Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Possibile dialer

Possibile dialer Opzioni
Topic Precedente · Topic Sucessivo
mbrcrl
Inviato: Sunday, April 29, 2007 6:29:50 PM
Rank: Member

Iscritto dal : 4/29/2007
Posts: 0
Salve , è da un po di tempo che dopo circa 10 minuti di navigazione in internet si attiva una connessione remota col nome UANES e crca di collegarsi al numero 292647081 , purtroppo devo avere il modem 56k poicjè mi serve per lavoro , mi sapete dare indicazioni su come poterlo eliminare .Ho cercato di lanciare il prodotto hijackthis ma appena clicco solo la parola si chiude automaticamente la pagina .Grazie
Torna in alto
 
Sponsor
Inviato: Sunday, April 29, 2007 6:29:50 PM

 
Torna in alto
 
pidue
Inviato: Sunday, April 29, 2007 10:53:35 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Se non parte HijackThis è brutto segno, potresti avere un rootkit o qualcosa di simile (LinkOptimizer). Per sbloccarlo apri il TaskManager e termina i processi sospetti del profilo utente, poi prova a lanciare HJT. Vai avanti così, termina un processo e lancia HJT, finchè trovi il o i responsabili. <b>Non</b> terminare i processi di sistema.
Torna in alto
 
mbrcrl
Inviato: Tuesday, May 01, 2007 4:31:29 PM
Rank: Member

Iscritto dal : 4/29/2007
Posts: 0
ok adesso provo a cancellare tutti i processi con nome utente windowsXP e ti faccio sapere . Invece per la connessione come posso toglierla ? Grazie
Torna in alto
 
mbrcrl
Inviato: Tuesday, May 01, 2007 4:33:35 PM
Rank: Member

Iscritto dal : 4/29/2007
Posts: 0
OK adesso termino i processi con nome utente windowsXP e ti faccio sapere . Invece per la connessione come posso risolverla ? Grazie
Torna in alto
 
mbrcrl
Inviato: Tuesday, May 01, 2007 5:19:17 PM
Rank: Member

Iscritto dal : 4/29/2007
Posts: 0
Finalmente sono riuscito a trovarlo ed è Lotus-Driver.exe cosa devo fare adesso ?
Torna in alto
 
pidue
Inviato: Tuesday, May 01, 2007 5:50:06 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
vai su Start >> Connetti a >> Mostra tutte le connessioni. Elimina la connessione abusiva e poi posta un log.
Torna in alto
 
mbrcrl
Inviato: Tuesday, May 01, 2007 6:29:38 PM
Rank: Member

Iscritto dal : 4/29/2007
Posts: 0
il problema che la connessione , nel pannello Mostra tutte le connessione ,appare solo nel momento in cui cerca di connettersi , cosa devo fare ?
una cosa non ho capito cosa vuol dire ' e poi posta un log ' ?
Per ulteriori informazioni ti allego il log di HijackThis . Grazie
Logfile of HijackThis v1.99.1
Scan saved at 18.18.40, on 01/05/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WinProxy\WinProxy.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Creative\ShareDLL\CtNotify.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Creative\ShareDLL\MediaDet.Exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\Nokia\NOKIAP~2\LAUNCH~1.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\issch.exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Utility\ClickTray Calendar\ClickTray.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\HIJACKTHIS\HijackThis.exe
C:\Programmi\Real\RealOne Player\RealPlay.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = telpra001rm001.telecomitalia.local:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe,"c:\windows\system32\lotus-driver.exe",
O2 - BHO: Class - {03865DF1-FB94-BBDC-3F94-8826A274EF58} - C:\WINDOWS\mdnrq1.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MS System Security] mswin32.pif
O4 - HKLM\..\Run: [Microsoft SDKb] mswinsdl.exe
O4 - HKLM\..\Run: [DriverMagicLogon] "C:\Programmi\DriverMagic\dmschedule.exe" /boot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~2\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\issch.exe" -start
O4 - HKLM\..\Run: [ndalb] "C:\DOCUME~1\WINDOW~1\IMPOST~1\Temp\1535125.exe"
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [MS System Security] mswin32.pif
O4 - HKLM\..\RunServices: [Microsoft SDKb] mswinsdl.exe
O4 - HKCU\..\Run: [TaskTray] C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [MS System Security] mswin32.pif
O4 - HKCU\..\Run: [Microsoft SDKb] mswinsdl.exe
O4 - HKCU\..\Run: [Otia] "C:\WINDOWS\system32\SMANTE~1\arpa.exe" -vt ndrv
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ndalb] "C:\DOCUME~1\WINDOW~1\IMPOST~1\Temp\1535125.exe"
O4 - HKCU\..\Run: [boask] "C:\DOCUME~1\WINDOW~1\IMPOST~1\Temp\1535125.exe"
O4 - HKCU\..\RunServices: [file laoder configuration] rnd32.exe
O4 - HKCU\..\RunServices: [Service] wN2S.exe
O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] msnt32.exe
O4 - HKCU\..\RunServices: [MS System Security] mswin32.pif
O4 - Startup: ClickTray Calendar.lnk = C:\Utility\ClickTray Calendar\ClickTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAID Tool.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .mpg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/9.20.0002/OCI/setup.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07E37C03-A527-4B1E-ABA7-B382330DD628}: NameServer = 151.99.125.1,151.99.125.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = casa
O17 - HKLM\System\CS1\Services\Tcpip\..\{07E37C03-A527-4B1E-ABA7-B382330DD628}: NameServer = 151.99.125.1,151.99.125.3
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = casa
O17 - HKLM\System\CS2\Services\Tcpip\..\{07E37C03-A527-4B1E-ABA7-B382330DD628}: NameServer = 151.99.125.1,151.99.125.3
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = casa
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C:\WINDOWS\system32\IcdSptSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Keyboard Service System Files (Keyboard Service) - Unknown owner - C:\WINDOWS\System32\keyboard.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)
O23 - Service: Net Functions Library (Netlib) - Unknown owner - C:\WINDOWS\System32\Netlib.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\msclient32.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WinProxy - M&M hist - C:\WinProxy\WinProxy.exe
Torna in alto
 
pidue
Inviato: Tuesday, May 01, 2007 6:59:29 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, purtroppo era come pensavo. <b>LinkOptimizer</b>. Adesso ti suggerisco la procedura classica. Se non funziona, proveremo quella manuale.
Dovrai seguire alla lettera le mie indicazioni.

Scarica <b>VirIt</b> dal link sotto, installalo e aggiornalo. Poi fai una scansione in modalità provvisoria e una normale. Il tool è in grado di ripulirti il pc da parecchie schifezze.

http://www.tgsoft.it/files/vnlt6157.exe

Poi scarica questi due tool:

http://www.prevx.com/gromozon.asp
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Prima di lanciarli, pulisci il pc con CCleaner;
chiudi tutti i programmi in esecuzione, disconnettiti da Internet, lancia il primo tool, premendo su Scan;
poi rispondi YES alla richiesta di riavvio.
Al riavvio il tool terminerà la procedura e rilascerà un log in <b>C:\gromozon_removal.txt</b>;


Per eseguire il secondo tool riavvia in Modalità Provvisoria;
poi lancia il file <b>FixLinkopt.exe</b>, accetta il contratto di licenza, clicca su Start per avviare l'analisi.
Consulta il log Fixlinkopt.txt e pubblicalo.

Alla fine di queste procedure, vedi com'è la situazione e posta un log aggiornato.
Torna in alto
 
mbrcrl
Inviato: Friday, May 04, 2007 10:13:11 PM
Rank: Member

Iscritto dal : 4/29/2007
Posts: 0
ho eseguito quanto indicatomi e ti segnalo quanto segue :
Dopo il primo controllo in modalità provvisoria il log è :
VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.N
[SCANSIONE DELLA MEMORIA]
OK
02/05/2007 - 20:31:51

[SCANSIONE DEL REGISTRO]
{f250d521-225d-4d6b-8829-e064f944e180} Infetto da BHO.Agent.BM
* * * RIMOSSO * * *

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\RECYCLER\S-1-5-21-1417001333-1647877149-1801674531-1003\Dc95.exe Infetto da Trojan.Win32.Small.PM
* * * RIMOSSO * * *
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWFX5TNetInstaller.exe Infetto da Adware.WinFixer.B
* * * RIMOSSO * * *
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UWFX5TNetInstaller.exe Infetto da Adware.WinFixer.B
* * * RIMOSSO * * *
C:\WINDOWS\Downloaded Program Files\UWFX5TNetInstaller.exe Infetto da Adware.WinFixer.B
* * * RIMOSSO * * *
C:\WINDOWS\system32\cddbcwja.dll Infetto da Trojan.Win32.RootKit.N
* * * RIMOSSO * * *

[D:]


[E:]


[F:]


[G:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 1.
Files Infetti: 5.
Files Sospetti: 0.
Files Analizzati: 102854.
Files Totali: 102854.
Chiavi Registro rimosse: 1.
Virus Rimossi: 5.

Dalla modalità normale non ha segnalato nulla
Quando ho lanciato il gromozon mi diceva di non trovarlo
Il log del FixLinkopt.exe dice :
Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group

Trojan.Linkoptimizer has not been found on your computer.

Cosa mi consigli di fare adesso ?
Grazie
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Possibile dialer


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.