incorporated) {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- c:\winnt\xkboy1.dll {E4B0A079-078B-8423-EE91-FEC86B9E0AB4}

061 HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved
----------------------------------------------------------------------------
- deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3}
* c:\winnt\system32\hticons.dll (Hilgraeve, Inc.) {88895560-9AA2-1069-930E-00AA0030EBC8}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79305-84BE-11CE-9641-444553540000}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79306-84BE-11CE-9641-444553540000}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79307-84BE-11CE-9641-444553540000}
c:\programmi\grisoft\avg free\avgse.dll (GRISOFT, s.r.o.) {9F97547E-4609-42C5-AE0C-81C61FFAEBC3}
c:\programmi\grisoft\avg free\avgse.dll (GRISOFT, s.r.o.) {9F97547E-460A-42C5-AE0C-81C61FFAEBC3}
* c:\programmi\file comuni\autodesk shared\thumbnail\acthumbnail16.dll (Autodesk) {AC1DB655-4F9A-4c39-8AD2-A65324A4C446}
* c:\winnt\system32\acsignicon.dll (Autodesk) {36A21736-36C2-4C11-8ACB-D4136F2B57BD}
c:\programmi\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

062 HKLM\Software\Classes\Folder\Shellex\ColumnHandler s
-------------------------------------------------------
c:\programmi\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}

063 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
---------------------------------------------------------------------
autocheck autochk *

100 Internet Explorer settings
------------------------------
Start Page HKCU : http://www.google.it/
Start Page HKLM : http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=hom e
Search Page HKLM : http://www.microsoft.com/isapi/redir...ie&ar=iesearch
Default_Page_URL HKLM : http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
Default_Search_URL HKLM : http://www.microsoft.com/isapi/redir...ie&ar=iesearch
CustomizeSearch HKLM : http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
SearchUrl HKCU : http://www.google.com/keyword/%s

106 HKLM\Software\Microsoft\Windows\CurrentVersion\URL
------------------------------------------------------
Default : http://
ftp : ftp://
gopher : gopher://
home : http://
mosaic : http://
www : http://

120 Domain/DNS hijacking
------------------------
NameServer {C1457840-2FAF-4796-B788-E01D5A041231} : 193.70.152.15 193.70.152.25

161 HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System
------------------------------------------------------------------
dontdisplaylastusername : 0
shutdownwithoutlogon : 1

173 HKCR\*\shellex\ContextMenuHandlers
--------------------------------------
c:\programmi\grisoft\avg free\avgse.dll (GRISOFT, s.r.o.) {9F97547E-4609-42C5-AE0C-81C61FFAEBC3}
c:\programmi\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
c:\progra~1\winzip\wzshlstb.dll (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}

180 FileType Hijacking
----------------------
HKEY_CLASSES_ROOT batfile : "%1" %*
HKEY_CLASSES_ROOT cmdfile : "%1" %*
HKEY_CLASSES_ROOT comfile : "%1" %*
HKEY_CLASSES_ROOT exefile : "%1" %*
HKEY_CLASSES_ROOT htafile : C:\WINNT\system32\mshta.exe "%1" %*
HKEY_CLASSES_ROOT piffile : "%1" %*
HKEY_CLASSES_ROOT scrfile : "%1" /S

[OYS]

Schiaccia ctrl alt canc e termina i processi con scritto siemens. Poi elimina i seguenti file:

c:\winnt\system32\siemenscenter.exe
c:\docume~1\ezio\impost~1\temp\724772.exe
C:\WINNT\system32\updcrl.exe (dovrebbe appartenere Worm.Bagle.p)


Infine controlla su www.virustotal.com/en/indexx.html questo file:

C:\WINNT\system32\verisignpub1.crl