Dialer tanto stupido quanto bastardo!

[jhonnymix]

Ciao ragazzi è da circa un mese se non +, ke mentre sono connesso ad internet capita ke la connessione cada e appaia un dialer con intestazione "0005" ke mi kiede di connettermi sicuramente a qualke sito porno, dato ke ha un'icona con il disegno di una ragazza nuda. L'icona a volte cambia, ora c'è questa ragazza, prima x un periodo c'era una mano con un reggiseno...insomma cose così.
Questo fenomeno accade in momenti casuali nell'arco della giornata, a volte anke a distanza di 2-3 giorni.
Tramite "Process Lasso" riesco a scoprire ke questi file si auto-generano sempre nella cartella "C:\Documents and Settings\Hyundai\Impostazioni locali\Temp".
Fin'ora i miei tantativi di risolvere questo problema sono stati vani:

- ho eliminato manualmente ogni volta i vari file .exe ke si sono creati (da sottolineare ke poi in realtà i file ke si creano hanno ogni volta un nome diverso fatto di lettere e numeri a casaccio, ma sul desktop ogni volta hanno il nome 0005);

- ho utilizzato "Norton Antivirus 2006", "Hijackthis", "Lavasoft Ad-aware 6", "Spybot - search & destroy","DrWebCureIT" ma ragazzi nessuno di loro è riuscito a risolvermi questo problema.

- attraverso Norton solo in un paio di occasioni si è accorto del malware ed ha provveduto eliminando questo:

2 file:
c:\documents and settings\Hyundai\impostazioni locali\temporary internet files\Content.IE5\0TYBCT6J\it2[1].php - Eliminati
c:\documents and settings\Hyundai\impostazioni locali\Temp\-16nlVua.exe - Eliminati

1 processi:
C:\DOCUME~1\Hyundai\IMPOST~1\Temp\-16nlVua.exe - Terminati

Nella maggior parte dei casi invece non si è accorto di niente.

- ho seguito il thread di juninho85
http://www.hwupgrade.it/forum/showthread.php?t=1337681
Un altro "mattoncino" riguardo la sicurezza
riguardo i dialer (e non solo), ho scaricato il "dialer control" ma caso ha voluto ke si manifestasse di nuovo il problema e ho constatato ke la connessione è comunque caduta.

- ho seguito il thread di Eraser
http://www.hwupgrade.it/forum/showthread.php?t=1142673
"Prima di chiedere aiuto leggete qui! COMPORTAMENTO DA SEGUIRE"
ma con scarsi risultati.

- ricollegandomi al thread di juninho ho scaricato l'"adsr" x eliminare gli ADS (del quale non ho ancora capito bene l'entità nonostante abbia anke letto qualcosa ma soprattutto non sono convinto del gesto di aver eliminato TUTTI gli ADS ke mi ha riscontrato ).

- ho scaricato il "Removal Tool LinkOptimizer / Gromozon" ma non ho nessuna infezione di questo genere.

- ho rimandato il fil log di HjackThis al sito http://hijackthis.de/ e stavolta mi ha addirittura riscontrato tutti elementi positivi!

- mentre scrivo è successo di nuovo: la connessione è caduta, però stavolta non appare direttamente il programmino ke mi kiede di connettermi ma al suo posto ho un collegamento sul desktop al solito file creato in C:\Documents and Settings\Hyundai\Impostazioni locali\Temp con nome "Instant access" (e ripeto ke il file originale invece ha sempre un nome fatto di numeri e lettere a casaccio del tipo -136R3vDa.exe) ma non vorrei ke stavolta mi avesse creato l'icona sul desktop perkè Dialer Control gli ha impedito semplicemente di comparire...(ah è cambiata di nuovo l'icona, ora ci sono un bel paio di t....e )

- ulteriore aggiornamento: ho appena terminato un controllo on-line con ewido e mi ha riscontrato oltre i vari cookyes, questo file come altamente pericoloso: in C:\WINDOWS\Temp\ja.exe e ovviamente l'ha eliminato...probabile ke fosse questo file a crearmi quei dialer?? Vedremo...

Cosa mi consigliate?
Dovrei utilizzare un altro software?
Fatemi sapere

- girando su internet in cerca di altre info su questo benedetto problema mi sono scontrato con questi 2 programmini a quanto pare molto efficaci: "The Avenger" e "IceSword". Prima ke io faccia delle emerite ca...volate mi potreste illuminare un pò circa questi 2 simpaticoni?? Grazie...rimango in attesa

[ania]

Quote:

Originariamente inviato da jhonnymix

- girando su internet in cerca di altre info su questo benedetto problema mi sono scontrato con questi 2 programmini a quanto pare molto efficaci: "The Avenger" e "IceSword". Prima ke io faccia delle emerite ca...volate mi potreste illuminare un pò circa questi 2 simpaticoni??

@jhonnymix
da quanto ho constatato sino ad ora, osservando molto l'operato di utenti esperti, di solito i due software che hai citato vengono impiegati e gestiti da "mani capaci", o comunque seguendo indicazioni precise di utenti in grado di suggerire come usare quei programmi traendone il massimo vantaggio senza correre rischi di fare i danni che potrebbero scaturire da un uso improprio.

In particolare, ho sempre visto usare The Avenger SE si può disporre di un preciso "script" che qualcuno di esperto ti predispone "ad hoc".

Per quanto riguarda Icesword è un programma che coadiuva nella rimozione dei rootkit, ed anche questa infezione e la relativa terapia non è esattamente cosa elementare, quindi di solito per risolveer le cose, si viene guidati da utenti "advanced".

Quindi, io non te ne consiglierei l'uso a meno chè tu non sia davvero esperto , ad es. in grado di predisporre autonomamernte uno script valido per Avenger.

Come ti ho già suggerito qui:
http://www.hwupgrade.it/forum/showthread.php?t=1420696
l'unico programma che se fossi in te mi sentirei di usare serenamente, senza timore di fare danni irreversibili, è A-squared 2.1 free
ciao

[FOXYLADY]

Il problema potrebbe anche essere quell'infezione che ti ha trovato lo scan online di ewido, nel caso potresti risolvere definitivamente scaricando il software AVG Antispyware (ex Ewido) e fare una scansione in locale.
Se invece il problema dovesse ripresentarsi devi postare dei log:
Hijackthis, che già conosci e
Gmer
http://www.hwupgrade.it/forum/showthread.php?t=1372589
così che qualcuno possa darci un occhiata e darti i suggerimenti del caso.

[jhonnymix]

Ok sto scaricando i programmi ke mi hai consigliato , già ke c'ero ho preso anke l'a-squared Anti-Dialer 2.1.
Per quanto riguarda AVGperkè non mi consigli di prendere anke il malware?

Comunque per ora già ke ci sono posto qui il mio log di HjackThis, poi volevo kiedere a FOXYLADY ke cos'è Gmer

Logfile of HijackThis v1.99.1
Scan saved at 19.53.28, on 04/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
C:\Programmi\Process Lasso\processgovernor.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Coolspot\Dialer Control\dc.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Process Lasso\ProcessSupervisor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\MSN Messenger\livecall.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/indexbb.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [VGAUtil] C:\WINDOWS\System32\G-VGA.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UpdateService\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 300NC PC Camera
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [ProcessGovernor] C:\Programmi\Process Lasso\processgovernor.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Dialer Control] C:\Programmi\Coolspot\Dialer Control\dc.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ProcessSupervisorGUI] C:\Programmi\Process Lasso\ProcessSupervisor.exe /tray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: &Download with &DAP - F:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Download &all with DAP - F:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {29D73455-3ADA-49BB-9067-44822F6728F5} (Google Video Uploader ActX) - http://www.joga.com/activex/uploadactx.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://vivreinimitable.spaces.msn.co...d/MsnPUpld.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.co...p/PhtPkMSN.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.filelodge.com/ImageUploader3.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A091E09-26A9-4B22-A82D-25ADE895F722}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LiveUpdate\LuComServer_3_0.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

[KingOfTheDark]

Questo ke roba è?
O4 - HKLM\..\Run: [Dialer Control] C:\Programmi\Coolspot\Dialer Control\dc.exe

Cmq il log è pulito sembra...

ps:togli il dap e il norton

[jhonnymix]

Perdonatemi volevo aggiungere ke comunque io ho una connessione ADSL quindi nn corro alcun riskio di connettermi a tariffe stratosferike a causa di un dialer...ovviamente però la mia volontà di eliminare il problema è primaria

[ania]

Quote:

Originariamente inviato da jhonnymix

Per quanto riguarda AVG perkè non mi consigli di prendere anke il malware?

@Jhonnymix
Ti ho suggerito in particolare AVG anti spyware perchè lo ritengo un ottimo software, lo conosco da tempo, cioè da quando in realtà ancora si chiamava EWIDO, perchè AVG anti-spyware in realtà è il software nel quale è stato "convertito" l' ex-Ewido, quando la GRISOFT ha acquisito Ewido .

AVG anti-spyware è un efficacie anti-spyware , ma riconosce perfettamente anche adwares, trojans, backdoors, ADS, ed altre cosette di cui è meglio fare piazza pulita.

L' AVG antimalware -purtroppo- non lo conosco altrettanto bene, perchè avevo provato ad installare una trial , ma essendo entrata in conflitto con altri software installati nella mia macchina, ho dovuto disinstallarla praticamente subito, quindi non te l'ho consigliato perchè :
1_non lo conosco sufficientemente bene
2_ho temuto potesse entrare in conflitto anche sulla tua macchina con altri software esattamente come era accaduto a me.

Quanto a Gmer, è un ottimo software che serve a fare diagnosi di infezione da rootkits.

C'è da dire che l'analisi dei logfiles di Gmer è cosa piuttosto complessa e non sono in molti coloro che hanno saputo acquisire competenze così elevate e specifiche da saperlo fare alla perfezione, però, qua e là in giro per il web, nelle varie sezioni dei forum di informatica che si occupano di sicurezza, se si cerca con attenzione, qualcuno lo si riesce a trovare, qualcuno molto bravo c'è anche qui su HWU

Se vai nella sezione guide e tutorial e FAQ, dovresti trovare un thread dedicato proprio a Gmer.
Ecco il link
http://www.hwupgrade.it/forum/showth...0#post16207680
"gmer e analisi dei suoi logs" [tread ufficiale]

E se hai voglia di leggere qualcosa in più, eccoti una guida interessante :
http://www.pcalsicuro.com/main/guida-a-gmer/

Infine, concordo con il suggerimento che ti è stato dato di disinstallare il DAP, perchè installa spyware.
Leggi questo thread che ho aperto io stessa proprio oggi :
http://www.hwupgrade.it/forum/showthread.php?t=1421710
"DAP installa spyware: quali alternative ?"


P.S.
Hai fatto in modo da scollegare -o eliminare dalla macchina- il modem analogico ?
ciao

[jhonnymix]

Quote:

Originariamente inviato da KingOfTheDark

Questo ke roba è?
O4 - HKLM\..\Run: [Dialer Control] C:\Programmi\Coolspot\Dialer Control\dc.exe

Cmq il log è pulito sembra...

ps:togli il dap e il norton

Dialer Control è un programma di monitoraggio delle connessioni, l'ho preso in soccorso ma penso non mi servirà grankè

Cosa dovrei togliere di Norton? E perkè?

[KingOfTheDark]

con togli il norton intendevo proprio di disinstallarlo xkè a mio parere non è un buon antivirus...anzi....molti antivurs (anke free) rilevano cosa che il norton non calcola proprio...comunque è solo un mio consiglio

ps:non parlo xkè l'ho letto in giro ma xkè l'ho provato sulla mia pelle

[jhonnymix]

Grazie ad ania sono venuto a conoscenza di "a-squared free", "a-squared dialer" e "AVG anti-spyware" ke sto facendo lavorare da poco (faccio fare una scansione da l'uno poi dall'altro e poi l'altro ancora). In particolare a-square dialer proprio poki minuti fa ha bloccato un tentativo di connessione di uno di quei dialer puntualmente ricreato nella solita cartella...la magra consolazione è ke almeno ora la connessione nn cade...ma non sono ancora riuscito a risolvere del tutto la questione..vedrò cosa ottengo dai 3 software ke vi ho citato sopra...

[ania]

Quote:

Originariamente inviato da jhonnymix

Grazie ad ania sono venuto a conoscenza di "a-squared free", "a-squared dialer" e "AVG anti-spyware" ke sto facendo lavorare da poco (faccio fare una scansione da l'uno poi dall'altro e poi l'altro ancora). In particolare a-square dialer proprio poki minuti fa ha bloccato un tentativo di connessione di uno di quei dialer puntualmente ricreato nella solita cartella...la magra consolazione è ke almeno ora la connessione nn cade...ma non sono ancora riuscito a risolvere del tutto la questione..vedrò cosa ottengo dai 3 software ke vi ho citato sopra...

Ciao Jhonnymix
1_se non li hai , scaricati CCleaner, ed anche ATF Cleaner, e poi, io farei così:

2_aggiornerei tutti i software per le scansioni, e poi,

3_dopo avere effettuato tutti gli aggiornamenti, mi scollegherei da Internet

4_disabiliterei il ripristino di configurazione di sistema, poi

5_andrei in modalità provvisoria,

6_userei CCleaner,( in opzioni avanzate togli la spunta dall'opzione : cancella file in Windows Temp solo se più vecchi di 48 ore) e poi procederei con analisi e pulizia.

7_userei ATF Cleaner, metterei la spunta su "select all" , poi click su "empty selected", poi "exit"

8_poi e farei una dopo l'altra tutte le scansioni di pulizia, con tutti i software, uno dopo l'altro.
ciao

[c.m.g]

se togli il norton vedrai che farai un'affare.
per quanto riguarda il tuo problema accertati di non avere un rootkit attivo. molto spesso alcuni virus utilizzano diverse tecnologie insieme in modo da creare un "ibrido" con diverse funzionalità del tipo rootkit, dialer, backdoor ecc...

[Swiggy]

sta succedendo pure a me da una settimana....
continuo a scansionare coi vari antivirus citati sopra ma nulla...
potrebbe essere sto worm GAELICUM??????
continuano a spuntarmi vari eseguibili, oltre alle solite tette....

[juninho85]

scusami,ma pur avendo impostato il file delle connessioni remote in sola lettura il dialer riesce comunque a creare una connessione a internet?
hai una scheda video gigabyte?

[Swiggy]

ho una connessione adsl, quindi non riesce a far nulla... è la prima in vita mia che cerco in tutti modi di sbarazzarmi di un paio di tette!!!!!!
la scheda video è his....

[juninho85]

Quote:

Originariamente inviato da Swiggy

ho una connessione adsl, quindi non riesce a far nulla... è la prima in vita mia che cerco in tutti modi di sbarazzarmi di un paio di tette!!!!!!
la scheda video è his....

assicurati che questi 2 file siano effettivamente puliti

Quote:

O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [VGAUtil] C:\WINDOWS\System32\G-VGA.exe

[Swiggy]

ah ecco, stasera provo...

non mi sembra siano mai stati rilevati nelle varie scansioni... nel caso li trovassi li blasto con l'avenger?

[jhonnymix]

Allora...le scansioni dei A-squared e AVG nn sono riuscite a risolvere il problema, i dialer co sto paio di tette continuano ad autocrearsi

Quote:

Originariamente inviato da c.m.g

se togli il norton vedrai che farai un'affare.
per quanto riguarda il tuo problema accertati di non avere un rootkit attivo. molto spesso alcuni virus utilizzano diverse tecnologie insieme in modo da creare un "ibrido" con diverse funzionalità del tipo rootkit, dialer, backdoor ecc...

Cosa è un ROOTKIT?? Come faccio a sapere se ne ho uno attivo?

Quote:

Originariamente inviato da Swiggy

potrebbe essere sto worm GAELICUM??????

Dove e cosa hai letto a riguardo?

Quote:

Originariamente inviato da juninho85

scusami,ma pur avendo impostato il file delle connessioni remote in sola lettura il dialer riesce comunque a creare una connessione a internet?
hai una scheda video gigabyte?

Il file delle connessioni remote da mettere in sola lettura sarebbe RASPHONE.PBK? Si io l'ho messo in sola lettura ma i dialer si autocreano lo stesso.
Io ho una NVidia GeForce FX5200 ed è una sckeda video gigabyte, perkè???

Quote:

Originariamente inviato da juninho85

assicurati che questi 2 file siano effettivamente puliti

O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [VGAUtil] C:\WINDOWS\System32\G-VGA.exe

Io li ho (e quel NVRTclk.exe non mi ha mai convinto molto...) come posso assicurarmi ke siano puliti? Cosa dovrei utilizzare?

Quote:

Originariamente inviato da Swiggy

nel caso li trovassi li blasto con l'avenger?

Sai dirmi a cosa serve e come si usa AVEBGER?? Ne ho sentito parlare spesso...
Ke significa blastare?!?

P:S.: Scusate il mega-multi-quote ma ho davvero bisogno di saperne di tutto e di più così da kiudere definitivamente sta situazione...e x essere pronto x una cosa simile futura

[juninho85]

Quote:

Originariamente inviato da jhonnymix

Il file delle connessioni remote da mettere in sola lettura sarebbe RASPHONE.PBK? Si io l'ho messo in sola lettura ma i dialer si autocreano lo stesso.
Io ho una NVidia GeForce FX5200 ed è una sckeda video gigabyte, perkè???

cazzarola...m'hai smontato il trick
prova ad aprire quel file(rasphne.pbk)col blocco note e posta qua il contenuto :=

Quote:

Originariamente inviato da jhonnymix

Io li ho (e quel NVRTclk.exe non mi ha mai convinto molto...) come posso assicurarmi ke siano puliti? Cosa dovrei utilizzare?

scansionali qui,ma se hai una gigabyte è tutto nella norma

[jhonnymix]

beh dai senz'altro se avessi seguito prima tutti quei consigli nn mi ritroverei in questa situazione.
Questo è il contenuto di RASPHONE.PBK:

[Michelangelo USB ADSL]
Encoding=1
Type=1
AutoLogon=0
UseRasCredentials=1
DialParamsUID=2109734
Guid=DFCA84B91C27F14A8E7F50A3FB44E90B
BaseProtocol=1
VpnStrategy=0
ExcludedProtocols=3
LcpExtensions=1
DataEncryption=8
SwCompression=1
NegotiateMultilinkAlways=1
SkipNwcWarning=0
SkipDownLevelDialog=0
SkipDoubleDialDialog=0
DialMode=0
DialPercent=0
DialSeconds=0
HangUpPercent=0
HangUpSeconds=0
OverridePref=15
RedialAttempts=0
RedialSeconds=0
IdleDisconnectSeconds=0
RedialOnLinkFailure=0
CallbackMode=0
CustomDialDll=
CustomDialFunc=
CustomRasDialDll=
AuthenticateServer=0
ShareMsFilePrint=0
BindMsNetClient=1
SharedPhoneNumbers=0
GlobalDeviceSettings=0
PrerequisiteEntry=
PrerequisitePbk=
PreferredPort=ISDN11-0
PreferredDevice=Michelangelo USB ADSL WAN Adapter
PreferredBps=0
PreferredHwFlow=0
PreferredProtocol=0
PreferredCompression=0
PreferredSpeaker=0
PreferredMdmProtocol=0
PreviewUserPw=1
PreviewDomain=0
PreviewPhoneNumber=1
ShowDialingProgress=1
ShowMonitorIconInTaskBar=1
CustomAuthKey=-1
AuthRestrictions=632
TypicalAuth=1
IpPrioritizeRemote=1
IpHeaderCompression=1
IpAddress=0.0.0.0
IpDnsAddress=0.0.0.0
IpDns2Address=0.0.0.0
IpWinsAddress=0.0.0.0
IpWins2Address=0.0.0.0
IpAssign=1
IpNameAssign=1
IpFrameSize=1006
IpDnsFlags=0
IpNBTFlags=1
TcpWindowSize=0
UseFlags=0
IpSecFlags=0
IpDnsSuffix=

NETCOMPONENTS=
ms_msclient=1
ms_server=0

MEDIA=isdn
Port=ISDN11-0
Device=Michelangelo USB ADSL WAN Adapter

DEVICE=isdn
PhoneNumber=0000000
AreaCode=000
CountryCode=1
CountryID=1
UseDialingRules=0
Comment=
LastSelectedPhone=0
PromoteAlternates=0
TryNextAlternateOnFail=1
LineType=0
Fallback=1
EnableCompression=1
ChannelAggregation=1
Proprietary=0

[Internet Connection]
Encoding=1
Type=1
AutoLogon=0
UseRasCredentials=1
DialParamsUID=7868828
Guid=32B9771656C2A942BB5EC6C52624A4A7
BaseProtocol=1
VpnStrategy=0
ExcludedProtocols=3
LcpExtensions=1
DataEncryption=8
SwCompression=0
NegotiateMultilinkAlways=1
SkipNwcWarning=0
SkipDownLevelDialog=0
SkipDoubleDialDialog=0
DialMode=0
DialPercent=0
DialSeconds=0
HangUpPercent=0
HangUpSeconds=0
OverridePref=15
RedialAttempts=0
RedialSeconds=0
IdleDisconnectSeconds=0
RedialOnLinkFailure=0
CallbackMode=0
CustomDialDll=
CustomDialFunc=
CustomRasDialDll=
AuthenticateServer=0
ShareMsFilePrint=0
BindMsNetClient=1
SharedPhoneNumbers=0
GlobalDeviceSettings=0
PrerequisiteEntry=
PrerequisitePbk=
PreferredPort=ISDN11-0
PreferredDevice=Michelangelo USB ADSL WAN Adapter
PreferredBps=0
PreferredHwFlow=0
PreferredProtocol=0
PreferredCompression=0
PreferredSpeaker=0
PreferredMdmProtocol=0
PreviewUserPw=0
PreviewDomain=0
PreviewPhoneNumber=1
ShowDialingProgress=0
ShowMonitorIconInTaskBar=0
CustomAuthKey=-1
AuthRestrictions=632
TypicalAuth=1
IpPrioritizeRemote=1
IpHeaderCompression=1
IpAddress=0.0.0.0
IpDnsAddress=0.0.0.0
IpDns2Address=0.0.0.0
IpWinsAddress=0.0.0.0
IpWins2Address=0.0.0.0
IpAssign=1
IpNameAssign=1
IpFrameSize=1006
IpDnsFlags=0
IpNBTFlags=1
TcpWindowSize=0
UseFlags=0
IpSecFlags=0
IpDnsSuffix=

NETCOMPONENTS=
ms_msclient=1
ms_server=0

MEDIA=isdn
Port=ISDN11-0
Device=Michelangelo USB ADSL WAN Adapter

DEVICE=isdn
PhoneNumber=000
AreaCode=
CountryCode=1
CountryID=1
UseDialingRules=0
Comment=
LastSelectedPhone=0
PromoteAlternates=0
TryNextAlternateOnFail=1
LineType=0
Fallback=1
EnableCompression=1
ChannelAggregation=1
Proprietary=0

Comunque cosa intendi con nella norma?? Ho fatto una scansione di NVRTClk.exe e G-VGA.exe su quel fantastico sito ke mi hai dato e alcuni software con cui il sito ha scansionato i miei file hanno rilevato delle infezioni...il punto ora è cosa dovrei fare dato ke il sito comunque può solo scansionare

STATUS: FINISHEDComplete scanning result of "G-VGA.exe", received in VirusTotal at 03.06.2007, 16:40:45 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 03.06.2007 no virus found
Authentium 4.93.8 03.05.2007 no virus found
Avast 4.7.936.0 03.05.2007 no virus found
AVG 7.5.0.447 03.05.2007 no virus found
BitDefender 7.2 03.06.2007 DeepScan:Generic.Malware.SP!Yd!Pk!.C16F5BF4
CAT-QuickHeal 9.00 03.05.2007 no virus found
ClamAV devel-20060426 03.06.2007 no virus found
DrWeb 4.33 03.06.2007 no virus found
eSafe 7.0.14.0 03.06.2007 suspicious Trojan/Worm
eTrust-Vet 30.6.3458 03.06.2007 no virus found
Ewido 4.0 03.06.2007 no virus found
FileAdvisor 1 03.06.2007 no virus found
Fortinet 2.85.0.0 03.06.2007 W32/Tibs.gen
F-Prot 4.3.1.45 03.06.2007 no virus found
F-Secure 6.70.13030.0 03.06.2007 no virus found
Ikarus T3.1.1.3 03.06.2007 Win32.SuspectCrc
Kaspersky 4.0.2.24 03.06.2007 no virus found
McAfee 4976 03.05.2007 no virus found
Microsoft 1.2204 03.06.2007 Trojan:Win32/Kukum.A
NOD32v2 2098 03.06.2007 no virus found
Norman 5.80.02 03.06.2007 no virus found
Panda 9.0.0.4 03.06.2007 Suspicious file
Prevx1 V2 03.06.2007 no virus found
Sophos 4.15.0 03.06.2007 no virus found
Sunbelt 2.2.907.0 03.05.2007 no virus found
Symantec 10 03.06.2007 no virus found
TheHacker 6.1.6.070 03.06.2007 no virus found
UNA 1.83 03.05.2007 no virus found
VBA32 3.11.2 03.05.2007 suspected of Trojan-Downloader.Obfuscated.1 (paranoid heuristics)
VirusBuster 4.3.19:9 03.05.2007 no virus found

Aditional Information
File size: 24588 bytes
MD5: d60706cb45cd9214226b01a5685c7687
SHA1: c860565650369571b007440c48eb858126e23676
packers: UPX
packers: UPX
packers: UPX



STATUS: FINISHEDComplete scanning result of "NVRTClk.exe", received in VirusTotal at 03.06.2007, 16:54:18 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 03.06.2007 no virus found
Authentium 4.93.8 03.05.2007 no virus found
Avast 4.7.936.0 03.05.2007 no virus found
AVG 7.5.0.447 03.05.2007 no virus found
BitDefender 7.2 03.06.2007 DeepScan:Generic.Malware.SP!Yd!Pk!.C16F5BF4
CAT-QuickHeal 9.00 03.06.2007 no virus found
ClamAV devel-20060426 03.06.2007 no virus found
DrWeb 4.33 03.06.2007 no virus found
eSafe 7.0.14.0 03.06.2007 suspicious Trojan/Worm
eTrust-Vet 30.6.3458 03.06.2007 no virus found
Ewido 4.0 03.06.2007 no virus found
FileAdvisor 1 03.06.2007 no virus found
Fortinet 2.85.0.0 03.06.2007 W32/Tibs.gen
F-Prot 4.3.1.45 03.06.2007 no virus found
F-Secure 6.70.13030.0 03.06.2007 no virus found
Ikarus T3.1.1.3 03.06.2007 Win32.SuspectCrc
Kaspersky 4.0.2.24 03.06.2007 no virus found
McAfee 4976 03.05.2007 no virus found
Microsoft 1.2204 03.06.2007 Trojan:Win32/Kukum.A
NOD32v2 2098 03.06.2007 no virus found
Norman 5.80.02 03.06.2007 no virus found
Panda 9.0.0.4 03.06.2007 Suspicious file
Prevx1 V2 03.06.2007 no virus found
Sophos 4.15.0 03.06.2007 no virus found
Sunbelt 2.2.907.0 03.05.2007 no virus found
Symantec 10 03.06.2007 no virus found
TheHacker 6.1.6.070 03.06.2007 no virus found
UNA 1.83 03.05.2007 no virus found
VBA32 3.11.2 03.05.2007 suspected of Trojan-Downloader.Obfuscated.1 (paranoid heuristics)
VirusBuster 4.3.19:9 03.05.2007 no virus found

Aditional Information
File size: 24588 bytes
MD5: d60706cb45cd9214226b01a5685c7687
SHA1: c860565650369571b007440c48eb858126e23676
packers: UPX
packers: UPX
packers: UPX