connessione csrmon

[sghemonfox]

Ciao a tutti... e rieccoci qua!!!!
Porca paletta sono 15 anni che smanetto col pc e non ho mai avuto problemi....
In 3 mesi me ne stanno capitando una dietro l'altra e
per fortuna che ci siete voi ad aiutarci.....

Allora.....
Dopo circa 3/4 minuti che sono in internet mi disconnetto e il telefonino cerca di connettersi ad un 899.
vado a vedere nelle connessioni e mi appare per qualche istante una connessione "csrmon" ...
Penso sarà un dialer....

ho fatto una piccola ricerca nel forum (certo quella che sono riuscito a fare in 5 minuti) e on ho trovato discussioni su questo dialer (o quel che sia)....
Vi metto il log di HijackThis.... e aspetto vostre gradite notizie....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.07.47, on 29/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.ex e
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\rundtl32.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\hijacthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 302
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [rundtl32] C:\WINDOWS\rundtl32.exe /after
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O21 - SSODL: oledll - {42445467-183A-C20F-DD27-CF14D224B679} - C:\WINDOWS\system32\wdaol.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.ex e
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6344 bytes

[amvinfe]

Ciao,

scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Vai su http://www.freefilehosting.net carica il file con estensione .zip e scrivi, nella tua prossima replica l'URL per poterlo scaricare.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così

[sghemonfox]

Ciao ho fatto come mi hai consigliato: ecco i link:

30_04_2008_14_52_report.zip

Direct link: http://www.freefilehosting.net/download/3gc1e

Aspetto tue notizie, Grazie….

[amvinfe]

Apri il Blocco note ed inserisci al suo interno le scritte in blu, fai un copia/incolla

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{42445467-183A-C20F-DD27-CF14D224B679}]

[-HKCU\Software\Microsoft\Windows\CurrentVersion\Run \rundtl32]

Clicca in alto a sx su "File" poi su "Salva con nome", dalla finestra che si apre clicca in corrispondenza di "Salva come:">seleziona "Tutti i file">nella casella "Nome file" scrivi fix.reg > salva il file in C:\




apri SystemScan>Clicca su "Removal Script".
Allinterno del box bianco copia ed incolla i valori riportati qui sotto in rosso:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | oledll

Files to delete:
C:\WINDOWS\rundtl32.exe
C:\WINDOWS\wdaol.dll

Programs to launch on reboot:
c:\fix.reg

ora clicca su "Proceed with removal" e poi su OK.

Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt) insieme ad uno nuovo di SystemScan

tutte le operazione vanno eseguite NON connesso e con l'antivirus disabilitato

[sghemonfox]

Fatto come mi hai chiesto....
ora sto usando un portatile di un amico.... penso di aver risolto il problema... piu tardi provo a connettermi e ti faccio sapere. Per il momento, come da tua richiesta, ti allego il risultato di avenger che è questo.....
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\xoebshwi

*******************

Script file located at: \??\C:\WINDOWS\fhjkejxt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\rundtl32.exe deleted successfully.


File C:\WINDOWS\wdaol.dll not found!
Deletion of file C:\WINDOWS\wdaol.dll failed!

Could not process line:
C:\WINDOWS\wdaol.dll
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad|oledll deleted successfully.
Program c:\fix.reg successfully set up to run once on reboot.
Program C:\Documents and Settings\Nico\Desktop\sys61100.exe successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

Poi ti do i link per scaricare il report si suspect.....

GRAZIE.......

http://www.freefilehosting.net/download/3gdhd

01_05_2008_15_14_report.zip

aspetto tue notizie......

[sghemonfox]

Ciao.....
volevo dirti che sono connesso da una mezz'oretta e non ho avuto più problemi......
Ti ringrazio dell'aiuto che mi hai dato...
Cmq se ti va controllami lo stesso i due report che ti ho messo sopra e guarda se c'è qualcosa che non ti convince.....

Grazie Grazie Grazie............

[amvinfe]

purtroppo i problemi sono ancora presenti.

Sempre con SystemScan e sempre con antivirus e connessione non attivi:

Apri SystemScan>Clicca su "Removal Script".
Allinterno del box bianco copia ed incolla i valori riportati qui sotto in rosso:

File to delete:
C:\WINDOWS\system32\NeroCheck.exe172259530
C:\WINDOWS\system32\wdaol.dll
C:\WINDOWS\system32\drivers\gr^nqjdt.sys
C:\DOCUME~1\Nico\IMPOST~1\Temp\r2341182435.exe

ora clicca su "Proceed with removal" e poi su OK.

Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

Da Start>Esegui scrivi regedit e dai l'OK, ora aiutandoti con i + portati in
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
apri la cartellina Run e dal pannello di dx seleziona con il dx del mouse
rundtl32
clicca su "Elimina".

Riavvia.

Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt)

NB
una cortesia, inviami per mail i file backup.zip che troverai all'interno della cartella avenger in C:\

grazie

[sghemonfox]

Ciao... Prima di tutto grazie a te x l'aiuto che mi stai dando...
Allora...
Fatto tutto quello che mi hai consigliato fino al riavviare...
poi mi hai chiesto di postarti il contenuto del log generato da avenger ma mi è sorto il dubbio che su C: ho solo quello del 1° maggio e non quello di oggi.
Pensandoci, quando ho inserito la stringa che mi hai detto di copiare mi diceva di inserire un "valid script file"... ho fatto ok e non si è riavviato. Quindi ho riavviato io.....

Dopodichè sono andato a cancellare il file Rundtl32...

Ora ti devo chiedere.... Quale risultato ti devo postare?

E poi qual'è la mail sul quale inviarti il file backup.zip?

Grazie aspetto tue notizie....

[amvinfe]

porca paletta, mi sa che mi sto rincoglionendo. Errore mio ho scritto "file" al singolare invece che al plurare.
Scusami.
Ecco lo script corretto da inserire.

Files to delete:
C:\WINDOWS\system32\NeroCheck.exe172259530
C:\WINDOWS\system32\wdaol.dll
C:\WINDOWS\system32\drivers\gr^nqjdt.sys
C:\DOCUME~1\Nico\IMPOST~1\Temp\r2341182435.exe

ora troverai anche l'ultimo avenger.txt

questa la mia mail

amvinfe (at) suspectfile.com

Grazie.

[sghemonfox]

Ciao...
Non ti preoccupare.... Anche i migliori possono commettere errori.....
Allora......
Questo è il risultato di avenger:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\cxvxlgmy

*******************

Script file located at: \??\C:\WINDOWS\system32\csyhptag.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\NeroCheck.exe172259530 deleted successfully.
File C:\WINDOWS\system32\wdaol.dll deleted successfully.
File C:\WINDOWS\system32\drivers\gr^nqjdt.sys deleted successfully.
File C:\DOCUME~1\Nico\IMPOST~1\Temp\r2341182435.exe deleted successfully.
Program C:\Documents and Settings\Nico\Desktop\sys61100.exe successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

N.B. Volevo farti presente che dopo aver cercato di rimuovere sono usciti 2 avvisi di errore:
Uno diceva Fatal error e l'altro error code: 1813 error logged to errorlog.txt aborting now...
Poi ho riavviato un paio di volte e sistemscan mi ha dato il responso di avenger e il file backup (che ti sto inviando via mail)...

Attendo tue ntizie....

Grazie