Dialer che non va via

**Davide91** · 14-06-2007, 16:05

Da stamattina sono in lotta con un dialer, che ogni tanto mi disconnette, offrendomi di riconnettermi con la sua finestrella

Appena metto annulla e mi ricollego normalmente, si apre una pagina a contenuto porno....
Ecco il log di hijackthis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Acunetix\Web Vulnerability Scanner 4\WVSScheduler.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\windows\system32\winlogon.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\XpertVision\TBPanel.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Admin\IMPOST~1\Temp\pzzdia.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\DAP\DAP.EXE
C:\Documents and Settings\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [updbluzs] "c:\windows\system32\updbluzs.exe"
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programmi\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [pzzica.exe] C:\DOCUME~1\Admin\IMPOST~1\Temp\pzzica.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LClock] C:\Programmi\LClock\LClock.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe "
O4 - HKLM\..\Run: [RandMAC] C:\DOCUME~1\Admin\IMPOST~1\Temp\Rar$EX04.765\MadMA Cs\MadMACs.exe doittoit
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Gainward] C:\Programmi\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [flap blue support logo] C:\Documents and Settings\All Users\Dati applicazioni\Else third flap blue\MeetSend.exe
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [pzzdia.exe] C:\DOCUME~1\Admin\IMPOST~1\Temp\pzzdia.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CyberDefender Early Detection Center] "C:\Programmi\CyberDefender\AntiSpyware\cdas95.exe " /minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Trustaudio] C:\DOCUME~1\Admin\DATIAP~1\SETUPM~1\corn each shim.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programmi\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [VoipStunt] "C:\Programmi\VoipStunt.com\VoipStunt\VoipStunt.ex e" -nosplash -minimized
O4 - HKCU\..\Run: [BitTorrent] "C:\Programmi\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [FreeCall] "C:\Programmi\FreeCall.com\FreeCall\FreeCall.e xe" -nosplash -minimized
O4 - HKCU\..\Run: [VoipCheapCom] "C:\Programmi\VoipCheapCom\VoipCheapCom.exe" -nosplash -minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [Steam] C:\Programmi\Steam\Steam.exe -silent
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programmi\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Privoxy.lnk = C:\Programmi\Privoxy\privoxy.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?4a0f631a12534377a831be867b384d76
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?4a0f631a12534377a831be867b384d76
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F270B43-B491-4341-83A6-0345B516476D}: NameServer = 213.205.36.70 213.205.32.70
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Acunetix WVS Scheduler (AcuWVSScheduler) - Acunetix Ltd. - C:\Programmi\Acunetix\Web Vulnerability Scanner 4\WVSScheduler.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe

Spero mi aiutiate

**tognazzi** · 14-06-2007, 21:08

O4 - HKLM\..\Run: [updbluzs] "c:\windows\system32\updbluzs.exe"
O4 - HKLM\..\Run: [pzzica.exe] C:\DOCUME~1\Admin\IMPOST~1\Temp\pzzica.exe
O4 - HKLM\..\Run: [pzzdia.exe] C:\DOCUME~1\Admin\IMPOST~1\Temp\pzzdia.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT...1/GAME_UNO1.cab

apri hjt, seleziona quanto sopra e fai il fix checked. se non risolvi torna a postare.
hai una connessione adsl o analogica a 56k?

**Davide91** · 14-06-2007, 21:19

Ho una connessione adsl...
Cmq ho scoperto dove risiede il dialer.
C:\Windows\Temp

Li ho eliminati e sembrava essere tutto scomparso...proprio ora son riapparsi...
Vabbè ora provo a fare come hai detto...
grazie

**tognazzi** · 14-06-2007, 21:33

Originariamente inviato da Davide91
Ho una connessione adsl...
Cmq ho scoperto dove risiede il dialer.
C:\Windows\Temp
Li ho eliminati e sembrava essere tutto scomparso...proprio ora son riapparsi...
Vabbè ora provo a fare come hai detto...
grazie

i file temporanei si rigenerano, succede sempre così in casi del genere. cmq la connessione era importante perché con l'adsl il malware non è in grado di collegarsi ai siti a pagamento che ti gonfiano la bolletta.

**Davide91** · 14-06-2007, 21:46

Originariamente inviato da tognazzi
i file temporanei si rigenerano, succede sempre così in casi del genere. cmq la connessione era importante perché con l'adsl il malware non è in grado di collegarsi ai siti a pagamento che ti gonfiano la bolletta.

Si, lo sapevo il fatto della connessione..perciò ho postato lo screen...
Cmq è ricomparso l'errore

**tecnico24** · 15-06-2007, 20:20

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip

scompatta il file.zip estraendo avenger.exe sul desktop
chidi le applicazioni aperte

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla (Ctrl+V)le scritte:
files to delete:
C:\windows\system32\updbluzs.exe"
registry values to delete:
O4 - HKLM\..\Run: [pzzica.exe] C:\DOCUME~1\Admin\IMPOST~1\Temp\pzzica.exe
O4 - HKLM\..\Run: [pzzdia.exe] C:\DOCUME~1\Admin\IMPOST~1\Temp\pzzdia.exe
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes o Sì
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script

**Davide91** · 16-06-2007, 08:57

ecco il log...
credo mi dia errore perche già li avevo eliminati tempo fa

codice:

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- no registry value to delete found.  Line will be ignored.
Error code: 0
Line: O4 - HKLM\..\Run: [pzzica.exe] C:\DOCUME~1\Admin\IMPOST~1\Temp\pzzica.exe


Syntax error in line --- no registry value to delete found.  Line will be ignored.
Error code: 0
Line: O4 - HKLM\..\Run: [pzzdia.exe] C:\DOCUME~1\Admin\IMPOST~1\Temp\pzzdia.exe

**amvinfe** · 16-06-2007, 09:04

diciamo invece che il percoso va specificato per intero

se scrivi HKLM invece di HKEY_LOCAL_MACHINE va bene uguale se scrivi \..\ invece di \Software\Microsoft\Windows\CurrentVersion\ non va bene in quanto la sintassi non è corretta e il responso del file avenger.txt te lo fà capire "Syntax error in line "

cerchiamo quindi di documentarci un attimino di più

**amvinfe** · 16-06-2007, 09:10

ah, altra cosa

se scrivi in avenger

registry values to delete:

non puoi dargli come valore da cancellare questo:

O4 - HKLM\..\Run: [pzzica.exe] C:\DOCUME~1\Admin\IMPOST~1\Temp\pzzica.exe

se vuoi eliminare il valore presente in Run devi scrivere

registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | pzzica.exe <== valore che verrà eliminato

poi non capisco che motivo ci sia ad usare HJT per la scansione ed avenger per eliminare valori che già con HJT puoi eliminare... :master:

esorto quindi tecnico24 di controllare bene ciò che scrive visto che anche un piccolo errore nello script e parlo questa volta di

files to delete:
C:\windows\system32\updbluzs.exe" <== anche le " sono un errore

può rendere vano l'utilizzo di avenger

**Davide91** · 16-06-2007, 09:26

Originariamente inviato da amvinfe

poi non capisco che motivo ci sia ad usare HJT per la scansione ed avenger per eliminare valori che già con HJT puoi eliminare... :master:

[...]

può rendere vano l'utilizzo di avenger

Infatti...anche io mi sono accorto che con HJT potevi eliminare i files...

Aspettiamo delucidazioni da parte di tecnico24
:master: :master: :master:

Discussione: Dialer che non va via

Strumenti discussione

Ricerca discussione

Visualizza

Dialer che non va via

Permessi di invio