Salve a tutti sono una nuova utente...con un problema ultimamnet ho un dialer sul pc...a-square lo trova e lo elimina ma dopo poco eccolo ricomparirre (heuristic dialer).
ho provato a fare il test con hijackthis vi posto il file log nella speranza che qualcuno possa aiutarmi (in particolare facendo clic su analizza mi indica come sospetti O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com)
grazie in anticipo!
Ciao.
Logfile of HijackThis v1.99.1
Scan saved at 17.30.12, on 21/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\MSN Messenger\livecall.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\unzipped\hijackthis_199[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.economia.uniparthenope.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Programmi\Google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1184613330629
O17 - HKLM\System\CCS\Services\Tcpip\..\{73316228-4BD0-4163-A863-2D9F1DCFB553}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

hai il trojan obfuscated,serve un log di findawf

FINDAWF: clicca qui per il download (http://www.alground.com/site/modules/mydownloads/visit.php?cid=3&lid=6)
Tool per la rilevazione della directory BAK e per la rimozione del Trojan.win32.Obfuscated.dr

Grazie...però ho scaricato il programma ma quando lo lancio mi da errore: non è un'applicazione di win32 valida.

se potete aiutatemi ancora!
Grazie.

Proviamo a fare un po di pulizia prima!

CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.


ASQUARED ANTIDIALER FREE: clicca qui per il download (http://download5.emsisoft.com/a2AntiDialerSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema.

Riavvia,poi riprova il tool di prima che non andava!

invece di salvarlo l'ho aperto direttamente ed è andato vi posto il file log
Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 507C-147F

Directory di C:\WINDOWS\SYSTEM32\BAK

31/08/2001 16.00 13.312 ctfmon.exe
09/07/2001 11.50 155.648 NeroCheck.exe
2 File 168.960 byte
2 Directory 33.900.625.920 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 507C-147F

Directory di C:\PROGRA~1\GARZAN~1\HAZONC~1\BAK

30/10/2001 16.53 524.288 Hazon.exe
1 File 524.288 byte
2 Directory 33.900.625.920 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

13312 31 Aug 2001 "C:\WINDOWS\system32\ctfmon.exe"
13312 31 Aug 2001 "C:\WINDOWS\system32\bak\ctfmon.exe"
15360 20 Aug 2004 "C:\WINDOWS\SoftwareDistribution\Download\2687715cf083bcb30f3fa4a439f2197c\ctfmon.exe"
15360 20 Aug 2004 "C:\WINDOWS\SoftwareDistribution\Download\59c09c8627b551c5be08ab5777d2dca8\ctfmon.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
524288 30 Oct 2001 "C:\Programmi\Garzanti Linguistica\Hazon Clic\Hazon.exe"
524288 30 Oct 2001 "C:\RECYCLER\S-1-5-21-790525478-1677128483-1957994488-500\Dc220\Hazon.exe"
524288 30 Oct 2001 "C:\Programmi\Garzanti Linguistica\Hazon Clic\bak\Hazon.exe"


end of report

Ancora grazie

esegui con avenger (http://www.megalab.it/articoli.php?id=946) questo script:
Files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Garzanti Linguistica\Hazon Clic\bak\Hazon.exe | C:\Programmi\Garzanti Linguistica\Hazon Clic\Hazon.exe
Files to delete:
C:\WINDOWS\SoftwareDistribution\Download\59c09c8627b551c5be08ab5777d2dca8\ctfmon.exe
C:\WINDOWS\SoftwareDistribution\Download\2687715cf083bcb30f3fa4a439f2197c\ctfmon.exe

l'ho fatto ma nn credo sia riuscito. scusate l'ignoranza ma se lo cancello manualmente nn va bene?? cmq ecco il log. sempre grazie.
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pirvvvpx

*******************

Script file located at: \??\C:\WINDOWS\System32\bxbpbsdo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe completed successfully.
File move operation C:\Programmi\Garzanti Linguistica\Hazon Clic\bak\Hazon.exe|C:\Programmi\Garzanti Linguistica\Hazon Clic\Hazon.exe completed successfully.
File C:\WINDOWS\SoftwareDistribution\Download\59c09c8627b551c5be08ab5777d2dca8\ctfmon.exe deleted successfully.


Could not open file C:\WINDOWS\SoftwareDistribution\Download\2687715cf083bcb30f3fa4a439f2197c\ctfmon.exe for deletion
Deletion of file C:\WINDOWS\SoftwareDistribution\Download\2687715cf083bcb30f3fa4a439f2197c\ctfmon.exe failed!

Could not process line:
C:\WINDOWS\SoftwareDistribution\Download\2687715cf083bcb30f3fa4a439f2197c\ctfmon.exe
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.

abilita la visualizzazione dei file nascosti,vai al percorso C:\WINDOWS\SoftwareDistribution\Download\
e cancelli tutto il contenuto.
installa ccleaner,ripulisci file temporanei e registro e dovresti essere apposto
per averne conferma rifai uno scan con asquared

niente nn si toglie, asquare lo trova ancora...ho letto su wikepedia che è possibile eliminare i file direttamente dal registro del sistema digitando regedit in esegui, è una cosa che consigliereste? nel registro questo ctfmon.exe l'ho trovato ma so anche che lo stesso nome c'è l'ha un file che serve x il funzionamento di office, nn vorrei far danni.

l hai eliminato il contenuto di quella cartella

si ho eliminato il contenuto di quella cartella e poi ho anche cancellato ctfmon dal registro, si trovava (nn ricordo di preciso il percorso) in hey_local_user ....run.

uff mi sembra di nn uscirne +

A questo punto aggiornaci, quali sono i tuoi problemi?

Allora ho rifatto tutti i vari passaggi che mi avete indicato questa volta disabilitanto il ripristino sistema (lo avevo dimenticato) e per il momento a-square nn rileva + il dialer...incrocio le dita e vi ringrazio tutti x l'aiuto che mi avete dato!

se vuoi una conferma, posta un nuovo log di hijackthis e di findwaf..

Li metto entrambi qui di seguito.
scusate ma cos'è questa bak?
e questi aboutdog e rabbit?





Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 507C-147F

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 35.793.358.848 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 507C-147F

Directory di C:\PROGRA~1\GARZAN~1\HAZONC~1\BAK

0 File 0 byte
2 Directory 35.793.358.848 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report


Logfile of HijackThis v1.99.1
Scan saved at 12.20.33, on 23/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Anti-Dialer\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Administrator\Documenti\Programmi_utility\hijackthis_199[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.economia.uniparthenope.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: &Google - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Programmi\Google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184613330629
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Dialer\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

fixa pure le 015,ora dovresti essere apposto

Fatto...spero di aver risolto finalmente!
Vi ringrazio tutti!!!!!