winservice

[shasa14]

Ciao, ho un problema enorme, spero che qualcuno di voi riesca a darmi una mano.
Credo di essere stata infettata da un dialer. Ogni volta che mi collego, con la PCcard della TIM, la connessione cade ogni 3 minuti e il pc emette un rumore come se si stesse connettendo da un modem 56K. Se vado a controllare fra le opzioni di internet compare una nuova connessione che si chiama Winservice e che ha come numero da comporre uno che inizia per 899.Ho già chiamato il 119 per sapere se dipendesse dalla linea ma mi hanno detto di no e tutte le soluzioni che mi hanno proposto non sono andate a buon fine.

potete aiutarmi? sono abbastanza disperata visto che internet mi è indispensabile per studiare!!!

Grazie a tutti!!!

[Deifobe]

ciao shasa...

Scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

[shasa14]

Ti ringrazio molto, scusami se ti rispondo solo ora ma per connettermi devo sfruttare la connessione dell'università e nei giorni scorsi era chiusa.
Questo è il link che mi hai chiesto

http://www.savefile.com/files/1587526
Grazie ancora!

[Deifobe]

Copia/incolla queste indicazioni in un file di testo, possibilmente in c:\.

1) Scarica Avenger e CCleaner; scarica anche navilog1.exe_il mafioso sul desktop e installalo.
Disconnetti il pc da internet


2) esegui quello che ti scrivo con molta attenzione ... o ci verrà 1 ulcera..

Apri il registro -> Start / Esegui ,digita regedit e dai l'ok
Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Clicca su "winlogon" e, nella finestra a destra, trova "Userinit"

In "dati" vedrai scritto questa riga:
c:\windows\system32\userinit.exe, C:\DOCUME~1\Abba\IMPOST~1\Temp\winlogon.exe

la parte in rosso è quella che dovrai eliminare, quindi..

fai doppio clic su "userinit" e, nella finestra che si apre, elimina SOLO:
C:\DOCUME~1\Abba\IMPOST~1\Temp\winlogon.exe

ATTENZIONE a non eliminare tutto altrimenti il computer non sarà più in grado di riavviarsi!!!

Chiudi il registro


ehmmm.. ripeto : devi lasciare scritto:
c:\windows\system32\userinit.exe,
(virgola compresa!)


3) Apri il blocco note e nella pagina copia/incolla questa citazione:

Windows Registry Editor Version 5.00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"NoDNS"=-
"pqrtuw"=-

[-HKCR\CLSID\{42445467-183A-C20F-DD27-CF14D224B679}]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


4) Esegui avenger e nella finestra copia/incolla:

files to delete:
C:\DOCUME~1\User\IMPOST~1\Temp\1.tmp
C:\DOCUME~1\User\IMPOST~1\Temp\1.exe
C:\Programmi\NoDNS\NoDNS.exe
C:\WINDOWS\system32\wdaol.dll

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Streams Drivers
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | oledll
HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List | C:\DOCUME~1\Abba\IMPOST~1\Temp\winlogon.exe

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato


5) Riavvia il computer in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).

Esegui Navilog1 e scegli l'opzione 4, inserisci il nome pqrtuw e confermalo ridigitandolo quando richiesto

(ATTENZIONE , entrambe le volte che lo digiti non devi sbagliare a scrivere il nome altrimenti dovrai ripetere tutta la procedura perchè non verrà eliminato alcun file..).
A questo punto, ripulirà il pc dai file infetti.
Quando finisce, riavvia il pc in modalità normale


6) Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).
Svuota C:\WINDOWS\Prefetch
Esegui Systemscan e postalo caricandolo sempre su savefile

[shasa14]

Questo è il report di avenger che mi hai chiesto, ora eseguo le altre operazioni

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- no registry value to delete found. Line will be ignored.
Error code: 0
Line: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: | {42445467-183A-C20F-DD27-CF14D224B679}

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 183
Line: A172-FA5D54D3E3EE}

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 183
Line: 4ED7-A172-FA5D54D3E3EE}

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 183
Line: 4FEF-A907-ED9B4E010967}

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 183
Line: 40D9-B0F1-60B4528DB626}

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 183
Line: 4D3C-A7C6-D089279D5C24}

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 183
Line: 4917-8DAF-30954ED315BF}

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 183
Line: 4069-8CF2-4F523205D610}

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 183
Line: 4AA3-8925-284255DA0455}

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 183
Line: 43F7-A6A9-ADB4C51D5543}

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 183
Line: 403e-8DD8-394C54984B2C}


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\cxsrqglv

*******************

Script file located at: \??\C:\Documents and Settings\ngsyytgs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Folder C:\Programmi\AskTBar not found!
Deletion of folder C:\Programmi\AskTBar failed!
Could not process line:
C:\Programmi\AskTBar
Status: 0xc0000034


File C:\WINDOWS\system32\xxyxVlMg.dll not found!
Deletion of file C:\WINDOWS\system32\xxyxVlMg.dll failed!
Could not process line:
C:\WINDOWS\system32\xxyxVlMg.dll
Status: 0xc0000034

File C:\WINDOWS\system32\mlJYpooO.dll not found!
Deletion of file C:\WINDOWS\system32\mlJYpooO.dll failed!
Could not process line:
C:\WINDOWS\system32\mlJYpooO.dll
Status: 0xc0000034

File C:\WINDOWS\system32\xxywVnNE.dll not found!
Deletion of file C:\WINDOWS\system32\xxywVnNE.dll failed!
Could not process line:
C:\WINDOWS\system32\xxywVnNE.dll
Status: 0xc0000034

File C:\WINDOWS\system32\cbXQiHXp.dll not found!
Deletion of file C:\WINDOWS\system32\cbXQiHXp.dll failed!
Could not process line:
C:\WINDOWS\system32\cbXQiHXp.dll
Status: 0xc0000034

File C:\WINDOWS\system32\efcATKDv.dll not found!
Deletion of file C:\WINDOWS\system32\efcATKDv.dll failed!
Could not process line:
C:\WINDOWS\system32\efcATKDv.dll
Status: 0xc0000034

File C:\WINDOWS\system32\wvUllJAs.dll not found!
Deletion of file C:\WINDOWS\system32\wvUllJAs.dll failed!
Could not process line:
C:\WINDOWS\system32\wvUllJAs.dll
Status: 0xc0000034

File C:\WINDOWS\system32\ddcYqqOi.dll not found!
Deletion of file C:\WINDOWS\system32\ddcYqqOi.dll failed!
Could not process line:
C:\WINDOWS\system32\ddcYqqOi.dll
Status: 0xc0000034

File C:\WINDOWS\system32\qoMffEXp.dll not found!
Deletion of file C:\WINDOWS\system32\qoMffEXp.dll failed!
Could not process line:
C:\WINDOWS\system32\qoMffEXp.dll
Status: 0xc0000034

File C:\WINDOWS\system32\ENnVwyxx.ini not found!
Deletion of file C:\WINDOWS\system32\ENnVwyxx.ini failed!
Could not process line:
C:\WINDOWS\system32\ENnVwyxx.ini
Status: 0xc0000034

File C:\WINDOWS\system32\ENnVwyxx.ini2 not found!
Deletion of file C:\WINDOWS\system32\ENnVwyxx.ini2 failed!
Could not process line:
C:\WINDOWS\system32\ENnVwyxx.ini2
Status: 0xc0000034

File C:\WINDOWS\system32\sAJllUvw.ini not found!
Deletion of file C:\WINDOWS\system32\sAJllUvw.ini failed!
Could not process line:
C:\WINDOWS\system32\sAJllUvw.ini
Status: 0xc0000034

File C:\WINDOWS\system32\sAJllUvw.ini2 not found!
Deletion of file C:\WINDOWS\system32\sAJllUvw.ini2 failed!
Could not process line:
C:\WINDOWS\system32\sAJllUvw.ini2
Status: 0xc0000034

File C:\WINDOWS\system32\gMlVxyxx.ini not found!
Deletion of file C:\WINDOWS\system32\gMlVxyxx.ini failed!
Could not process line:
C:\WINDOWS\system32\gMlVxyxx.ini
Status: 0xc0000034

File C:\WINDOWS\system32\gMlVxyxx.ini2 not found!
Deletion of file C:\WINDOWS\system32\gMlVxyxx.ini2 failed!
Could not process line:
C:\WINDOWS\system32\gMlVxyxx.ini2
Status: 0xc0000034

File C:\WINDOWS\system32\vDKTAcfe.ini not found!
Deletion of file C:\WINDOWS\system32\vDKTAcfe.ini failed!
Could not process line:
C:\WINDOWS\system32\vDKTAcfe.ini
Status: 0xc0000034

File C:\WINDOWS\system32\vDKTAcfe.ini2 not found!
Deletion of file C:\WINDOWS\system32\vDKTAcfe.ini2 failed!
Could not process line:
C:\WINDOWS\system32\vDKTAcfe.ini2
Status: 0xc0000034

File C:\WINDOWS\system32\OoopYJlm.ini2 not found!
Deletion of file C:\WINDOWS\system32\OoopYJlm.ini2 failed!
Could not process line:
C:\WINDOWS\system32\OoopYJlm.ini2
Status: 0xc0000034

File C:\WINDOWS\system32\OoopYJlm.ini not found!
Deletion of file C:\WINDOWS\system32\OoopYJlm.ini failed!
Could not process line:
C:\WINDOWS\system32\OoopYJlm.ini
Status: 0xc0000034

File C:\WINDOWS\system32\pXHiQXbc.ini not found!
Deletion of file C:\WINDOWS\system32\pXHiQXbc.ini failed!
Could not process line:
C:\WINDOWS\system32\pXHiQXbc.ini
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks|{11635C4A-ECC7-4ED7-
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks|{11635C4A-ECC7-4ED7- failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{11635C4A-ECC7- not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{11635C4A-ECC7- failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{E006915A-42F5- not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{E006915A-42F5- failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{A8D83A8E-B7D4- not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{A8D83A8E-B7D4- failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{91BA3F3A-3E16- not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{91BA3F3A-3E16- failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{8DBBBC71-E019- not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{8DBBBC71-E019- failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{6166D6F6-992B- not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{6166D6F6-992B- failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{51323C91-EE33- not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{51323C91-EE33- failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{2B83B087-6BCE- not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{2B83B087-6BCE- failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{FE063DB1-4EC0- not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{FE063DB1-4EC0- failed!
Status: 0xc0000034

Program D:\Documenti\varie\sys36436.exe successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\DOCUME~1\User\IMPOST~1\Temp\1.tmp" deleted successfully.
File "C:\DOCUME~1\User\IMPOST~1\Temp\1.exe" deleted successfully.

Error: file "C:\Programmi\NoDNS\NoDNS.exe" not found!
Deletion of file "C:\Programmi\NoDNS\NoDNS.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\wdaol.dll" deleted successfully.
Registry value "HKLM\SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\StandardProfile\Autho rizedApplications\List|C:\DOCUME~1\Abba\IMPOST~1\T emp\winlogon.exe" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n|Streams Drivers" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\ShellServiceObjectDelayLoad|oledll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Deifobe]

ok, il mio script è andato bene...
un po' meno quello di 3 gg fa... (che son 3 si vede da systemscan)

ehmmm l'unico file eliminato (D:\Documenti\varie\sys36436.exe ) è proprio quello di systemscan...

[shasa14]

Questo è il report di systemscan dopo le operazioni che mi hai indicato

http://www.savefile.com/files/1588506

devo fare altro?

Grazie mille!!!!

[Deifobe]

ora clicca 2 volte sul file fix.reg creato e accetta le modifiche al registro.

Elimina il file: C:\DOCUME~1\Abba\IMPOST~1\Temp\winlogon.exe (devi visualizzare files e cartelle nascoste)

L'userinit è ok.

Riguardo:
"pqrtuw"="c:\documents and settings\user\impostazioni locali\dati applicazioni\pqrtuw.exe pqrtuw"

riesegui con attenzione Navilog1, forse hai sbagliato a digitare il nome o qualche altro passo. Quest'infezione la rimuovi seguendo alla lettera quanto scritto.. (modalità provvisoria + digitare il nome pqrtuw x due volte in modo corretto)

Devi riuscirci per forza.. l'alternativa (per rimuovere quei files) è un programma che non uso mai.. quindi non c'è

Dopo averlo rieseguito, esegui systemscan, clicca su "unselect all" e metti la spunta a "Registry Run Keys". Esegui la scansione e, quando finisce, apri il file di testo ottenuto e cerca pqrtuw . Se lo trovi, allora hai nuovamente sbagliato qualcosa. Se non lo trovi, riesegui un systemscan completo e postalo.

Ciao

[shasa14]

Originariamente inviato da Deifobe
ora clicca 2 volte sul file fix.reg creato e accetta le modifiche al registro.

Questo file è scomparso, non è più in c:

Elimina il file: C:\DOCUME~1\Abba\IMPOST~1\Temp\winlogon.exe (devi visualizzare files e cartelle nascoste)

questo file non c'è

Riguardo:
"pqrtuw"="c:\documents and settings\user\impostazioni locali\dati applicazioni\pqrtuw.exe pqrtuw"

riesegui con attenzione Navilog1, forse hai sbagliato a digitare il nome o qualche altro passo. Quest'infezione la rimuovi seguendo alla lettera quanto scritto.. (modalità provvisoria + digitare il nome pqrtuw x due volte in modo corretto)

Devi riuscirci per forza.. l'alternativa (per rimuovere quei files) è un programma che non uso mai.. quindi non c'è

Dopo averlo rieseguito, esegui systemscan, clicca su "unselect all" e metti la spunta a "Registry Run Keys". Esegui la scansione e, quando finisce, apri il file di testo ottenuto e cerca pqrtuw . Se lo trovi, allora hai nuovamente sbagliato qualcosa. Se non lo trovi, riesegui un systemscan completo e postalo.

Ciao

Ho rieseguito tutti i passaggi, ma dopo systemscan ancora è presente quel file. Questo è il report della scansione

http://www.savefile.com/files/1591723

Cmq la connessione ora funziona, quindi GRAZIE MILLE!!!
Mi hai salvato la carriera universitaria

[Deifobe]

ciao shasa, ora non posso aprire il rapporto, quindi mi fido di quello che hai scritto. Non appena torno a casa lo controllo.

Ascolta, quello che vedi e' solo uno dei 5 files (che hanno la stessa parte di nome) e devi rimuoverli tutti, non puoi tenerli. Navilog1 e' il tool apposito per Navipromo (che e' l'infezione che hai), c'e' sicuramente qualcosa che sbagli eseguendo la procedura (che poi tanto complessa non e'..). Riprova ad eseguirlo, non puo' essere che hai ripulito l'userinit e non riesci a debellare questo L'alternativa, come strumento, e' combofix.. ma gradirei usassi Navolog1.

Se hai dei dubbi sull'esecuzione, su qualche passaggio, dimmelo..




edit:
ho controllato la voce nel rapporto ed ho visto che hai ancora anche NoDNS.
Riguardo il file fix.reg che non trovi, se hai problemi ricrealo cosi' come indicato e non se ne parla piu'. Altrimenti rimuovilo a mano:

entra nel registro (start - esegui - digita regedit e dai l'invio).
nella finestra che si apre segui questo percorso:
HK C U \Software\Microsoft\Windows\CurrentVersion\Run

clicca su RUN e, nella finestra a destra, individua "NoDNS".
Cliccaci sopra con il tasto destro destro del mouse e seleziona "elimina".
Prova ad eliminare anche "pqrtuw".
Chiudi il registro e riavvia il pc. Almeno NoDNS dovrebbe sparire definitivamente.