richiesta continua connessione internet a pagamento

**yndiano** · 19-01-2006, 13:06

ciao,
ho un notebook con windows 98 se
ho caricato l'antidialer della Digisoft che blocca
la connessione ad internet quando viene impostato un num.telefonico
diverso da quelli da me solitamente utilizzati.

Spesso appena apro la connessione, i num di telefono vengono reimpostati, digisoft riesce a bloccare i reindirizzamenti ma
sono costretto a riavviare il pc.

Ho effettuato la scansione (anche in modalità provvisoria) con AD-aware, Spybot e Norton antivirus (tutti aggiornati!!!)
ma niente da fare.

non ho provato con Ewido (perchè nel download dice che è per win 2000 o xp)

vi allego il log di HijackThis, grazie:

Logfile of HijackThis v1.99.1
Scan saved at 11.52.47, on 19/01/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SMCTRLW.EXE
C:\WINDOWS\SYSTEM\CTRLVOL.EXE
C:\WINDOWS\SYSTEM\KEYMAP.EXE
C:\PROGRAMMI\THINKPAD\EASY LAUNCH BUTTONS\TPHKMGR.EXE
C:\PROGRAMMI\SLEEP MANAGER\SLEEPMGR.EXE
C:\WINDOWS\SYSTEM\DAEMON.EXE
C:\WINDOWS\LTSMMSG.EXE
C:\WINDOWS\SYSTEM\PROMON.EXE
C:\PROGRAMMI\THINKPAD\EASY LAUNCH BUTTONS\EZICON.EXE
C:\WINDOWS\SYSTEM\GSICON.EXE
C:\WINDOWS\SYSTEM\DSLAGENT.EXE
C:\PROGRAMMI\THINKPAD\EASY LAUNCH BUTTONS\TPONSCR.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\TPPALDR.EXE
C:\PROGRAMMI\DSB\DSB.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMMI\WIRESS\RSSFEED.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\DIGISOFT ANTIDIALER\ANTIDIALER.EXE
C:\PROGRAMMI\EPSON\EPSON SMART PANEL FOR SCANNER\ESPMAIN.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = https=127.0.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {047C8712-F813-4971-830C-8D6E554785FB} - C:\WINDOWS\SYSTEM\MOL.DLL (file missing)
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\SYSTEM32\APPWIY.DLL (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Control Panel] smctrlw.exe
O4 - HKLM\..\Run: [CtrlVolume] C:\WINDOWS\SYSTEM\CtrlVol.exe
O4 - HKLM\..\Run: [Keymap] C:\WINDOWS\SYSTEM\Keymap.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\THINKPAD\EASYLA~1\TPHKMGR.EXE
O4 - HKLM\..\Run: [SleepManager] "C:\Programmi\Sleep Manager\SleepMgr.exe"
O4 - HKLM\..\Run: [TrackPointSrv] daemon.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [DSB] C:\Programmi\DSB\dsb.exe
O4 - HKLM\..\Run: [MEMreaload] C:\Programmi\ServicePackFiles\MEMreaload.exe /checkmouse /updateratio
O4 - HKLM\..\Run: [Suite] C:\WINDOWS\SYSTEM\SuiteOffices.exe /cleandb
O4 - HKLM\..\Run: [Reload] C:\Programmi\ServicePackFiles\reload.exe /reloadenterpice
O4 - HKLM\..\Run: [Diesel] C:\WINDOWS\SYSTEM\Recalculate.exe /reloadenterpice
O4 - HKLM\..\Run: [LocalProxy] C:\Programmi\LocalProxy\proxy4free.exe
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "c:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [SHA256] C:\Programmi\SHA256\secure.exe
O4 - HKLM\..\Run: [WIRESS] C:\Programmi\WIRESS\rssfeed.exe
O4 - HKLM\..\Run: [AdsBlocker] C:\Programmi\AdsBlocker\stopAds.exe
O4 - HKLM\..\Run: [LSAS] C:\WINDOWS\SYSTEM\LSAS.exe /check
O4 - HKLM\..\Run: [lservers] C:\Programmi\ServicePackFiles\lservers.exe /checkmouse /updateratio
O4 - HKLM\..\Run: [mctask] C:\WINDOWS\SYSTEM\mctask.exe /allservice
O4 - HKLM\..\Run: [systems] C:\Programmi\ServicePackFiles\systems.exe /reloadenterpice
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WIZZ] C:\Programmi\WIZZ\dazzler.exe
O4 - HKLM\..\Run: [REAL] C:\Programmi\REAL\realjbox.exe
O4 - HKLM\..\Run: [Kaps] C:\Programmi\Kaps\kaps_mm.exe
O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] c:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRAMMI\YAHOO!\MESSENGER\ypager.exe -quiet
O4 - HKCU\..\Run: [Rpmt] C:\WINDOWS\Application Data\suww.exe
O4 - Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\EspMain.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 67.19.185.246

**thomas_anderson** · 19-01-2006, 13:58

Pareva W32 Agobot AA. ma tu usi 98. possibile? :master:

**yndiano** · 19-01-2006, 14:37

...mi dovrei preoccupare?

**yndiano** · 19-01-2006, 14:41

non trovo più la tua prima risposta, l'hai fatta cancellare?
- stavo giusto iniziando a provare quanto mi avevi segnalato.

a questo punto rimango ancora in attesa...grazie!

**thomas_anderson** · 19-01-2006, 17:30

Il file lsas.exe corrisponde al sopracitato worm-backdoor. Il problema è che tu usi un SO che non dovrebbe essere affetto dal problema. Tu usi una chat irc per caso?

**holifay** · 19-01-2006, 17:51

scusa, il log non è completo...postane uno nuovo

PS: sposta Hijackthis in una sua cartella in C (tipo c:\hijackthis\hijackthis.exe)

**LUCASS** · 19-01-2006, 17:55

E' una variante se ci fai caso la colonna dati non corrisponde
quella che corrisponde è questa
http://www.sophos.com/virusinfo/anal...2agobotlm.html
poi
http://securityresponse.symantec.com...jan.lazar.html
http://www3.ca.com/securityadvisor/v....aspx?ID=33291
poi ci sono anche altre cose da approfondire

**LUCASS** · 19-01-2006, 17:56

Originariamente inviato da holifay
scusa, il log non è completo...postane uno nuovo

PS: sposta Hijackthis in una sua cartella in C (tipo c:\hijackthis\hijackthis.exe)

E' windows 98 è normale che non sia completo

**thomas_anderson** · 19-01-2006, 18:08

Il valore incriminato sarebbe:

codice:

O4 - HKLM\..\Run: [LSAS] C:\WINDOWS\SYSTEM\LSAS.exe /check

Credo che Norton aggiornato dovrebbe rimuovere l'eseguibile.

**yndiano** · 19-01-2006, 18:10

non so cosa sia una chat irc, ma non uso il pc per collegamenti in chat!

devo ri_postare il log?

Discussione: richiesta continua connessione internet a pagamento

Strumenti discussione

Ricerca discussione

Visualizza

richiesta continua connessione internet a pagamento

Permessi di invio