Aiuto un dialer mi ha incasinato!!!!

[Rastakhan]

Ciao a tutti,giorni fa mentre navigavo(non ho ADSL e nemmeno 56K,vado con un telefonino EDGE),mi si è interrotta improvvisamente la connessione e mentre vado a dare uno sguardo al telefonino mi accorgo che era in chiamata,allora riaggancio e mi incomincio a insospettire.
Riprovo a connettermi e dopo poco risuccede di nuovo,cade la connessione al punto di accesso TIM e il telefonino si mette a chiamare,entro nel registro chiamate e vedo che ci sono chiamate a diversi numeri a me sconosciuti ma di chiara appartenenza DIALER e sono i seguenti:1782072020 , 899354555 , 00881939180085 , 0012686869827.
Vado a vedere nella sezione connessioni di rete in xp e trovo una nuova connessione con il nome di quella originale ma avente come numero da chiamare una serie di 5 o 6 5(numeri 5).
La cancello,disattivo il ripristino configurazione di sistema,riavvio in modalità provvisoria(come amministratore) e faccio le varie scansioni con Spybot1.4 , AdWare , Avast , Ewido 3.5 ,tutti precedentemente aggiornati.
AdWare e Spybot non trovano nulla così come Avast,Ewido 3.5 mi trova in C:\Windows\17472843.exe una infezione "Heuristic.Win32.Dialer",la metto in quarantena e riparto con xp in modalità normale,provo a riconnettermi e poco dopo ancora dialer.
Decido di scaricare l'ultima versione di Ewido la 4.0,ripeto la procedura per la scansione e mi trova "Downloader.Tiny.hi" in C:\windows\system32\spoolw.exe"il programma mi consiglia di curare l'infezione e vuole mettere il file in quarantena gli do l'ok ma niente,allora gli comando di eliminarlo,Ewido mi dice che l'infezione è stata curata.
Adesso mi ritrovo con il pc che mostra il desktop(colline verdi)senza neanche una icona,senza barra delle applicazioni,non so se funziona CTRL+ALT+CANC,in compenso il cursore del mouse si vede e scorrazza sullo schermo;
In modalità provvisoria arrivo fino alla schermata nera(credo sia sempre il desktop)ma anche qui senza icone e barra.
Aiutatemi a farlo ripartire,oltre al fatto che non voglio perdere gli appunti che ho sul desktop( non mi sgridate lo so che non si fa ma per comodità d'uso.... ),la cosa è diventato un cruccio per me,sono 5 giorni che mi danno con sto dialer,e non voglio dargliela vinta con una formattazione,anche perchè sono quasi 3 anni che navigo con il sistema aggiornato fino al WGA,e con Spybot,AdWare e Avast e il Firewall di xp installati e regolarmente aggiornati e non ho mai avuto il minimo problema.
Credevo che i dialer non potessero causarmi problemi invece....
HELP!!!

[Rastakhan]

Grazie di esser venuto a leggere il post HIRO,ma il problema è che al momento non posso accedere ne in modalità provvisoria che in quella classica alle funzioni del pc,in quanto ho solo il mouse e lo sfondo funzionanti,ma ripeto sono sparite sia tutte le icone del desktop che la barra delle applicazioni con rispettivo pulsante di START.
Non so se provare con un ripristino con il disco di win xp????
E dire che xp si era comportato fin ora meglio di come lo dipingono in fatto di sicurezza!!!
AIUTATEMI PREGO!!!!

[c.m.g]

ctrl+alt+canc ti fa apparire il task manager. a questo punto vai sul menù file-> esegui-> scrivi: explorer.exe-> invio
a questo punto puoi procedere con tutti i tools che ti pare.
se avessi fatto una pulizia con un antivirus che ha il motore di scansione kaspersky (active virus shield, fsecure, escan la stessa kaspersky), la tecnologia iSwift (cioè la sua tecnologia avanzata di disinfezione) ti avrebbe portato il sistema come a quando non fosse successo nulla, è imbattibile.

[Rastakhan]

c.m.g , grazie anche a te per la info,ma anche avviando in task manager e digitando "explorer.exe" in esegui,non riesco a venirne fuori,mi esce il messaggiodi errore con il punto rosso con la X e con il seg. msg:

Impossibile trovare il file explorer.exe.
Verificare che il percorso e il nome del file siano corretti e ritentare.
Per cercare un file fare clic sul pulsante START,quindi scegliere trova.

Ho povato anche in modalità provvisoria ma stesso risultato.

[lancetta]

prova in regedit vai alla voce:HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Image File Execution Options e tra le varie voci vedi se trovi "explorer.exe"
click tasto dx su explorer.exe-->Autorizzazioni-->Avanzate-->clicca Proprietario-->autorizza l'Utente del computer-->OK. Torni alla pagina principale, metti la spunta a Controllo completo e In lettura-->OK. A questo punto, click tasto dx sulla voce e scegli Elimina.
Chiudi regedit e riavvia il computer. vediamo se và...

NB fai tutto con calma e sicurezza poichè il registro windows è sempre delicatissimo,non vorrei facessi più danni del virus....

[Rastakhan]

Grazie anche a te lancetta,in regedit ho fatto ciò che mi hai detto fino a raggiungere la linguetta "Porietario",dove c'è la seguente situazione:
E' possibile assumere la proprietà di un oggetto se si dispone delle autorizzazioni appropriate.

Proprietario corrente di questo elemento:
millo(****-*********\****)

Modifica proprietario in :
Administrator(***-******\***)
millo(***-******\***)
Potresti essere un pochettino più dettagliato,come dici tu ho paura di fare qualcosa di sbagliato.
Grazie.

[wizard1993]

Quote:

Originariamente inviato da c.m.g

la tecnologia iSwift (cioè la sua tecnologia avanzata di disinfezione) ti avrebbe portato il sistema come a quando non fosse successo nulla, è imbattibile.

non è percaso quella che permette di saltare i file se non sono cambiati e la ichecker quella che fa quello che dici te?

[c.m.g]

Quote:

Originariamente inviato da wizard1993

non è percaso quella che permette di saltare i file se non sono cambiati e la ichecker quella che fa quello che dici te?

si hai ragione!

[lancetta]

Quote:

Originariamente inviato da Rastakhan

Grazie anche a te lancetta,in regedit ho fatto ciò che mi hai detto fino a raggiungere la linguetta "Porietario",dove c'è la seguente situazione:
E' possibile assumere la proprietà di un oggetto se si dispone delle autorizzazioni appropriate.

Proprietario corrente di questo elemento:
millo(****-*********\****)

Modifica proprietario in :
Administrator(***-******\***)
millo(***-******\***)
Potresti essere un pochettino più dettagliato,come dici tu ho paura di fare qualcosa di sbagliato.
Grazie.

facciamo così prima di muoverti: la chiave in questione c'è?

[Rastakhan]

Ok lancetta,se intendi la chiavetta USB si ne ho un paio da 1GB;
Scusami se rispondo solo ora ma stamane sono stato a lavoro.
Aspetto tue nuove.

[lancetta]

Quote:

Originariamente inviato da Rastakhan

Ok lancetta,se intendi la chiavetta USB si ne ho un paio da 1GB;
Scusami se rispondo solo ora ma stamane sono stato a lavoro.
Aspetto tue nuove.

hem...intendevo la chiave di registro citaz

Quote:

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Image File Execution Options e tra le varie voci vedi se trovi "explorer.exe"

vedi se c'è senza far nulla OK ?

[Rastakhan]

Lancetta la chiave c'è, e c'è anche explorer.exe.

[lancetta]

hem millo sei tu?
vedi anche facendo clic su eplorer a dx cosa ti dà

[Rastakhan]

Si lancetta sono io millo alias Rastakhan.
Per prima cosa ti chiedo se tutte queste operazioni le devo fare da User o Administrator.
Alla finestra a dx di explorer.exe la prima volta che ho aperto il regedit mi sono comparse queste:
NOME TIPO DATI
(AB)Predefinito REG_SZ (Valore non impostato)
(AB)NoOpenWith REG_SZ
(AB)NoStartPage REG_SZ
(AB)TaskbarGroupIcon REG_EXPAND.SZ(Credo .SZ) %SystemRoot%\Explorer.exe,13

Adesso
(AB)(predefinito) REG_SZ (Valore non impostato)
(AB)Debugger REG_SZ C:\WINDOWS\w32dbg.exe

Scusa per il ritardo con il quale ti rispondo ma devo continuamente riaggiornare e nel frattempo gironzolo in rete e faccio altre cose in casa.

[lancetta]

eccolo lì

Quote:

(AB)Debugger REG_SZ C:\WINDOWS\w32dbg.exe

allora senti più nera della mezzanotte non puo venire (non hai desktop) la chiave in questione (explorer) lì NON ci deve essere proprio,è stata creata dal malware quello che devi fare è questo:
avvia in mod. provvisoria da amministratore (penso che tu lo sià giusto,ovvero millo)
trova sempre quella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
clic con destro su explorer.exe seleziona l'opzione autorizzazioni, seleziona il tuo account (Millo) e spunta la casella controllo completo nella colonna consenti.
poi clic con destro sulla chiave (Explorer) e scegli elimina.
riavvia le icone dovrebbero riapparire
se così non fosse: apri task manager file -> nuova operazione --> digita explorer.exe -->invio

Fammi sapere

[Rastakhan]

Allora lancetta,sul pc in questione c'è un Administrator(che sono sempre io) e millo.
"poi clic con destro sulla chiave (Explorer) e scegli elimina."
Explorer sulla finestra di sx o di dx?
Ovvero explorer.exe che esce dai sottomenù di HKEY_LOCAL_MACHINE\SOFTWARE ?
Buona cena e se mi rispondi(non so che limite hai di pazienza)conto di leggerti più tardi,quindi cerca di snocciolarmi per bene il procedimento che stanotte o al limite domani nel 1° pomeriggio ti metto al corrente di tutto.
Grazie dell'aiuto che mi stai dando tu e gli altri amici del forum.

[lancetta]

allora....penso che il tuo account sia di admin giusto? puoi usare quello se no usi admnistrator
devi eliminare tutta la cartella quindi a dx su explorer OK ?
Considera che poi non è finita lì ci sono altre cose da fare

Saluti

[Rastakhan]

Ancora non vado a letto....
Riesco a tirar fuori gli indirizzi e i msg da outlook express?
Ei preferiti di IE?
Prima di procedere con l'eliminazione di explore.exe,che se ho capito bene è quello nella colonna di sx nel sottomenù di HKEY_.......,giusto??
Notte.

[Rastakhan]

Questo è de coccio hai sicuramente pensato,dopo l'ultima risposta al tuo consiglio ma è la paura di sbagliare interpretando male quello che mi hai scritto.
Comunque.....
GRANDE LANCETTA!!!!!
Tutte le icone riapparse,ora eccomi di nuovo pronto a seguirti nelle altre puntate.
Ti premetto che ho scaricato la trial di Kaspersky,ho Ewido 4.0,ed i vari Avast,Spybot,AdWare.
Pronto a proseguire!!!!!

[lancetta]

Quote:

Originariamente inviato da Rastakhan

Questo è de coccio hai sicuramente pensato,dopo l'ultima risposta al tuo consiglio ma è la paura di sbagliare interpretando male quello che mi hai scritto.
Comunque.....
GRANDE LANCETTA!!!!!
Tutte le icone riapparse,ora eccomi di nuovo pronto a seguirti nelle altre puntate.
Ti premetto che ho scaricato la trial di Kaspersky,ho Ewido 4.0,ed i vari Avast,Spybot,AdWare.
Pronto a proseguire!!!!!

hei hei calma! Ti ringrazio per il "grande",comunque adesso urgentemente devi andare in C:\WINDOWS cercare questo file e cancellarlo di corsa:"w32dbg.exe" (se non ci riesci prova in provvisoria)poi scansione dopo aver disabilitato il ripristino config di sistema (se non sai come fare vedi QUI link) con kaspersky (la quale durerà alcune ore la prima volta è normale),installa QUESTO
e fai fare una scansione anche a lui, dopodichè scarica HIJACKTHIS lo decomprimi in una cartella sua lo avvii clicca su "Do a system scan and save a logfile" ti rilascia un log (file di testo)lo copi ed incolli qui...adesso a fare i compiti e fammi sapere
Ciao