Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Seguendo le istruzioni dialer eliminato. Grazie!

Seguendo le istruzioni dialer eliminato. Grazie! Opzioni
Topic Precedente · Topic Sucessivo
nanneddu
Inviato: Tuesday, April 22, 2008 9:53:42 AM
Rank: Newbie

Iscritto dal : 4/22/2008
Posts: 0
Salve. Sono uno di quei fessi che ha ricevuto la mail di un certo Zeman o qualcosa del genere. E soprattutto ho fatto quello che non dovevo fare...va bè lasciamo perdereBrick wall

Insomma appena accendo il pc mi si avvia questo dialer che per fortuna non può far niente, visto che ho una adsl, ma è fastidiosissimo. Ho già letto tutti i passaggi da compiere su aiutamici, quindi ho già disattivato la funzione di ripristino e individuato e installato il programma con il quale ho individuato il log che vi incollo qua sotto.

Grazie, prometto inoltre di non aprire più niente di strano, lo giuro, è stata solo un innocente curiosità Liar

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.11.23, on 21/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Spyware Doctor\pctsAuxs.exe
C:\Programmi\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\DOCUME~1\default\IMPOST~1\Temp\6675278.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\microsoft\serv\service.exe
C:\Programmi\DialerSpy\dspy.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\slrundll.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://10.0.0.2/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,userinit.exe
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Class - {8024FF3D-9A7F-0CB9-0C5D-532A996DAE20} - C:\WINDOWS\dqljl1.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eqxdh] "C:\DOCUME~1\default\IMPOST~1\Temp\6675278.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [eqxdh] "C:\DOCUME~1\default\IMPOST~1\Temp\6675278.exe"
O4 - HKCU\..\Run: [Microsoft .Net Framework] C:\WINDOWS\system32\microsoft\serv\service.exe
O4 - HKCU\..\Run: [DialerSpy] C:\Programmi\DialerSpy\dspy.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.coppiastrana.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159385203213
O20 - AppInit_DLLs: \\?\C:\WINDOWS\com1.sxi
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 7033 bytes
Torna in alto
 
Sponsor
Inviato: Tuesday, April 22, 2008 9:53:42 AM

 
Torna in alto
 
pidue
Inviato: Tuesday, April 22, 2008 9:11:54 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, ti sei beccato una delle peggiori fetecchie del web. SEmbrava ormai scomparso. A volte ritorna. Hai il LinkOptimizer.
Scarica VirIt dal link sotto, installalo e aggiornalo. Poi fai due scansioni in modalità. Il tool dovrebbe gìà eliminarti i BHO infetti.


Poi scarica questi due tool:

http://www.prevx.com/gromozon.asp
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Prima di lanciarli, pulisci il pc con CCleaner;
chiudi tutti i programmi in esecuzione, disconnettiti da Internet, lancia il primo tool, premendo su Scan;
poi rispondi YES alla richiesta di riavvio.
Al riavvio il tool terminerà la procedura e rilascerà un log in C:\gromozon_removal.txt;


Per eseguire il secondo tool riavvia in Modalità Provvisoria;
poi lancia il file FixLinkopt.exe, accetta il contratto di licenza, clicca su Start per avviare l'analisi.
Consulta il log Fixlinkopt.txt e pubblicalo.

Alla fine di queste procedure, vedi com'è la situazione e fammi sapere.
Riposta un log aggiornato di HJT.
Torna in alto
 
antonpaco
Inviato: Wednesday, April 23, 2008 5:52:37 PM
Rank: AiutAmico

Iscritto dal : 11/7/2006
Posts: 1,180
ciao pidue, da cosa si capisce che si tratta del link optimizer, cosa bisogna guardare?
Torna in alto
 
pidue
Inviato: Wednesday, April 23, 2008 11:27:21 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Questa riga è quasi sempre presente nei log affetti da LinkOptimizer.
R3 - Default URLSearchHook is missing

Il segno inequivocale è rappresentato dalla seguente riga: c'è una libreria dinamica con nome random (infetta) seguita dal numero 1. E poi c'è scritto file missing. HJT individua la libreria infetta, ma il rootkit l' ha nascosta.
O2 - BHO: Class - {8024FF3D-9A7F-0CB9-0C5D-532A996DAE20} - C:\WINDOWS\dqljl1.dll (file missing)

Anche la riga F2, in questo caso, evidenzia il LinkOptimizer, ma non sempre la sue presenza è sintomo del virus.
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,userinit.exe. Dopo la virgola non dovrebbero esserci altre voci.

Spero di avere soddisfatto la tua curiosità.
Ciao.
Torna in alto
 
antonpaco
Inviato: Thursday, April 24, 2008 7:27:00 AM
Rank: AiutAmico

Iscritto dal : 11/7/2006
Posts: 1,180
sei un grande, ma lo sapevo gia. alla prossima.
Torna in alto
 
pidue
Inviato: Thursday, April 24, 2008 4:10:52 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
antonpaco ha scritto:
...ma lo sapevo gia.


???? A che gioco vuoi giocare ????
Torna in alto
 
nanneddu
Inviato: Thursday, April 24, 2008 9:15:41 PM
Rank: Newbie

Iscritto dal : 4/22/2008
Posts: 0
Allora, dopo tutta la procedura che mi hai descritto questo è il log di Hijack. Il semaforino è scomparso ma uno dei programmini che ho installato mi avverte che una applicazione tenta di connettersi : C.\windows\sistem32\microsoft\serv\service.exe. Ho provato a cercare il file ma nelle varie cartelle non l'ho trovato, o forse non me lo lascia vedere.
Tu che pensi?




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.08.36, on 24/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\microsoft\serv\service.exe
C:\Programmi\DialerSpy\dspy.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Spyware Doctor\pctsAuxs.exe
C:\Programmi\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\Microsoft\serv\service.exe
C:\WINDOWS\system32\microsoft\serv\service.exe
C:\WINDOWS\system32\Microsoft\serv\service.exe
C:\WINDOWS\system32\microsoft\serv\service.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://10.0.0.2/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,userinit.exe
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Class - {8024FF3D-9A7F-0CB9-0C5D-532A996DAE20} - C:\WINDOWS\dqljl1.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eqxdh] "C:\DOCUME~1\default\IMPOST~1\Temp\6675278.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [eqxdh] "C:\DOCUME~1\default\IMPOST~1\Temp\6675278.exe"
O4 - HKCU\..\Run: [Microsoft .Net Framework] C:\WINDOWS\system32\microsoft\serv\service.exe
O4 - HKCU\..\Run: [DialerSpy] C:\Programmi\DialerSpy\dspy.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.coppiastrana.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159385203213
O20 - AppInit_DLLs: \\?\C:\WINDOWS\com1.sxi
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SrvGic - Unknown owner - C:\Programmi\File comuni\System\oZO.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 7612 bytes
Torna in alto
 
bazzurlone
Inviato: Thursday, April 24, 2008 9:41:09 PM

Rank: AiutAmico

Iscritto dal : 1/20/2005
Posts: 1,537
Io eliminerei queste voci disattivando il ripristino di sistema.Una volta fixato le voci rifai il log


C:\WINDOWS\system32\Microsoft\serv\service.exe
Processo pericoloso! Premete Fix in HijackThis e provate a cancellarlo manualmente!
Trojan
C:\WINDOWS\system32\microsoft\serv\service.exe
Processo pericoloso! Premete Fix in HijackThis e provate a cancellarlo manualmente!
Trojan
C:\WINDOWS\system32\Microsoft\serv\service.exe

Processo pericoloso! Premete Fix in HijackThis e provate a cancellarlo manualmente!
Trojan
C:\WINDOWS\system32\microsoft\serv\service.exe
Processo pericoloso! Premete Fix in HijackThis e provate a cancellarlo manualmente!
Trojan


.
O1 - Hosts: 160.128.161.153 bute2ieh.com
Da eliminare!
O1 - Hosts: 98.142.154.12 catolcwxcav.com
Da eliminare!
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
Da eliminare!
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
Da eliminare!
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
Da eliminare!
O1 - Hosts: 21.43.177.216 zobcslgff.com
Da eliminare!
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
Da eliminare!
O1 - Hosts: 42.9.237.234 itqoipyqsq.com

O2 - BHO: Class - {8024FF3D-9A7F-0CB9-0C5D-532A996DAE20} - C:\WINDOWS\dqljl1.dll (file missing)
O4 - HKLM\..\Run: [eqxdh] "C:\DOCUME~1\default\IMPOST~1\Temp\6675278.exe"
O4 - HKCU\..\Run: [eqxdh] "C:\DOCUME~1\default\IMPOST~1\Temp\6675278.exe"
O20 - AppInit_DLLs: \?C:WINDOWScom1.sxi
O23 - Service: SrvGic - Unknown owner - C:\Programmi\File comuni\System\oZO.exe (file missing)
Torna in alto
 
pidue
Inviato: Thursday, April 24, 2008 10:02:54 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, fai questi controlli:
Start >> esegui, incolla la stringa control userpasswords2, ok, verifica se c'è un'utenza con nome random. Se la trovi, eliminala.
Se c'è l'uenza parassita, c'è un servizio associato. Sempre da Start >> Esegui, incolla la stringa : services.msc, vedi se c'è un servizio che ha lo stesso nome dell'utente random. Tu fai intanto questi controlli, poi:

in modalità provvisoria, lancja HijackThis
rendi visibili le cartelle nascoste ------ > procedura:
da Risorse del computer:
Strumenti >> Opzioni cartella >> visualizzazione;
metti la spunta su:
Visualizza file e cartelle nascoste;
togli la spunta da:
Nascondi file protetti del sistema(consigliato)
e fixa le seguenti righe:
______________________________________________________________________________________
O2 - BHO: Class - {8024FF3D-9A7F-0CB9-0C5D-532A996DAE20} - C:\WINDOWS\dqljl1.dll (file missing)
O4 - HKLM\..\Run: [eqxdh] "C:\DOCUME~1\default\IMPOST~1\Temp\6675278.exe"
O4 - HKCU\..\Run: [eqxdh] "C:\DOCUME~1\default\IMPOST~1\Temp\6675278.exe"
O20 - AppInit_DLLs: \?C:WINDOWScom1.sxi
______________________________________________________________________________________

Fixa tutte le righe 01

Se riesci, camcella il file in rosso:
C:\WINDOWS\system32\Microsoft\serv\service.exe

Può darsi che tu non riesca a cancellare il BHO, è tipico del virus.
Start >> Esegui. Incolla la stringa %temp% e svuota la cartella temp.Accertati di vuotarla, perchè alcuni virus sono lì dentro.

Poi fai questi ulteriori controlli:
vai neelle seguenti cartelle e nota se ci sono files scritti in verde, sono eseguibili (.exe) con nome casuale che XP colora di verde in quanto crittografati :
C:\programmi;
C:\programmi\file comuni;
C:\programmi\file comuni\system;
C:\programmi\file comuni\services;
C:\programmi\file comuni\microsoft shared .

Riposta un log aggiornato.
Torna in alto
 
pidue
Inviato: Thursday, April 24, 2008 10:11:54 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Dimenticavo: fixa anche queste voci:

R3 - Default URLSearchHook is missing
O23 - Service: SrvGic - Unknown owner - C:\Programmi\File comuni\System\oZO.exe (file missing)

Ciao
Torna in alto
 
nanneddu
Inviato: Tuesday, April 29, 2008 10:55:09 AM
Rank: Newbie

Iscritto dal : 4/22/2008
Posts: 0
Allora ragazzi, spero di non aver parlato troppo presto ma finalmente non vedo più questo tentativo di connessione di service.exe, che non so perché, non riuscivo a vedere nella cartella serv, che sembrava vuota. Tuttavia proprio ora nel log vedo C:\WINDOWS\system32\services.exe....non so che pensare

questo è l'ultimo log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.42.58, on 29/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Spyware Doctor\pctsTray.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\DialerSpy\dspy.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Spyware Doctor\pctsAuxs.exe
C:\Programmi\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://10.0.0.2/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DialerSpy] C:\Programmi\DialerSpy\dspy.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159385203213
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 6491 bytes

per pidue: nella cartella C.\programmi\file comuni\system ho in effetti trovato due file scritti in verde: RFB e LPA (che faceva riferimento a MSDOS)....io li ho spostati nel cestino...che faccio li ripristino?

provo a vedere ancora come vanno le cose e poi vi dico, per il momento tutto bene

ciao
Torna in alto
 
nanneddu
Inviato: Wednesday, April 30, 2008 9:25:47 AM
Rank: Newbie

Iscritto dal : 4/22/2008
Posts: 0
Seguendo passo passo le istruzioni che mi avete dato credo proprio di essere riuscito a eliminare il dialer che mi ha reso difficili queste ultime settimane. Il portatile è tornato veloce ed efficiente. Grazie di cuore, sto esplorando il sito, che non conoscevo, per apprezzarne le opportunità. Ancora grazie. Whistle
Torna in alto
 
pidue
Inviato: Wednesday, April 30, 2008 9:15:31 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao il log è pulito. Penso proprio che ce l'hai fatta. Sei stato fortunato ma anche bravo, perchè altri, con il LinkOptimizer hanno dovuto formattare. Ti consiglio di attivare gli aggiornamenti automatici, perchè qual virus si instaura in sistemi mancanti di particolari aggiornamenti.
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Seguendo le istruzioni dialer eliminato. Grazie!


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.