Dunque al lavoro uno dei pc è affetto da un dialer, il quale una volta tolto, cancellato dal disco e tolto dal registro l'avvio automatico, ricompare ogni volta in internet si usi un motore di ricerca.

Ho provato con Spyware & destroy, il quale mi trova alcuni coockies, ma una volta rimossi il fattaccio succede ancora.
Adesso stò provando con Ad-Aware.....

Nessuno ha suggerimenti ???

Ovviamente ho la versione aggiornata del Norton Antivirus Corporate ... ma non mi trova niente (molto probabilemte i dialer e simili non vengono considerati virus...)

.... Anche AD-Aware mi ha rimosso alcune cose ma il problema si è ripresentato, ho fatto una ricerca in internet, ho chiuso l'exlorer e come per magie è apparso il dialer di connessione....

Ovviamente nessuno di quell'ufficio sà come sia iniziato tutto questo

:rolleyes:

Dettagli sul nome dell'eseguibile trovato nei registri?

Marco(amvinfe)

L'eseguibile è "vietato.exe".

Originally posted by "dani&l"

L'eseguibile è "vietato.exe".


vedo che frequenti certi siti.......... :sofico:

Ciao

Originally posted by "Bilancino"




vedo che frequenti certi siti.......... :sofico:

Ciao

Purtroppo è un PC di un ufficio, e io mi occupo della gestione dei PC...quindi qualcuno si diverte e a me tocca rimediare :mad: !!!

;)

Originally posted by "dani&l"



Purtroppo è un PC di un ufficio

perchè se era tuo invece.............porcellone........ :sofico:

Ciao

Originally posted by "Bilancino"



perchè se era tuo invece.............porcellone........ :sofico:

Ciao

Non mi facevo sgamare :cool: :pig:


:D

ok, a parte le considerazioni sui codici morali del padrone del pc posseduto, ho un amico che ha lo stesso problema :mc: Siete liberi o meno di crederci, ovviamente ;) resta il fatto che non riesco in nessun modo a tirare via quel coso maledetto. Ricerca veloce su Google di vietato.exe mi ha dato un risultato sconfortante. :D

Stò diventando matto. Ho scoperto che nei file temporanei di windows il file vietato.exe si trasforma in base alla ricerca che metti nel motore di ricerca. Esempio se in virgilio cerco pippo, nei temporanei mi trovo un pippo.exe con la stessa icona di vietato.exe

E' una cosa frustrante, stò cercando nel registro di windows nelle conf. di explorer in quanto credo che abbia lavorato a livello di Internet Explorer....

HELP !

Prova a guardare anche in queste chiavi se trovi riferimenti a vietato.com

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Search_URL


HKEY_USERS\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_USERS\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_USERS\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_USERS\Software\Microsoft\Internet Explorer\Main\Default_Search_URL

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL

Marco(amvinfe)

Da come si comporta ho un mezzo sospetto.
Ci puoi elencare quali voci hai in
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices


Marco(amvinfe)

Originally posted by "amvinfe"

Da come si comporta ho un mezzo sospetto.
Ci puoi elencare quali voci hai in
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices


Marco(amvinfe)

Dunque nei registri precedenti riguardante Internet explore, ho trovato nelle chiavi "Start Page" e "Search Bar" degli indirizzi strani (tipo www.ne.sp01.com/AAAABDGSHDGYKJKDJSHDDH..... etc..) , ho provato a mettere un indirizzo presente su un'altro pc (www.it.msn.com/access/allinone.htm), ma non è cambiato nulla.

Nella ".../Run" ho:
scanregw.exe
taskmon.exe
systray.exe
rundll32.exe powrprof.dll,LoadCurrentPwrScheme
atiptaxx.exe
point32.exe
vptray.exe (norton)
WINUPD.EXE
REGCPM32.EXE
windfind.exe
msosa.exe

Originally posted by "dani&l"



Dunque nei registri precedenti riguardante Internet explore, ho trovato nelle chiavi "Start Page" e "Search Bar" degli indirizzi strani (tipo www.ne.sp01.com/AAAABDGSHDGYKJKDJSHDDH..... etc..) , ho provato a mettere un indirizzo presente su un'altro pc (www.it.msn.com/access/allinone.htm), ma non è cambiato nulla.

Nella ".../Run" ho:
scanregw.exe
taskmon.exe
systray.exe
rundll32.exe powrprof.dll,LoadCurrentPwrScheme
atiptaxx.exe
point32.exe
vptray.exe (norton)
WINUPD.EXE
REGCPM32.EXE
windfind.exe
msosa.exe
Come sospettatvo windfind.exe è sicuramente un trojan (dasmin), dammi un attimo di tempo per vedere gli altri. Comincia con lo scaricare il tool per la rimozione lo trovi all'URL
http://www.nod32.it/home/home.htm
"Preleva cleaner gratuiti"
è il terz'ultimo. Poi come detto dammi tempo per gli altri non ho avuto ancora modo di leggerli, mi è subito saltato all'occhio windfind.exe ;)

Marco(amvinfe)

regcpm32.exe anche lui è un trojan, sempre dasmin

Marco(amvinfe)

WINUPD.EXE anche lui sempre dasmin

Marco(amvinfe)

GRAZIE , provvedo e verifico!

Purtroppo il cleaner non mi trova niente, io comunque ho eliminato le chiavi (dalla modalità provvisoria in quanto se ero in windows le rimetteva al volo), ho fatto una prova di ricerca in internet ma vietato.exe si è reinstallato di nuovo.

Nel registro comunque mi sono trovato solo il vietato.exe nuovo, gli altri non compaiono +.

amvinfe come fai partendo dai nomi degli eseguibili che si trovano nel task manager a verificare e capire che applicazioni sono?

Usi un motore di ricerca specifico?

Vorrei verificare anch'io quello che mi gira in background.
Per esempio ho un eseguibile che si chiama smss.exe che è sempre in run: probabilmente sarà qualche trojan

smss.exe => session manager subsystem ed è una componente leggima. Ma esiste anche un worm (WORM_LADEX.A) (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_LADEX.A) che aggiunge nella chiave
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
il valore smss.exe = %System%\SMSS.exe
Devi verificare se quello che hai tu è legittimo o meno ;)

Per quanto riguarda la mia conoscenza o meno degli eseguibili in esecuzione automatica, in parte mi aiuta la memoria, in parte perchè ho fatto un tutorial, in costante aggiornamento, che mi/ci aiuta a verificare se l'eseguibile è legittimo o meno. E poi c'è sempre Papà Google ;)


Marco(amvinfe)
P.S.
Se t'interessa il tutorial lo trovi QUI (http://www.alground.com/forum/viewforum.php?f=12&sid=aaea014228d62420ac7057dcd9b471fb)

Originally posted by "dani&l"

Purtroppo il cleaner non mi trova niente, io comunque ho eliminato le chiavi (dalla modalità provvisoria in quanto se ero in windows le rimetteva al volo), ho fatto una prova di ricerca in internet ma vietato.exe si è reinstallato di nuovo.

Nel registro comunque mi sono trovato solo il vietato.exe nuovo, gli altri non compaiono +.
Purtroppo eros.exe si rifà vivo :D, questa volta con vietato.exe.
Il file msosa.exe non mi convinceva e difatti è una componente del dialer, quindi va cancellato. Sicuramente l'avrai anche in una chiave Run o Runservice.
Prova a fare passare il fix precedentemente postato dalla Mod. provvisoria.
Cancella prima di riconnetterti i soliti cookies/temporary/ e controlla la cartella TEMP
E' inutile che ti scriva che ogni operazione va fatta tassativamente non connesso e su ogni Pc della LAN (il problema è su di un Pc della LAN, ho capito bene?)

Marco(amvinfe)

Originally posted by "amvinfe"

smss.exe => session manager subsystem ed è una componente leggima. Ma esiste anche un worm (WORM_LADEX.A) (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_LADEX.A) che aggiunge nella chiave
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
il valore smss.exe = %System%\SMSS.exe
Devi verificare se quello che hai tu è legittimo o meno ;)

Per quanto riguarda la mia conoscenza o meno degli eseguibili in esecuzione automatica, in parte mi aiuta la memoria, in parte perchè ho fatto un tutorial, in costante aggiornamento, che mi/ci aiuta a verificare se l'eseguibile è legittimo o meno. E poi c'è sempre Papà Google ;)


Marco(amvinfe)
P.S.
Se t'interessa il tutorial lo trovi QUI (http://www.alground.com/forum/viewforum.php?f=12&sid=aaea014228d62420ac7057dcd9b471fb)


Bravo veramente un ottimo lavoro. ;)

Ti faccio i complimenti anch'io amvinfe, ottimo lavoro il tutorial ;)

Originally posted by "amvinfe"


Purtroppo eros.exe si rifà vivo :D, questa volta con vietato.exe.
Il file msosa.exe non mi convinceva e difatti è una componente del dialer, quindi va cancellato. Sicuramente l'avrai anche in una chiave Run o Runservice.
Prova a fare passare il fix precedentemente postato dalla Mod. provvisoria.
Cancella prima di riconnetterti i soliti cookies/temporary/ e controlla la cartella TEMP
E' inutile che ti scriva che ogni operazione va fatta tassativamente non connesso e su ogni Pc della LAN (il problema è su di un Pc della LAN, ho capito bene?)

Marco(amvinfe)

Dunque, forse ci siamo. Ho provato a rimuovere msosa.exe e sembrerebbe scomparso il problema. In settimana verificherò.

Ovviamente non mi rimane che fare un'ispezione accurata sulla LAN, onde evitare spiacevoli equivoci.

Per adesso ti ringrazio , sei stato molto utile.


Brindiamoci sopra...
http://forum.hwupgrade.it/faccine/17.gif

http://www.swzone.it/forum/immf.php?image=beer.gif

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\telephony

ho una cartella chiamata handoffpriorities e dentro ci sta RequestMakecall e nella colonna dati ci sta scritto dialer.exe. è normale?? :confused:

http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/q120/2/21.asp&NoWebContent=1