Un mio collega si è installato il dialer EROS.EXE e non riesce a debellarlo con le solite procedure manuali. Neanche Spybot Search & Destroy riesce a beccarlo. Il mio collega è abbastanza disperato in quanto dopo pochi secondi di connessione ADSL il dialer parte, stacca la connessione ADSL e prova a fare una connessione via modem che il mio collega non ha.

Qualcuno sa postarmi una buona procedura (completa e chiara) per la rimozione? Oppure sa indicarmi se esistono programmi in grado di rilevarlo e eliminarlo?

Il sistema operativo infettato è Windows98.

Ogni aiuto è gradito...

Ciauzzz

Varie soluzioni per togliere il Dialer eros.exe

Torna alla pagina dei software

Andare in MODALITA' PROVVISORIA! e
mettere il sistema in modalità "vedi file invisibili"

..da explora risorse eliminare
msfindosa.exe da explora risorse files visibili
tutti gli accessi ambigui in connessione remota
e tutti i file trovati sul sistema col nome eros.exe

__________________________________________________
(di questa soluzione non mi assumo nessuna resposabilità
perche non l'ho testata e giocare col registro di windows è sconsigliabile
per i novizi.)

Poi regedit nel campo "esegui" del menu start
Nella chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Run si trova:
mmxrun \00000000\msosa.exe
MSAdmin C:\WINDOWS\SYSTEM\JDBGMRG.EXE
msfindosa.exe C:\WINDOWS\SYSTEM\msfindosa.exe
ScanRegistry C:\WINDOWS\scanregw.exe\autorun
SystemTray SysTray.exe
TaskMonitor C:\WINDOWS\taskmon.exe

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Telephony\HandoffPriorites invece:
RequestMakeCall DIALER.EXE

In HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings:
EnableAutoDial 01 00 00 00
NoNetAutodial 00 00 00 00
ProxyEnable 0x000000000 (0)

__________________________________________________
Soluzione 2
jdbgmrg.exe sembrerebbe uno dei responsabili dell'attivazione del dialer e anche
un troyan, tuttavia alcune fonti invce affermanbo che esso sia un file inncuo del sistema
operativo


__________________________________________________
REGCPM32.EXE oppure IEXPRES.EXE

HKEY_LOCAL_MACHINE HKEY_CURRENT_USER
\Software\Microsoft\Windows\CurrentVersion\Run e runServices

__________________________________________________
Soluzione 3

esegui msconfig

c\windows\preferiti e cancella il file eros.lnk
c\windows\temp e cancella il file eros.exe

da dos (in c:\windows\system):

attrib -r -h -s regcpm32.exe
attrib -r -h -s winupd.exe
attrib -r -h -s windfind.exe
attrib -r -h -s eros.exe

del regcpm32.exe
del winupd.exe
del windfind.exe
del eros.exe

http://www.peruzzo.com/panda
http://www.housecall.antivirus.com
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_DASMIN.C

__________________________________________________
Soluzione 4
installare ed eseguire
http://download.emsisoft.com/a2freesetup.exe


Altre informazioni
Msfindosa.exe è un file riconducibile ad un trojan che installa un pornodialer
pagine da consultare
http://vil.nai.com/vil/content/v_99960.htm
http://www.hacksoft.com.pe/virus/w32_downloader_bs.htm
Windfind.exe anche lui è un file riconducibile ad un trojan
http://www.tgsoft.it/italy/principale.htm

http://www.emsisoft.com/en/software/download/



http://www.freeforumzone.com/viewmessaggi.aspx?f=3207&idd=6694
SpyBot http://www.security.kolla.de/index.php?lang=it&page=download
Ad-Aware


cercare anche vietato.exe

http://www.sicurezzainrete.com/



-----------------------------------------------------------------------------------

Allora???
Sono stato bravo???
:sofico: :sofico: :sofico:

Ottimo! L'hai scritto di getto? :sofico:
Grazie mille...ci sei passato anche tu?

Il mio collega ha un po di cose da provare stasera! :D

Grazie ancora! Poi ti faccio sapere...

Ciao!

Figurati!
No problem!:cool:

Attendo tue notizie

Non ho assistito personalmente alla rimozione...so che il mio collega ha applicato TUTTE le soluzioni postate...insomma ha cancellato ogni chiave di registro sospetta, ogni file sospetto e ha reinstallato Internet Explorer. Ieri è rimasto collegato per due ore con l'ADSL e il dialer non è saltato fuori. Mi dispiace ma non sono in grado di postare una soluzione precisa.

Grazie per le info!

Ciao!

Felice di esserti stato utile!!!
Ciao

Sul computer della mia scuola ho trovato dei file, tutti con una stessa icona, nera con del bianco al centro, chiamati eros-1.exe, http-1.exe e altra roba simile (ora non ricordo il nome).. Sono gli stessi dialer?
Ciao!
Sifr

Ti posso dire che per eros-1.exe puoi seguire il procedimento che ho scritto più sopra.
Per http-1.exe ti consiglio di provare prima con Ad-Aware e Spybot. Installati anche Stop Dialer per evitare di incorrere in futuri problemi: lo trovi QUI (http://www.socket2000.it).

Purtroppo per http-1.exe non riesco a trovare nulla...

Ti posso solo consigliare di cancellare le icone ed eliminare la voce relativa a http-1.exe dal registro in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Run

Fammi sapere se ti sono stato utile!!!

Ciao

Appena torniamo nel lab di informatica gli dò un'occhiata e ti faccio sapere ;)
Ciao!
Sifr

Attendo notizie

Ok, in ogni caso non dovrei rivedere i computer del lab. informatico fino a Lunedì prossimo... Speriamo che la profffff ci fa scendere altrimenti è una palla (da calcio naturalmente :D).
Ciao!
Sifr

Io invece sono in ufficio "al lavoro" da solo... uh... come lavoro!!!!!
Ciao!!!!

ragazi un'info urgente!! Ho trovato proprio stamattina un'icona nella cartella win./sistem32 denominata eros.exe raffigurante un'immagine. Ora volevo sapere una cosa: il mio pensiero è andato diretto alla bolletta, ma pensandoci attentamente mi son ricordato di non aver mai scaricato niente del genere perchè solitamente non frequento siti strani.La cronologia mi ha dato un'ulteriore conferma di quello d'apprima detto. Ora: io ho eliminato l'icona ma quello che mi attanaglia la mente è: non è che nella prossima bolletta mi arriva qualche bella sorpresa?Dato che questo file non ho idea da quanto sia nel computer!Oppure sto tranquillo che è un virus(tranquillo per modo di dire)?Peò ho pensato che solitamente questi dialer partono solo quando si usa il sito incriminato: è vero???Cosa devo fare????

Prima di tutto se si tratta di Eros.exe non basta eliminare l'eseguibile. Nel senso che se di Eros si tratta al prossimo riavvio dovresti magicamente ritrovare eros.exe li dove lo hai cancellato.
Secondo: sinceramente non so come si becca di solito su alcuni siti vengono fuori dei pop-up con la richiesta di scaricare il dialer ma non tutti si comportano così. Non necessariamente i dialer li becchi sui siti hard...anche su alcuni siti da cui si scaricano crack o seriali nascondono insidie.

Per quanto riguarda la bolletta non saprei...sinceramente da come mi ha raccontato il mio collega che l'ha beccato, prima veniva staccata la connessione con cui normalemente si collegava e poi il dialer cercava di fare il suo numero di telefono (il mio collega ha l'ADSL e non ha modem analogici per cui non rischiava niente). Quello che voglio dire è che se il dialer è funzionante in teoria dovresti accorgertene!

Per la rimozione come è stato detto sopra non è così semplice...prova a seguire le indicazioni di Ring.

Buona fortuna!!

ma in teoria non ci dovrebbero essere problemi solo nel caso si vada nel sito dove si ha scaricato il dialer?E come faccio ad accorgermi che è in funzione il dialer?Ho provato a riavviare ma di eros.exe nessuna traccia...da quando l'ho eliminato non ne vedo più tracce.Però non sono sicuro come faccio a sapere se c'è o se non c'è?Come posso fare?

Allora...il dialer funziona in questo modo...stacca la connessione con cui ti colleghi normalmente (telefonata urbana) per fare una nuova connessione ad un numero molto spesso estero. Per questo dico che dovresti accorgertene...nel senso dovresti vedere che la connessione viene staccata e che viene fatto un nuovo numero specie se hai attivato l'altoparlantino del modem.

Il fatto che non hai più l'eseguibile è un buon segno per essere un po più tranquillo puoi vedere se tra i processi in esecuzione trovi qualcosa di strano. Se hai XP o 2000 usa il task manager.

Ciao

io pero ho l'adsl quindi sono sempre connesso? Dove vedo il nunero?E... di strano nel task cosa intendi?

Originariamente inviato da Haku
ma in teoria non ci dovrebbero essere problemi solo nel caso si vada nel sito dove si ha scaricato il dialer?E come faccio ad accorgermi che è in funzione il dialer?Ho provato a riavviare ma di eros.exe nessuna traccia...da quando l'ho eliminato non ne vedo più tracce.Però non sono sicuro come faccio a sapere se c'è o se non c'è?Come posso fare?

controlla anche di non avere questi file che fanno parte del trojan.dasmin:
JDBGMRG.EXE
AVIRCHK.EXE
msfindosa.exe
windfind.exe

Originariamente inviato da MrOZ
controlla anche di non avere questi file che fanno parte del trojan.dasmin:
JDBGMRG.EXE
AVIRCHK.EXE
msfindosa.exe
windfind.exe
Ho fatto la ricerca ma non ho trovato niente!E' un buon segno??
Ora mi interesserebbe sapere come fare a sapere se è stato veramente eliminato oppure se sta girando a mia insaputa?!Avete parlato di task menager cosa potrebbe avere di strano il task se fosse in funzione il dialer?

Ragazzi urgente credevo di averlo tolto e oggi magicamente è tornato: ho acceso il computer e mi dice "impossibile avviare il programma eros.exe" voler segnalare a microsoft o no?Aiuto cosa devo fare??

nessuno sa rispondermi??:confused: :cry:

Per caso questo dialer ha scritto nelle proprietà Globatel Ldt?
Ciao
Sifr

ci devo guardare!Ma come mai mi chiedi questo?

Ragzzi ho fatto un po' di giri nel web, è ho notato che questo file(eros.exe) è un trojan!!!é solitamente i suoi fini vanno a segno con connessioni con modem a 56k. Ora io volevo sapere: dato che io ho l'adsl si fastweb, a me non dovrebbe dare particolare problemi??E poi volevo sapere come poterlo eliminare una volta per tutte dal mio sistema senza dover necessariamente formattare?Urge risposta! :muro: :muro: :cry:

up!!

Per quanto riguarda il dialer, se hai solo il modem adsl e nessun altro modem analogico collegato al pc sei a posto.

Per eros.exe, hai seguito tutte le istruzioni che ho postato io a suo tempo più sopra?
Sicuro di averle fatte fino in fondo?

Fammi sapere

Ciao

il problema è che io tutti quei file tipo: JDBGMRG.EXE
AVIRCHK.EXE
msfindosa.exe
windfind.exe
non li ho! Ho soltanto due file : eros.exe e eros.dll che però una volta che li elimino ricompaiono magicamente!Ho provato a installare spybot ma niente!!Da quel che ho visto sarebbe meglio faormattare o sbaglio?Non ci sono altri modi oppure utilizzando programmi di qualche tipo???

Prova a dare un'occhiata a questa DISCUSSIONE (http://www.experts-exchange.com/Operating_Systems/WinME/Q_20925607.html) se ti può essere d'aiuto.

Fammi sapere

Ciao

non è che dica molto di più di quello che già so.Dici che formattando il problema potrebbe sparire???Mi sa che è l'unica sol!

up!

Formattare il sistema è un'operazione che normalmente non è consigliabile.
Il tuo, però, mi sembra un caso disperato!!! :D

Fatti una copia di backup dei driver e dei dati e poi formatta!
Stai sicuro che così debellerai il virus!

Fammi sapere

Ciao