Problema dialer Trojan.Win32.Dialer.bgu (Internet connection 000)

[SolidHacker 93]

Salve a tutti è il mio primo post in questo forum. Ho deciso di registrarmi per un problema che mi sta veramente snervando: Trojan.Win32.Dialer.bgu (Internet connection 000).
Inizialmente risolvevo il problema disconnettendo la connessione ed eliminandola poi aprivo documents and settings/administrator/imp.locali/temp e li c'era un eseguibile chiemato r12545678 (che ogni volta cambia nome) e eliminavo anche quello a mano. In seguito ho provato con kaspersky 2009 ad esaminare quel file e ad eliminarlo con la disinfezione speciale. Tuttavia dopo un po il problema si ripresenta e allora volevo chiedervi come risolverlo alla radice. Premetto di non aver nessun programma tipo hijackthis ma di averne sentito parlare quindi se foste così gentili da spiegarmi passo a passo il procedimento ve ne sarei grato.
P.S. Ho il ripristino di sistema disattivato ditemi se l odevo riattivare o no.
Ultima cosa questo dialer fa pagare dei soldi extra sulla bolletta? Comunque attualmente non c'è più il dialer perché eliminato a mano ma l'ho fatto tante volte e sicuramente ricomparirà.
Grazie anticipatamente!

[Deifobe]

qiesti i controlli da fare:

1) Scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.


2) Scarica Locate32 e installalo:
Clicca su esegui => avanti x 3 => togli tutte le spunte e spunta solo "create files .dbs files...." => clicca su "fine"
(se poi vuoi crearti l'icona sul desktop spunta anche la prima voce)

Eseguilo (start => tutti i programmi => locate => locate 32)
nella finestra che si apre clicca su: options => settings => auto update => add
in "schedule updates" inserisci At Startup => ok

1) Clicca su "Size and Date"
metti la spunta a "minimum filesize " e nella finestra a destra digita 14348 ("bytes")
metti la spunta a "maximum filesize " e nella finestra a destra digita 14348 ("bytes")

Clicca su "find now", comparirà un elenco di files.
Clicca su file => save reports => salvalo

2) Clicca su "Size and Date":
metti la spunta a "minimum filesize " e nella finestra a destra digita 15360 ("bytes")
metti la spunta a "maximum filesize " e nella finestra a destra digita 15360 ("bytes")

Clicca su "find now", comparirà un elenco di files.
Clicca su file => save reports => salvalo

3) Clicca su "Size and Date"
metti la spunta a "minimum filesize " e nella finestra a destra digita 12596 ("bytes")
metti la spunta a "maximum filesize " e nella finestra a destra digita 12596 ("bytes")

Clicca su "find now", comparirà un elenco di files.
Clicca su file => save reports => salvalo


zippali, carica i rapporti su Savefile e posta il link ottenuto.

[SolidHacker 93]

ok appena posso probabilmente per le 21.30 posto tutto grazie

[Deifobe]

ok..

riguardo il ripristino, per ora lascialo disattivato, già che ci sei

[SolidHacker 93]

Ecco i report richiesti:

systemscan:
http://www.savefile.com/files/1690943


Locate:
http://www.savefile.com/files/1690949

Attendo notizie grazie!

[Deifobe]

ok. mi ci vorrà una 1/2 oretta..

[SolidHacker 93]

Originariamente inviato da Deifobe
ok. mi ci vorrà una 1/2 oretta..

Ok tanto ci sono fino a tardi! Grazie di tutto!

[Deifobe]

ma da quanto tempo l'avevi?

scarica Avenger
disconnetti il pc da internet - lascia aperta questa pagina

elimina manualmente:
C:\Programmi\Nokia\Nokia PC Suite 6\launchapplication[spazio].exe
C:\WINDOWS\knight[spazio][spazio].exe
C:\WINDOWS\knight[spazio].exe
C:\WINDOWS\system32\ctfmon[spazio].exe
C:\WINDOWS\windowsupdates[spazio].exe

esegui avenger e nella finestra copia/incolla:

files to delete:
C:\Programmi\Analog Devices\SoundMAX\smax4pnp.exe1099333428
C:\Programmi\Analog Devices\SoundMAX\smax4pnp.exe1712401012
C:\Programmi\Analog Devices\SoundMAX\smax4pnp.exe1888449632
C:\Programmi\Analog Devices\SoundMAX\smax4pnp.exe2033010538
C:\Programmi\Analog Devices\SoundMAX\smax4pnp.exe2260393318
C:\Programmi\Analog Devices\SoundMAX\smax4pnp.exe2783353092
C:\Programmi\Analog Devices\SoundMAX\smax4pnp.exe3143997574
C:\Programmi\Analog Devices\SoundMAX\smax4pnp.exe4052562318
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe1544031936
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe2029122582
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe212990644
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe271665212
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe2728587876
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe2775456184
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe3378023270
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe3392964688
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe3425980278
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe3615397860
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe3979083246
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe3986214946
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe485210060
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe1924247570
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe1952949322
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe2551548988
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe2626662664
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe3047898706
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe3091680102
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe3227906204
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe3507238276
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe380199300
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe3991411856
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe4013892310
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe4105354524
C:\Programmi\File comuni\PCSuite\DataLayer\datalayer.exe4230227434
C:\Programmi\Google\GoogleToolbarNotifier\googleto olbarnotifier.exe1177694378
C:\Programmi\Google\GoogleToolbarNotifier\googleto olbarnotifier.exe1493981756
C:\Programmi\Google\GoogleToolbarNotifier\googleto olbarnotifier.exe1720009236
C:\Programmi\Google\GoogleToolbarNotifier\googleto olbarnotifier.exe1903745268
C:\Programmi\Google\GoogleToolbarNotifier\googleto olbarnotifier.exe2119062870
C:\Programmi\Google\GoogleToolbarNotifier\googleto olbarnotifier.exe2158133570
C:\Programmi\Google\GoogleToolbarNotifier\googleto olbarnotifier.exe2626685374
C:\Programmi\Google\GoogleToolbarNotifier\googleto olbarnotifier.exe2644010622
C:\Programmi\Google\GoogleToolbarNotifier\googleto olbarnotifier.exe3086404032
C:\Programmi\Google\GoogleToolbarNotifier\googleto olbarnotifier.exe3541258576
C:\Programmi\Google\GoogleToolbarNotifier\googleto olbarnotifier.exe3647746522
C:\WINDOWS\system32\nerocheck.exe1346047782
C:\WINDOWS\system32\nerocheck.exe143483158
C:\WINDOWS\system32\nerocheck.exe1939453526
C:\WINDOWS\system32\nerocheck.exe2537675246
C:\WINDOWS\system32\nerocheck.exe2668733012
C:\WINDOWS\system32\nerocheck.exe2712211432
C:\WINDOWS\system32\nerocheck.exe2957637162
C:\WINDOWS\system32\nerocheck.exe3057277662
C:\WINDOWS\system32\nerocheck.exe3348240270
C:\WINDOWS\system32\nerocheck.exe3976133460
C:\WINDOWS\system32\nerocheck.exe450109284
C:\WINDOWS\windowsupdates.exe1008500660
C:\WINDOWS\windowsupdates.exe1482571862
C:\WINDOWS\windowsupdates.exe1711655774
C:\WINDOWS\windowsupdates.exe1783006490
C:\WINDOWS\windowsupdates.exe1789000284
C:\WINDOWS\windowsupdates.exe1952176498
C:\WINDOWS\windowsupdates.exe2399273078
C:\WINDOWS\windowsupdates.exe676752400
C:\WINDOWS\windowsupdates.exe678771766
C:\WINDOWS\windowsupdates.exe708193062
C:\WINDOWS\system32\ctfmon.exe100253384
C:\WINDOWS\system32\ctfmon.exe1054298796
C:\WINDOWS\system32\ctfmon.exe1121810430
C:\WINDOWS\system32\ctfmon.exe1143151636
C:\WINDOWS\system32\ctfmon.exe1345746194
C:\WINDOWS\system32\ctfmon.exe1373423454
C:\WINDOWS\system32\ctfmon.exe1419689688
C:\WINDOWS\system32\ctfmon.exe1556622950
C:\WINDOWS\system32\ctfmon.exe1648611246
C:\WINDOWS\system32\ctfmon.exe1650757914
C:\WINDOWS\system32\ctfmon.exe1675265542
C:\WINDOWS\system32\ctfmon.exe178227234
C:\WINDOWS\system32\ctfmon.exe1800025408
C:\WINDOWS\system32\ctfmon.exe180658574
C:\WINDOWS\system32\ctfmon.exe1838286852
C:\WINDOWS\system32\ctfmon.exe1844629238
C:\WINDOWS\system32\ctfmon.exe2140371092
C:\WINDOWS\system32\ctfmon.exe2158936228
C:\WINDOWS\system32\ctfmon.exe2187250044
C:\WINDOWS\system32\ctfmon.exe2308247366
C:\WINDOWS\system32\ctfmon.exe238034600
C:\WINDOWS\system32\ctfmon.exe2673982552
C:\WINDOWS\system32\ctfmon.exe2732712944
C:\WINDOWS\system32\ctfmon.exe2935036136
C:\WINDOWS\system32\ctfmon.exe3019857654
C:\WINDOWS\system32\ctfmon.exe3134174110
C:\WINDOWS\system32\ctfmon.exe3246571276
C:\WINDOWS\system32\ctfmon.exe3301149948
C:\WINDOWS\system32\ctfmon.exe3350789434
C:\WINDOWS\system32\ctfmon.exe3435024646
C:\WINDOWS\system32\ctfmon.exe3498715596
C:\WINDOWS\system32\ctfmon.exe3753517556
C:\WINDOWS\system32\ctfmon.exe386227244
C:\WINDOWS\system32\ctfmon.exe387971144
C:\WINDOWS\system32\ctfmon.exe3911552692
C:\WINDOWS\system32\ctfmon.exe4070460638
C:\WINDOWS\system32\ctfmon.exe4258470338
C:\WINDOWS\system32\ctfmon.exe43085830
C:\WINDOWS\system32\ctfmon.exe491172862
C:\WINDOWS\system32\ctfmon.exe545729920
C:\WINDOWS\system32\ctfmon.exe611690788
C:\WINDOWS\system32\ctfmon.exe715376604
C:\WINDOWS\system32\ctfmon.exe733624660
C:\WINDOWS\system32\ctfmon.exe78318520
C:\WINDOWS\system32\ctfmon.exe853040032
C:\WINDOWS\system32\ctfmon.exe892387162
C:\WINDOWS\temp\2p0pz3u2.TMP
C:\WINDOWS\temp\qqhn1b81.TMP
C:\WINDOWS\temp\cch~354f27105ec.htp
C:\WINDOWS\temp\cch~354f1f4ef2c.htp
C:\WINDOWS\temp\cch~73c50abc5d0.htp
C:\WINDOWS\temp\cch~73c507f5d2c.htp
C:\WINDOWS\knight.exe

(copia tutto, da "files to delete" compreso... fino all'ultima riga C:\WINDOWS\knight.exe )

clicca su execute. il pc si riavvierà per eliminare i file.
dopo il riavvio riconnetti il pc ad internet... e rifai la procedura con locate32 (verifichiamo se sono stati eliminati)

Mentre fai questo, ti scrivo il resto della procedura....

a dopo..

[Deifobe]

Scarica Registry Search Tool e disconnetti il pc da internet


per precauzione, esegui Registry Search Tool e cerca singolarmente:
Passepartout
Fasttrack
Netvision
(non lasciare spazi).
Ci vorra' qualche secondo prima di ricevere una risposta. Posta eventuali risultati ottenuti


Visualizza i file nascosti, usa la funzione cerca e vedi se sono presenti file o cartelle Netvision, Fasttrack e Passepartout nel pc. Se le trovi, eliminali/e

vai in C:\WINDOWS\knight .exe <= elimina tutti i knight presenti
se qualcuno non si elimina, controlla che non sia attivo nel task manager.


riesegui avenger:

files to delete:
C:\Documents and Settings\Administrator\Desktop\tutta la roba\FJG0 (H)\autorun.inf
C:\Documents and Settings\Administrator\Desktop\tutta la roba\stipendi\FJG0 (H)
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\tmp5.tmp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\musbehco.sys

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Disk Knight

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{140BD8E3-C167-11D4-B4A3-080000180323}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{A75E294E-C047-4D29-B07E-37B792881BEF}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}
HKLM\system\currentcontrolset\services\musbehco
HKLM\system\controlset001\services\musbehco
HKLM\system\controlset002\services\musbehco
HKLM\system\controlset002\enum\root\legacy_musbehc o
HKLM\system\currentcontrolset\enum\root\legacy_mus behco
HKLM\system\controlset001\enum\root\legacy_musbehc o

clicca su execute

ricoltrolla se ci sono altri knight presenti ed eventualmente eliminali

posta un nuovo systemscan

esegui una scansione con Kaspersky_virusscanner (seleziona "my computer" - puoi disconnerti da internet dopo averlo selezionato, la scansione andrà comunque avanti)

ciao

[SolidHacker 93]

Allora fatto tutto alla lettera:
Ecco 2 link:

Locate dopo aver usato avenger:
http://www.savefile.com/files/1691033


Avenger:
http://www.savefile.com/files/1691035

Una sola cosa la prima volta che ho usato locate (prima di avenger) non ero connesso a internet e ora l'upload del datbase l'ha fatto alla seconda scansione; è uguale?

Attendo istruzioni grazie!