Strano Dialer

[Cosimo77]

Salve a tutti, sono un nuovo iscritto e vorrei subito aprire una discussione esponendovi un problema:

Credo di essermi preso un “dialer” in quanto, da alcuni giorni, si sta verificando sul mio PC un brutto inconveniente. Praticamente succede che sia che sono collegato ad internet sia che non lo sono, tranquillamente dopo circa 15 minuti dall’accensione del computer mi parte automaticamente un tentativo di connessione. Se vado nella finestra “connessioni di rete” mi compare l’icona di connessione in corso dal nome “Internet”. Inoltre, se ci clicco sopra, non mi compare nessun numero telefonico, ma il tentativo di connessione è in atto.

Per questo motivo non riesco più a collegarmi ad internet per più di 15 minuti che subito mi cade la connessione e riparte quest’altra (vorrei precisare che ho una normale connessione 56k).

Ho fatto la scansione con Kaspersky 6.0, ma non mi ha trovato il problema (anche se ho una versione ormai vecchia di un anno, che non posso più aggiornare... Vorrei ora istallare AVG, mi pare che sia un antivirus gratuito...).

Come posso fare per risolvere questo inconveniente?

Grazie per la vs. cortesia!

[ste_95]

premetto subito che se ti vuoi installare un antivirus come AVG, non metterlo proprio...

comunque per risolvere questo problema, potrebb essere necessario fare una scansione con hijackthis 2.0, e comunque fare una scansione online con kaspersky e postarne il relativo log finale...

[tecnico24]

ciao,per verificare la presenza del dialer sul tuo pc,scaricati hijackthis da qui---> http://www.angololibero.it/software/...ijackthis.html
avvialo,clicca su do a system scan and save logfile,fara una piccola scansione,uscira' un logfile con delle scritte,riporta tutto qui con un copia|incolla.

[Cosimo77]

Originariamente inviato da tecnico24
ciao,per verificare la presenza del dialer sul tuo pc,scaricati hijackthis da qui---> http://www.angololibero.it/software/...ijackthis.html
avvialo,clicca su do a system scan and save logfile,fara una piccola scansione,uscira' un logfile con delle scritte,riporta tutto qui con un copia|incolla.

Ciao,
ho scaricato Hijackthis e ho eseguito la scansione, come mi hai gentilmente suggerito.
Il logfile dovrebbe essere questo:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.14.39, on 26/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\winlogon.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\DOCUME~1\Utente\IMPOST~1\Temp\2718258.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\byovha.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Utente\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ijwmi] "C:\DOCUME~1\Utente\IMPOST~1\Temp\2718258.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [byovha.exe] C:\DOCUME~1\Utente\IMPOST~1\Temp\byovha.exe
O4 - HKLM\..\Run: [updprifv] "c:\windows\system32\updprifv.exe"
O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\Utente\IMPOST~1\Temp\delus.exe
O4 - HKCU\..\Run: [ijwmi] "C:\DOCUME~1\Utente\IMPOST~1\Temp\2718258.exe"
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\winsys.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\web\zoomin.htm
O8 - Extra context menu item: Zoom &Out - C:\WINDOWS\web\zoomout.htm
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {00000000-0023-0000-5400-320020040070} - http://www.accessoveloce.com/intelia...eeInternet.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EB320DA-AD53-473A-87AB-4789BDE87A31}: NameServer = 151.99.125.2,194.243.154.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{18D763B0-4D4D-4468-9C09-5C43F4F5911D}: NameServer = 151.99.125.2,194.243.154.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{0EB320DA-AD53-473A-87AB-4789BDE87A31}: NameServer = 151.99.125.2,194.243.154.62
O17 - HKLM\System\CS2\Services\Tcpip\..\{0EB320DA-AD53-473A-87AB-4789BDE87A31}: NameServer = 151.99.125.2,194.243.154.62
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: InteractiveLogon - Unknown owner - C:\WINDOWS\System32\Fast.exe (file missing)
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Utente/IMPOST~1/Temp/msohtml1/01/clip_image001.jpg

--
End of file - 5884 bytes


Ora che cosa bisognerebbe fare? Ammetto che non sono molto pratico con il PC...

[ste_95]

adesso seleziona le voci che ti elenco e premi su fix checked....:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,
O4 - HKLM\..\Run: [ijwmi] "C:\DOCUME~1\Utente\IMPOST~1\Temp\2718258.exe"
O4 - HKLM\..\Run: [byovha.exe] C:\DOCUME~1\Utente\IMPOST~1\Temp\byovha.exe
O4 - HKLM\..\Run: [updprifv] "c:\windows\system32\updprifv.exe"
O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\Utente\IMPOST~1\Temp\delus.exe
O4 - HKCU\..\Run: [ijwmi] "C:\DOCUME~1\Utente\IMPOST~1\Temp\2718258.exe"
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\winsys.exe
O23 - Service: InteractiveLogon - Unknown owner - C:\WINDOWS\System32\Fast.exe (file missing)

questa voce è sospetta: aspetta a fixarla...

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Utente/IMPOST~1/Temp/msohtml1/01/clip_image001.jpg

poi scarica avenger da qui: http://swandog46.geekstogo.com/avenger.zip

aprilo, vai su input script manually, poi sulla lente, e copia queste righe:

Files to delete:
C:\DOCUME~1\Utente\IMPOST~1\Temp\2718258.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\byovha.exe
c:\windows\system32\updprifv.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\delus.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\2718258.exe
C:\WINDOWS\winsys.exe
C:\WINDOWS\System32\Fast.exe

poi vai su done, poi sul semaforino, acconsenti, a questo punto il computer dovrebbe riavviarsi, altrimenti fallo tu manualmente...

al riavvio ti apparirà il blocco note, copiane il contenuto nel forum...

poi svuota le cartelle temp e fai una pulizia con CCleaner...

inoltre ti consiglio VIVAMENTE di aggiornare il tuo sistema con il service pack 2, tranquillamente scaricabile dal sito della Microsoft, esso è un pacchetto di aggiornamenti che chiude alcune falle nel sistema, così che alcuni virus possano essere resi inoocui, direttamente dal sistema, senza intervento di antivirus o firewall... ciò non toglie però la grandissima utilità di usare dei software di protezione, quali antivirus, antispyware firewall e moduli hips volendo...
inoltre potresti aggiornare il tuo browser, vedo che hai ancora la versione 6, è uscita 7, dove sono stati corretti molti problemi...

comunque dopo questa spiegazione dovresti avere le idee più chiare...

a questo punto dovresti avere risolto...

fai sapere...

[tecnico24]

nelle voci che ha detto ste-95 da fixare,aggiungici questa:

O16 - DPF: {00000000-0023-0000-5400-320020040070} - http://www.accessoveloce.com/inteli...reeInternet.exe


che e' molto pericoloso.

[Cosimo77]

Ciao,
ho seguito la procedura che mi hai indicato: vorrei precisare che non ho potuto selezionare e cancellare le voce “O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\Utente\IMPOST~1\Temp\delus.exe”, in quanto non era più presente nell’elenco, logfile, che esce fuori quando si avvia Hijackthis.

Questo è il logfile di Avenger ottenuto subito dopo che il PC si è riavviato:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\rbdyojxf

*******************

Script file located at: \??\C:\WINDOWS\envbxvsi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\DOCUME~1\Utente\IMPOST~1\Temp\2718258.exe deleted successfully.
File C:\DOCUME~1\Utente\IMPOST~1\Temp\byovha.exe deleted successfully.
File c:\windows\system32\updprifv.exe deleted successfully.


File C:\DOCUME~1\Utente\IMPOST~1\Temp\delus.exe not found!
Deletion of file C:\DOCUME~1\Utente\IMPOST~1\Temp\delus.exe failed!

Could not process line:
C:\DOCUME~1\Utente\IMPOST~1\Temp\delus.exe
Status: 0xc0000034



File C:\DOCUME~1\Utente\IMPOST~1\Temp\2718258.exe not found!
Deletion of file C:\DOCUME~1\Utente\IMPOST~1\Temp\2718258.exe failed!

Could not process line:
C:\DOCUME~1\Utente\IMPOST~1\Temp\2718258.exe
Status: 0xc0000034



File C:\WINDOWS\winsys.exe not found!
Deletion of file C:\WINDOWS\winsys.exe failed!

Could not process line:
C:\WINDOWS\winsys.exe
Status: 0xc0000034



File C:\WINDOWS\System32\Fast.exe not found!
Deletion of file C:\WINDOWS\System32\Fast.exe failed!

Could not process line:
C:\WINDOWS\System32\Fast.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Mi hai consigliato anche di svuotare “le cartelle temp” ma come dovrei fare? Qual’è il percorso che devo seguire per trovare queste cartelle e svuotarle?

Mi hai anche suggerito di fare una pulizia con “CCleaner” ma dove posso trovare questo programma? E per aggiornare il sistema con il service pack 2, da dove lo posso scaricare (..dal sito della Microsoft, ma mi potresti indicare un link esatto? E’ gratuito?)

Inoltre cosa dovrei fare per aggiornare il mio browser con la versione 7?

Non so se il problema che avevo riscontrato è stato risolto perchè originariamente l’inconveniente si manifestava in maniera discontinua, ad intermittenza. Quindi per alcune ore cercherò di tenere il Computer sotto controllo... per rendermi conto bene se il problema è stato eliminato del tutto...

Ti ringrazio veramente tanto per gli utilissimi consigli e suggerimenti!!!

[ste_95]

CCleaner: http://www.ccleaner.com/

Service Pack 2: http://www.microsoft.com/windowsxp/sp2/default.mspx

Internet Explorer 7: http://www.microsoft.com/italy/windo...e/default.mspx

fai sapere...

intanto posta anche un nuovo log di hijackthis...

[Cosimo77]

Originariamente inviato da ste_95
CCleaner: http://www.ccleaner.com/

Service Pack 2: http://www.microsoft.com/windowsxp/sp2/default.mspx

Internet Explorer 7: http://www.microsoft.com/italy/windo...e/default.mspx

fai sapere...

intanto posta anche un nuovo log di hijackthis...

Scusa la mia ignoranza ma i programmi che mi hai consigliato sono tutti liberamente scaricabili, sono freeware? Visto che sono andato a vedere i rispettivi siti ma non ci capisco niente essendo scritto tutto in lingua inglese...

E un'altra cosa: come faccio a svuotare “le cartelle temp”?

[ste_95]

i programmi che ti ho segnalato sono tutti free...

per svuotare la cartella temp va bene CCleaner...