Win32/ADialer...non riesco ad eliminarlo.aiuto!!!!!!!!!

--------------------------------------------------------------------------------

Ciao a tutti,vi chiedo aiuto perche non so piu dove sbattere la testa.
E' da un po di giorni che appena accendo il pc e provo a connettermi ad internet,vengo disconnesso dopo una decina di secondi e windows defender mi riconosce un virus chiamato: Win32/ADialer nella cartella di window.
Eliminato questo file (che è un esecutibile)tramite windefender per poter riconnettermi ad internet devo andare a modificare un parametro della connessione ad internet in proprietà e protezione,selezionando dal menù a cascata "consenti password non protetta" altrimenti non riesco più a connettermi alla rete.
Ho notato dopo vari tentativi che questo è un parametro gia settato di defoult quando viene creata una nuova connessione.
Il problema è pero che nonostante win defender mi riesca a rimuovere l'esecutibile,ogni volta che mi connetto alla rete dopo aver avviato il pc compare un altro file (sempre un .exe) ma tutte le volte con un nome diverso,e tutte le volte sono nuovamente da capo.
Ho provato a fare scansioni con antivirus(avast 4.7 pro) e con adaware e spyboat search and destroy,ma nessuno mi riconosce problemi,ho provato anche con registry meccanic,ma anche cosi non riesco a risolvere il problema.
Spero che voi abbiate una soluzione perchè non so proprio più come fare.
Grazie in anticipo per la vostra disponibilità


Zilloboch
Visualizza profilo pubblico
Invia un messaggio privato a Zilloboch
Invia e-mail a Zilloboch
Altri messaggi di Zilloboch
Aggiungi Zilloboch alla lista degli utenti amici

Ieri, 16:35 #2
Bugs Bunny
Senior Member




Iscritto dal: Aug 2005
Messaggi: 996 fai una scansione con avg antispyware dopo aver disabilitato ripristino conf di sistema,comunque devi scrivere qui:

http://www.hwupgrade.it/forum/forumdisplay.php?f=125
__________________
Cae modello "Avanzo di lamiera"(in arrivo aerocool aeroengine II)|A64 3000+ 2 GHz s754|SAPPHIRE RADEON X800GTO2|512 MB ddr Cosrair XMS|hd wd 80 gb 7200 rpm sata|Enermax 460W|-ASUS K8N4-E(bruciata )|
Raffeeddamento a liquido by Ybris is coming soon

Scusa la mia ignoranza ma come faccio a disabilitare il ripristino della configurazione di sistema?

Scusa la mia ignoranza ma come faccio a disabilitare il ripristino della configurazione di sistema?

Ciao :)
per disabilitare il ripristino di configurazione di sistema procedi come segue:

1_portati con il puntatore del mouse sull'icona "risorse del computer",
2_click dx, nel menu a tendina che si apre, seleziona "proprietà" ,
3_ti apparirà la finestra "Proprietà del sistema",
4_click sn su "ripristino configurazione di sistema"
5_metti la spunta su "disattiva ripristino configurazione di sistema su tutte le unità"
6_poi, seleziona "applica"
7_poi,seleziona "ok".

Questa procedura annullerà tutti i punti di ripristino precedentemente salvati, quando sarai sicuro di avere di nuovo un sistema integro e pulito, vale a dire , dopo tutte le scansioni di pulizia, e dopo avere "risanato il tuo sistema dai malwares" , provvederai ad abilitare nuovamente il ripristino di configurazione di sistema, e fisserai tu stesso un nuovo punto di ripristino.

ciao !!!

allora..ho provato a disattivare il ripristino configurazione del sistema e a fare scansioni complete anche con avg anti spyware(12 ore) e ccleaner ma niente,il dialer è ancora presente......:help: :muro:

allora..ho provato a disattivare il ripristino configurazione del sistema e a fare scansioni complete anche con avg anti spyware(12 ore) e ccleaner ma niente,il dialer è ancora presente......:help: :muro:

Ciao,
talora ci si trova ad avere a che fare con dei rootkit che sono vettori di altri malware , non sarebbe poi così raro se nel tuo caso il problema primitivo fosse un rootkit che potrebbe avere anche funzionalità di dialer, o che potrebbe essere stato vettore di un dialer sul tuo pc.

In pratica, tu vedi la punta dell'iceberg, che è appunto il dialer, ma in realtà, il problema non lo risolvi fino a chè non vai a fondo della cosa, e sveli il 90 % dell'iceberg che è sommerso , cioè il root kit .

Spero che l'esempio sia utile a capire un pò quella che è la mia idea.

Se dopo avere fatto tutte le scansioni con antivirus ed antimalware vari, in modalità provvisoria, e con il ripristino di configurazione disabilitato, ci sono ancora i sintomi di una infezione, allora passerei ai software antirootkit, come ad esempio :

Gmer
http://www.gmer.net/gmer.zip

Sophos anti root kit
http://www.sophos.com/support/cleaners/sarsfx.exe

Black light anti root kit di F secure
https://europe.f-secure.com/exclude/blacklight/fsbl.exe

AVg anti-root kit
http://free.grisoft.com/doc/5390#avg-anti-rootkit-free

Se non hai ancora postato un logfile di Hijack This, è ora di postarlo.

ciao!!!

prova a fare quanto segue: entra in questo percorso c:\windows\Downloaded Program Files e cancella tutto il contenuto, ma non la cartella.
poi cancella il contenuto anche di queste cartelle: c:\windows\Downloaded Installations e anche c:\windows\Offline Web Pages

riavvia e fammi sapere se hai lo stesso problema.

per c.m.g:
ho provato a svuotare completamente le cartella che mi dicevi tu anche se c:\windows\Downloaded Installations non è presente,ho riavviato ma nulla di fatto,ti ringrazio cmq per il tentativo;)

ora provo anche come mi ha detto Ania

per c.m.g:
ho provato a svuotare completamente le cartella che mi dicevi tu anche se c:\windows\Downloaded Installations non è presente,ho riavviato ma nulla di fatto,ti ringrazio cmq per il tentativo;)

ora provo anche come mi ha detto Ania



Ciao,
c'è un altro anti root kit di cui si parla molto bene, e che ho dimenticato di linkarti prima, è l'anti-rootkit messo a punto da Panda.

Ecco la guida, anche se è un pò datata, perchè si riferisce alla release precedente del software, comunque, leggendola capirai come usarlo :

http://www.pandasoftware.com/download/documents/help/rkc/en/whnjs.htm

io comincerei da questo, leggi la guida prima di usare il software.

Ecco il link per scaricarlo:

http://research.pandasoftware.com/blogs/images/AntiRootkit.zip


Infine , ecco un'ottima guida a Gmer

http://www.pcalsicuro.com/main/guida-a-gmer/

leggila bene prima di usare il software.

Inoltre, leggi anche il primo post di questo thread :
http://www.hwupgrade.it/forum/showthread.php?t=1372589
"Gmer ed analisi dei suoi logs "

perchè qualora ti venisse l'idea di postare un logfile di Gmer, ( anche se credo sia molto arduo riuscire a trovare qualcuno capace di analizzarlo allo stato attuale delle cose su questo forum ), dovresti postare il logfile usando la funzione CODE, come è ampiamente e chiaramente descritto nel thread che ti ho linkato, nel primo post.


ciao!!!

ora purtroppo devo tornare a lavorare,ma stasera continuo a lavorarci e ti ringrazio per la disponibilità e cortesia,però tu mi hai anche detto di postare il logfile di Hijack This...cos'è e come si ottiene? e in che sezione dovrei postarlo?

:D scusate la mia ignoranza:p

grazie ancora

ora purtroppo devo tornare a lavorare,ma stasera continuo a lavorarci e ti ringrazio per la disponibilità e cortesia,però tu mi hai anche detto di postare il logfile di Hijack This...cos'è e come si ottiene? e in che sezione dovrei postarlo?

:D scusate la mia ignoranza:p

grazie ancora



Vai a questo link:

http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php

scarica Hijack this e scompattalo in una cartella a lui espressamente dedicata , ad esempio in C:\Programmi.

Il programma è stand alone, non richiede cioè installazione.

Leggi le FAQ , e la guida al software che trovi nelle stesse pagine che ti ho linkato, poi posta un logfile, cioè il file che viene restituito dal software dopo che hai eseguito la scansione.
Le FAQ e e la guida sul sito di Trend micro sono in inglese, visto che non so come te la cavi con l'inglese ti linko anche qualcosa in italiano.

Altrimenti, una guida in italiano molto chiara è questa che è stata scritta per MegaLab da crazy.cat , anche se si riferisce alla precedente release del software.
http://www.megalab.it/articoli.php?id=453

un altra guida in italiano è questa :
http://www.ilsoftware.it/articoli.asp?ID=2459

Una volta ottenuto il logfile di HJT, dovrai postarlo qui:
http://www.hwupgrade.it/forum/showthread.php?p=16695349#post16695349
HiJackThis [Official Thread]

magari metti il link a questo thread quando lo posterai, così chi lo analizzerà, potrà leggere il "tuo storico."

ciao!!!

fai una scansione on line col bitdefender http://www.bitdefender.com/scan8/ie.html, sembra che questo antivirus riesca ad aliminare questa minaccia.

allora..ho provato a disattivare il ripristino configurazione del sistema e a fare scansioni complete anche con avg anti spyware(12 ore) e ccleaner ma niente,il dialer è ancora presente......:help: :muro:


@Zilloboch
in merito all'uso di CCLEANER ti rimando alla lettura di questo thread :
http://www.hwupgrade.it/forum/showthread.php?t=1449312
perchè indipendentemente dal titolo che purtroppo il thread in questione ha -ahimè- quasi inverosimilmente assunto, e cioè :rolleyes: :doh: :help: :cry: :
"ripulitura trollaggio" :rolleyes: :mbe:

nel contesto di quel thread troverai un paio di miei post nei quali viene spiegato come modificare una delle impostazioni di default del software quando viene installato.

ciao!!!!

una cosa; ma qui il log di hijackthis nhon lo ha chiesto nessuno

@wizard 1993...ma che ho fatto di sbagliato scusa?

@wizard 1993...ma che ho fatto di sbagliato scusa?

Niente, stai tranquillo:)
Se vuoi fare un ulteriore controllo, scarica Hijackthis da qui:
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe
Esegui il file HiJackThis_v2.exe, accetta la licenza, clicca sul 1° pulsante, finito la scansione si aprirà il block notes, seleziona tutto il contenuto e fai un copia e incolla nella tua risposta.

Ciao

@wizard 1993...ma che ho fatto di sbagliato scusa?

niente; fai come detto sopra di me

allora...ho provato a fare una scansione on-line con BitDefender come mi suggeriva c.m.g,dopo 17 ore di scansione mi ha rilevato 2 virus,eliminati,ma il problema è ancora presente.

ho provato gli antirootkit di panda,avg,f-secure,gmer e saphos come suggeriva Ania.
solamente quello di panda e saphos mi riconoscono dei rootkit che vengono definiti tutti unknown tranne uno(hidden registry key),mentre con gli altri niente...

ho postato il log di gmer:

http://www.hwupgrade.it/forum/showthread.php?p=16720838#post16720838

e di HiJackThis:

http://www.hwupgrade.it/forum/showthread.php?p=16720975&posted=1#post16720975

spero vivamente che qualcuno possa risolvere il mio problema

Grazie in anticipo...

ho provato gli antirootkit di panda,avg,f-secure,gmer e sophos come suggeriva Ania.
solamente quello di panda e sophos mi riconoscono dei rootkit che vengono definiti tutti unknown tranne uno(hidden registry key),mentre con gli altri niente...



Ciao,
per quanto concerne il software anti-rootkit di Panda, quelli che vengono identificati come unknown items non vengono eliminati in automatico dal software, nè puoi scegliere tu di eliminarli, devi inviare il report ai PandaLabs, affinchè i PandaLabs possano analizzare i files.
ciao!!!

Ciao, gentilmente, posta il log generato da panda, basta che a fine scansione clicchi su "Advance report" e clicchi su export csv, apri il log e lo posti facendo un copia e incolla, ho visto di sfuggiata i tuoi logs mi pare che non ci sia niente di strano oltre le voci segnalate da Ania.
Penso che le voci segnate da panda, non siano dannose ma si riferiscano alle chiavi e files installati da demon tools o alchool, per il malware, penso che sia quello con le labbra rosse:D come ultimo controllo scarica questo file sul desktop
http://noahdfear.geekstogo.com/FindAWF.exe
Esegui il file, si apre una finestra dos, premi invio per continuare, finito tutto si aprirà il block notes, seleziona tutto il contenuto e fai un copia e incolla nella tua risposta

Scarica SystemScan
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile il file report.txt.
Vai su www.easy-share.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo.

Grazie

Ciao

come richiesto da Lucas84..

report di panda:

PATH ROOTKIT_NAME HIDDEN INT2E_MODIFIER MSR_MODIFIER REGISTRY_KEY REGISTRY_VALUE REGISTRY_HIDDEN PROCESS_COMMANDLINE PROCESS_HIDDEN SDT_FUN_NAME EAT_OBJECTIVE EAT_FUN_NAME IRP_DRIVER IRP_FUNCTION IDT_ID IDT_TYPE
C:\WINDOWS\system32\drivers\atapi.sys FALSE FALSE FALSE SYSTEM\CurrentControlSet\Services\atapi ImagePath FALSE
report di findAWF:


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

mentre questo è il link per scaricare il report di SystemScan:

http://w13.easy-share.com/992216.html

granzie per la disponibilità:) :D :p ;)

ciao

Ciao, gentilmente, analizza questi 2 files(uno alla volta) su questo sito
http://www.virustotal.com/vt/
questi i files
C:\WINDOWS\SYSTEM32\ATLDOM.DLL
C:\WINDOWS\SYSTEM32\PPSAPPS.DLL

e posta il responso.

Ciao

ecco i due report:

Complete scanning result of "atldom.dll", received in VirusTotal at 04.13.2007, 13:48:19 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.12.0 04.13.2007 no virus found
AntiVir 7.3.1.50 04.13.2007 no virus found
Authentium 4.93.8 04.13.2007 no virus found
Avast 4.7.936.0 04.11.2007 no virus found
AVG 7.5.0.447 04.12.2007 no virus found
BitDefender 7.2 04.13.2007 no virus found
CAT-QuickHeal 9.00 04.13.2007 no virus found
ClamAV devel-20070312 04.13.2007 no virus found
DrWeb 4.33 04.13.2007 no virus found
eSafe 7.0.15.0 04.12.2007 no virus found
eTrust-Vet 30.7.3565 04.13.2007 no virus found
Ewido 4.0 04.13.2007 no virus found
FileAdvisor 1 04.13.2007 Not analyzed yet
Fortinet 2.85.0.0 04.13.2007 no virus found
F-Prot 4.3.2.48 04.12.2007 no virus found
F-Secure 6.70.13030.0 04.13.2007 no virus found
Ikarus T3.1.1.5 04.13.2007 no virus found
Kaspersky 4.0.2.24 04.13.2007 no virus found
McAfee 5008 04.13.2007 no virus found
Microsoft 1.2405 04.13.2007 no virus found
NOD32v2 2186 04.13.2007 no virus found
Norman 5.80.02 04.12.2007 no virus found
Panda 9.0.0.4 04.13.2007 no virus found
Prevx1 V2 04.13.2007 Malicious
Sophos 4.16.0 04.12.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.13.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.13.2007 no virus found
VirusBuster 4.3.7:9 04.12.2007 no virus found
Webwasher-Gateway 6.0.1 04.13.2007 no virus found


Aditional Information
File size: 10752 bytes
MD5: eb92fec0c2e008be1eb1ffbac8c15314
SHA1: 71c016fac1aa17bbe897e88e79ab490537facf8b
packers: UPX
packers: UPX
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=eb92fec0c2e008be1eb1ffbac8c15314
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=284321524163



--------------------------------------------------



Complete scanning result of "ppsapps.dll", received in VirusTotal at 04.13.2007, 13:59:07 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.12.0 04.13.2007 no virus found
AntiVir 7.3.1.50 04.13.2007 no virus found
Authentium 4.93.8 04.13.2007 no virus found
Avast 4.7.936.0 04.11.2007 no virus found
AVG 7.5.0.447 04.12.2007 no virus found
BitDefender 7.2 04.13.2007 no virus found
CAT-QuickHeal 9.00 04.13.2007 no virus found
ClamAV devel-20070312 04.13.2007 no virus found
DrWeb 4.33 04.13.2007 no virus found
eSafe 7.0.15.0 04.12.2007 no virus found
eTrust-Vet 30.7.3565 04.13.2007 no virus found
Ewido 4.0 04.13.2007 no virus found
FileAdvisor 1 04.13.2007 Not analyzed yet
Fortinet 2.85.0.0 04.13.2007 no virus found
F-Prot 4.3.2.48 04.12.2007 no virus found
F-Secure 6.70.13030.0 04.13.2007 no virus found
Ikarus T3.1.1.5 04.13.2007 no virus found
Kaspersky 4.0.2.24 04.13.2007 no virus found
McAfee 5008 04.13.2007 no virus found
Microsoft 1.2405 04.13.2007 no virus found
NOD32v2 2186 04.13.2007 no virus found
Norman 5.80.02 04.12.2007 no virus found
Panda 9.0.0.4 04.13.2007 no virus found
Prevx1 V2 04.13.2007 Malicious
Sophos 4.16.0 04.12.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.13.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.13.2007 no virus found
VirusBuster 4.3.7:9 04.12.2007 no virus found
Webwasher-Gateway 6.0.1 04.13.2007 no virus found


Aditional Information
File size: 10752 bytes
MD5: eb92fec0c2e008be1eb1ffbac8c15314
SHA1: 71c016fac1aa17bbe897e88e79ab490537facf8b
packers: UPX
packers: UPX
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=eb92fec0c2e008be1eb1ffbac8c15314
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=284321524163

finalmente abbiamo individuato il problema dp 1 settiamana e passa di ricerche...senza di voi però non ci sarei mai riuscito...
per risolverlo...mi affido a voi...grazie

Non è ancora detto che sia quello il problema:D comunque è un buon punto di partenza, ti chiedo un favore, se puoi inviarmi i 2 files in questione, nel caso vuoi, inviameli a questo indirizzo lucass[at]suspectfile.com sostituisci [at] con la @

Grazie

Ciao

....:stordita: ....c'e qlc?!...Lucas?!...:D ....:cry:

Ciao, scusami ma non ho avuto tempo di collegarmi:)
Prova ad eliminare le 2 dll e vedi se risolvi il problema, se vuoi prima deregistrale
Start>esegui nella casellina digita:
regsvr32 -u "C:\windows\system32\atldom.dll"
Clicca su Ok
Se si deregistra corettamente, riceverai questo msg
DllUnregisterServer C:\windows\system32\atldom.dll riuscito
Riperi lo stesso passaggio deregistrando questa
regsvr32 -u "C:\windows\system32\ppsapps.dll"
Clicca su OK

Se invece ricevi qualche msg con la dll procedi con l'eliminazione di entrambe le dll

Ciao

....:cry: :cry: :cry: :cry:
niente da fare...

ho provato subito deregistrandole entrambe come mi hai detto(riuscito entrambe),riavviato,ma stesso problema,quindi ho provveduto a toglierle dalla cartella system32 e le ho temporaneamente messe sul desktop e riavviato,ma niente da fare,stesso problema :cry: :cry: :cry: :cry:

Prova in questo modo, disabilita windows defender aspetti che si ricrei questo file, una volta ricreato, vai su virus total e fallo analizzare e vedi cosa dicono, almeno sappiamo meglio di cosa si tratta, ciao

Ecco qui il log di virus total:

Complete scanning result of "cRIjRyLlH.exe", received in VirusTotal at 04.14.2007, 16:32:09 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.14.0 04.13.2007 no virus found
AntiVir 7.3.1.52 04.14.2007 no virus found
Authentium 4.93.8 04.14.2007 no virus found
Avast 4.7.936.0 04.13.2007 no virus found
AVG 7.5.0.447 04.13.2007 no virus found
BitDefender 7.2 04.14.2007 BehavesLike:Trojan.HangUp
CAT-QuickHeal 9.00 04.14.2007 no virus found
ClamAV devel-20070312 04.13.2007 no virus found
DrWeb 4.33 04.14.2007 no virus found
eSafe 7.0.15.0 04.12.2007 no virus found
eTrust-Vet 30.7.3567 04.14.2007 no virus found
Ewido 4.0 04.14.2007 no virus found
FileAdvisor 1 04.14.2007 no virus found
Fortinet 2.85.0.0 04.14.2007 no virus found
F-Prot 4.3.2.48 04.13.2007 no virus found
F-Secure 6.70.13030.0 04.13.2007 W32/Dialer
Ikarus T3.1.1.5 04.14.2007 no virus found
Kaspersky 4.0.2.24 04.14.2007 no virus found
McAfee 5009 04.13.2007 no virus found
Microsoft 1.2405 04.14.2007 Dialer:Win32/ADialer
NOD32v2 2187 04.13.2007 no virus found
Norman 5.80.02 04.14.2007 W32/Dialer
Panda 9.0.0.4 04.14.2007 no virus found
Prevx1 V2 04.14.2007 Polynomial.Code.Exploit
Sophos 4.16.0 04.12.2007 no virus found
Sunbelt 2.2.907.0 04.14.2007 no virus found
Symantec 10 04.14.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.13.2007 no virus found
VirusBuster 4.3.7:9 04.14.2007 no virus found
Webwasher-Gateway 6.0.1 04.14.2007 no virus found


Aditional Information
File size: 24576 bytes
MD5: 6baae5b28514321329ffea39d0e8fa4c
SHA1: c88568a8eeeecb1735826079b1f0b58c7b88a2b6
norman sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: [email protected] - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 24576 bytes.

[ Changes to registry ]
* Creates key "HKLMSoftwareMicrosoftVideo Streaming".
* Sets value "LicenseExpireDate"="9541" in key "HKLMSoftwareMicrosoftVideo Streaming".

[ Changes to system settings ]
* Enumerates RAS connections.
* Read RAS entry properties.
* Set dialer properties to dial (555) 555555.

[ Process/window information ]
* Enumerates running processes.


Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=d87089134727


che può essere?
come si vede microsoft me lo riconosce come win32/ADialer

anche altri antivirus però me lo riconoscono come tale..

:cry: :cry: :cry: :cry:

cmq volevo anche sapere cosa devo farne delle 2 dll di prima...le elimino o le devo rimenttere nella directory originale?
grazie ancora per la disponibilità

prova in questo modo, elimina il dialer(disconesso da internet), adesso configura il tutto in modo che si possa connettere(all'inzio avevi detto che dovevi fare delle modifiche per farlo collegare)fatto questo, trova il file rasphone.pbk e mettilo in sola lettura, conferma con applica>ok

Riavvia il pc e vedi come va

PS:Riattiva Windows defender

non posso...quando clicco con il dx su rasphone.pbk e seleziono proprietà la casellina "sola lettura" è oscurata e l'unico tasto possibile è ok(non è presente neanche un applica)...

.....mi sta proprio dando i nervi questo dialer o qualunque cosa esso sia....:mad: :mad: :mad: :mad:

Aprilo con il block notes, seleziona tutto e copia il contenuto su un altro file, avvia il modalità provvisoria, elimina il file rasphone.pbk, adesso in quella stessa cartella, clicca con il tasto destro del mouse e seleziona l'opzione nuovo documento di testo, apri il nuovo file, copiaci il contenuto del vecchio rasphone.pbk clicca su file>salva con nome e salvalo con il nome rasphone.pbk adesso vedi se te lo fa mettere in sola lettura, un cosa, il tuo account è da amministratore? ciao

ho provato in vari modi a sostituire il file rasphone.pbk con quelo che ho creato io copiando il contenuto dell'originale,ma non posso fare nessun tipo di operazione sul primo file in quanto esso è all'interno di un archivio.zip...:muro: :muro: :muro: niente da fare

A questo punto mi viene una domanda...:
Ma se è all'interno di un archivio come può essere modificato?:eek: :eek:

cmq il mio account è l'unico presente ed è adminastrator


:help: :help: :help:

Archivio zip? questa non l'ho capita, mi potresti mandare quel file che si ricrea sempre? la cosa è curiosa, grazie

Ciao

si, se io cerco il file rasphone.pbk e entro nella sua directory e da li comincio a "risalire" utilizzando il tasto "livello superiore" presente sulla barra di explorer,arrivo in una cartella dove sono presenti solo archivi zip.
cmq ora ti invio uno degli esecutibili che si "creano" appena mi connetto ad internet; cioè uno solo ogni volta,ma come dicevo sono sempre diversi

mail inviata....:D :D :p :p :sofico:

C'è nessuno?!?!

:cry: :cry: :cry: :cry:

non mi abbandonate vi prego...

:cry: :cry: :cry: :cry:

Ciao, sinceramente non mi è arrivato nulla:) scusa ma solo ora ho visto la discussione:( ciao

secondo me è strano che il file rasphone.pbk si trova in un file zip. decomprimilo nella stessa directory dove si trova il file .zip e vedi se riesci a risolvere il problema.
scarica counterspy, installalo, aggiornalo e fagli una scansione da provvisoria, poi se vuoi disintallalo

http://www.download.com/CounterSpy/3416-8022_4-10566369.html?tag=pdp_prod

allora...scansione con counterspy eseguita e mi riconosce un sacco di chiavi di registro di msn plus più due file sempre suoi...
ma del resto...niente di nuovo :cry: :cry: :cry: :cry:

questa è l'archivio zip dove è salvato rasphone.pbk...

ma si trova in
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Connections\Pbk?

no, il percorso è questo:

C:\Programmi\Telecom Italia\AdslWizzy\Guida\common\utilities\exec\SetRasConn_Win10.zip

io cmq ho riprovato a eseguire HijackThis e questo è il log....c'è qlc di strano?
la voce 017 cos'è???? mi sembra un po strana voi che dite? a me non risulta nessun indirizzo 85.38.28.86

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13.45.34, on 18/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\Microsoft IntelliPoint\ipoint.exe
C:\Programmi\Microsoft IntelliType Pro\itype.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Programmi\HDD Health\hddhealth.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\File comuni\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
D:\Zillo\Da masterizzare\Programmi\Tool\HijackThis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programmi\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HDDHealth] C:\Programmi\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD972EBB-E24B-442F-A38B-85CCE76D2677}: NameServer = 85.37.17.10 85.38.28.86
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programmi\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programmi\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Unknown owner - C:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxLiveShare.exe (file missing)
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programmi\File comuni\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB - Unknown owner - C:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxMediaDB.exe (file missing)
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programmi\File comuni\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Unknown owner - C:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatch.exe (file missing)
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programmi\File comuni\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programmi\File comuni\SureThing Shared\stllssvr.exe

--
End of file - 9415 bytes

:eek: :eek:

ok,ho trovato il file rasphone .pbk che dite voi,non so perche ma con la ricerca di win non me lo trovava, l'ho messo in sola lettura....ora provo


niente da fare,mettendolo in sola lettura una volta riconosciuto il virus e disconnesso non mi fa più riconettere,errore 678,devo togliere la spunta dalla casella sola lettura e riconettermi...

non ci capisco più niente..

Per eliminare sto dialer:

Scarica questo

http://noahdfear.geekstogo.com/FindAWF.exe

poi segui queste istruzioni

http://www.alground.com/virus/schedaVirus.php?cod_virus=244%20

Per eliminare sto dialer:

Scarica questo

http://noahdfear.geekstogo.com/FindAWF.exe

poi segui queste istruzioni

http://www.alground.com/virus/schedaVirus.php?cod_virus=244%20

Fatto nei post precedenti, zilloboch tienici informati:)

Ciao

ragazzi ho dovuto formattare.....ha vinto lui....
grazie cmq per la disponibilità...ora pero ho questo problemino...:

http://www.hwupgrade.it/forum/showthread.php?t=1455815

grazie a tutti...Ciao...Luca

Fatto nei post precedenti, zilloboch tienici informati:)

Ciao

Forse ti confondi , questa soluzione qui non c'è, tra l'altro è l'unica che ha funzionato, però in questo forum non l'ho letta