connessione "Help ad Internet" mai creata.....è 1 dialer ?

[jak]

ho trovato in accesso remoto (ho win98 se ) una connessione mai creata , chiamata "Help and Internet" che utilizza il modem pci adsl e riporta il numero di telefono "00" ( dove si scrive 8,35 )

non sara mica un dialer ? o roba simile ?
faccio presente che prima dell adsl avevo isdn e non ho tolto il modem pci isdn perche quando non va adsl uso quello, ovviamente per sicurezza quando uso adsl scollego il modem isdn dalla centralina NT

mi sono capitati alcuni dialer , ma con l aiuto di hjt 1.97 sono sempre riuscito a toglierli, ma questo non viene segnalato

sara meglio che aggiorno hjt all ultima versione ?
avendo win 98 non credevo fosse necessario perche ho letto che fixa dei bug per win nt e xp

[amvinfe]

prova a scaricare la 1.98.2 e postare il log

[Balaustra]

hai la ADSL di tin.it?

[jak]

si ho adsl tin.it da 1 anno quasi

questa nuova connessione all inizio non c era, l ultima volta che ho visto la cartella di acccesso remoto era circa 2 mesi fa e non c era


adesso provo a scaricare l ultima versione di hjt poi postero il log

[jak]

Logfile of HijackThis v1.98.2
Scan saved at 2.35.30, on 11/08/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\TREND MICRO\INTERNET SECURITY\PCCIOMON.EXE
C:\PROGRAMMI\TREND MICRO\INTERNET SECURITY\PCCPFW.EXE
C:\PROGRAMMI\TREND MICRO\INTERNET SECURITY\TMPROXY.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\LINKSTS.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ANVSHELL.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\PROGRAMMI\TREND MICRO\INTERNET SECURITY\PCCGUIDE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\TREND MICRO\INTERNET SECURITY\PCCLIENT.EXE
C:\PROGRAMMI\TREND MICRO\INTERNET SECURITY\TMOAGENT.EXE
C:\PROGRAMMI\GIGABYTE\GIGABYTE WINDOWS UTILITY MANAGER\GWUM.EXE
C:\PROGRAMMI\NETPERSEC\NETPERSEC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://internet.ngi.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da PC Professionale
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: IEHlprObj Class - {XXXXXXX} - C:\PROGRAMMI\GOZILLA\GOIEHLP.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Linksts] Linksts.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\PROGRAMMI\GOZILLA\GO.EXE" /FIXRAS
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Programmi\Trend Micro\Internet Security\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programmi\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [Trickler] "c:\programmi\gator.com\fsg\fsg.exe"
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\olecom32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Programmi\Trend Micro\Internet Security\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PccPfw] C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
O4 - HKLM\..\RunServices: [tmproxy] C:\Programmi\Trend Micro\Internet Security\tmproxy.exe
O4 - Startup: gwum.lnk = C:\Programmi\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
O4 - Startup: NetPerSec.lnk = C:\Programmi\NetPerSec\NetPerSec.exe
O9 - Extra button: Related - {XXXXXXXXXXX} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {XXXXXXXX} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://pcpro.mondadori.com/
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)
O21 - SSODL: Web Event Logger - {79FB9088-19CE-715E-D900-216290C5B738} - C:\WINDOWS\SYSTEM\Boinjj32.dll (file missing)
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)


nelle ultime righe dove riporta la scritta file missing la versione vecchia di hjt non le vedeva , comunque son tutti file che ho cancellato prima ancora di usare hjt perche ero sicuro che erano qualche malware (scaricati involontariamente e cancellati al volo nel giro di pochi secondi), spero di non essermi sbagliato

per quanto riguarda il file win32ie4.cab non era visto dal hjt 1.97 e non so se devo cancellarlo, e aggiungo che nella cartella windows/sysbackup mi ritrovo ogni giorno (da 5 giorni) un nuovo file rb00x.cab (dove x è un numero diverso per ognuno)

poi ogni tanto controllo anche ms system information - ambiente software - driver (quelli a 32bit sono un elenco lungo) ma quelli a 16bit sono un elenco limitato che riesco a tenerli sotto controllo e ho notato che alcune volte carica dei driver strani :

systhunk.dll win system thunk library
tsp3116s.dll mswin(tm) telephony api thunk-o-matic
umdm16.dll unimodem 16bit thunk layer
ndswan16.dll ndswan 16bit thunk layer
wan.tsp provider servizi ndiswan tapi

sembrano molto sospetti, ma cos e quel thunk o matic ??
quando sono caricati sono sempre nelle ultime righe e visto che non ci sono sempre mi sembrano sospetti

[Balaustra]

Ok se prima non c'era allora mon so...

so solo che una versione dell'ADSL di tin.it installa una specie di help on line... ma forse non è il tuo caso.

Sorry

[pasKuz]

l'adsl di tin.it installa l'help express, ma è un programma e non una connessione. quindi cancella subito quel dialer.

[pasKuz]

nel tuo log c'è un punto interrogatico!

O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\PROGRAMMI\GOZILLA\GO.EXE" /FIXRAS Nasty
Nasty The entered application Go!Zilla dial-up fix was identified: User23.exe. Hit rate: 9,58 % (result) Must be fixed!

[amvinfe]

Dalla modalità provvisoria, questi sono da eliminare.
O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\PROGRAMMI\GOZILLA\GO.EXE" /FIXRAS
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)
O21 - SSODL: Web Event Logger - {79FB9088-19CE-715E-D900-216290C5B738} - C:\WINDOWS\SYSTEM\Boinjj32.dll (file missing)
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)

elimina la cartella GOZILLA
C:\PROGRAMMI\GOZILLA \GO.EXE

Le librerie sono OK


controlla il file
C:\WINDOWS\olecom32.exe
a questo indirizzo
http://virusscan.jotti.dhs.org/

[jak]

grazie amvinfe per i consigli

...ops mi era sfuggito quell olecom32.exe
non riesco a trovarlo in nessun posto dell hard disk

pero in msi driver16bit cè qualcosa di simile :

olecli.dll libreria client per collegamento e incorporamento oggetti
olesrv.dll object linking and embedding server library

che sono vicini a quei thunk o matic che non ho capito cosa sono

e in msi driver32bit c è

olepro32.dll senza alcuna spiegazione di cosa fosse


...ho trovato ora quell olecom32.exe ma non nell harddisk ma in
msi programmi ad esecuzione automatica :
nome - windows explorer
origine caricamento - registro (profilo computer)
comando - c:\windows\olecom32.exe

ma ripeto che trova file non trova niente

che devo fare ?


PS hai detto che i dll sono a posto ma quei file.cab suddetti cosa sono ?