View Full Version : CHECK.exe
Ho beccato ultimamente questo dialer, anche se ho l'adsl e non può provocarmi spese folli, mi disconnette in continuazione e cerca di collegarsi al suo buon 899...
A differenza di altri dialer questo va a posizionarsi in una cartella di sistema come C:\WINNT\system32\ShellExt come file nascosto
ma anche eliminadolo riesce a ricrearsi anche senza un reboot della macchina!!
Qualcuno sa per caso in quali chiavi di registro va a nascondersi????
Prova a fare uno scan con spybot 1.3 aggiornato (le definiz. di oggi contengono una lunga lista di riconoscimento di dialer) oppure con a2.
RenèBascè
30-05-2004, 23:08
Originariamente inviato da MrOZ
Prova a fare uno scan con spybot 1.3 aggiornato (le definiz. di oggi contengono una lunga lista di riconoscimento di dialer) oppure con a2.
Anche io ho questoo fastidiossimo problema per cui mi disconnette ogni due minuti pur avendo Alice ADLS ....
Ho provato spybot ; adaware , norton eccetera !
Vorrei evitare sinceramente di formattare !
Ho dentro troppa roba importante !
:rolleyes:
axxaxxa3
31-05-2004, 00:07
Originariamente inviato da RenèBascè
Anche io ho questoo fastidiossimo problema per cui mi disconnette ogni due minuti pur avendo Alice ADLS ....
Ho provato spybot ; adaware , norton eccetera !
Vorrei evitare sinceramente di formattare !
Ho dentro troppa roba importante !
:rolleyes:
Hai installato qualche antidialer?
Ho provato tutti i tipi di programmini possibili
dal norton al reg clener passando per i vari spybot, spyware ecc..
ma niente di niene per loro sono pulito!!!
Per scrivere questo messaggio ho dovuto connettermi già tre volte
Help me please!!!
Originariamente inviato da gu3st76
Ho beccato ultimamente questo dialer, anche se ho l'adsl e non può provocarmi spese folli, mi disconnette in continuazione e cerca di collegarsi al suo buon 899...
A differenza di altri dialer questo va a posizionarsi in una cartella di sistema come C:\WINNT\system32\ShellExt come file nascosto
ma anche eliminadolo riesce a ricrearsi anche senza un reboot della macchina!!
Qualcuno sa per caso in quali chiavi di registro va a nascondersi????
Ciao,
ho letto che il tuo problema è abbastanza diffuso anche in gruppi di discussione internazionali. Non ho letto di soluzioni (almeno nei forum in lingue per me comprensibili)
Ho visto che hai provato di cancellare CHECK.exe ma ti si riforma subito. Ovviamente succede perchè c'è qualche dll o eseguibile ancora presente.
Come antidialer molti consigliano di mettere il file rasphone.pbk in sola lettura (è la rubrica di accesso remoto), ma prima temo che occorra togliere il dialer :(
Ti rimane la carta del log di hijackthis. Prova a postarlo qui...
tra tante teste, forse qualcuno di noi potrebbe trovare la medicina. Tentare non nuoce
;)
Ok entro il pomeriggio inserirò il log di hijackthis
sul forum sperando che qualche testa trovi la soluzione :)
purtroppo anche io ho notato che il problema si sta diffondendo
ma forse è una fortuna così la soluzione sarà piu facile da trovare
ciao
Eco qui il log:
Logfile of HijackThis v1.97.7
Scan saved at 13.53.04, on 31/05/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programmi\ISS\BlackICE\blackd.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\mnmsrvc.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINNT\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\File comuni\Symantec Shared\SymTray.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\devldr32.exe
C:\Programmi\Creative\ShareDLL\CtNotify.exe
C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe
C:\WINNT\system32\GSICON.EXE
C:\WINNT\system32\dslagent.exe
C:\Programmi\Creative\ShareDLL\MediaDet.Exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\deamon.exe
C:\Programmi\ISS\BlackICE\blackice.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Norton AntiVirus\OPScan.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Desktop\pulitori\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://it.msn.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Messanger] C:\WINNT\deamon.exe /i
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtrdr.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Programmi\ISS\BlackICE\blackice.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://www.webcamnow.net/broadcast/ActiveXWebCam.cab
O16 - DPF: {BB95299D-B65B-47E0-8DDB-697A66298C3A} (UniVoiceX Control) - http://www.anywebcam.com/awc/html/voice/voice.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A780423C-E968-4391-A79D-AFA67379991D}: NameServer = 217.141.253.201 151.99.125.1
Speriamo qualcuno noti qualcosa di strano...
Bye
Logfile of HijackThis v1.97.7
Scan saved at 14.21.04, on 31/05/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programmi\ISS\BlackICE\blackd.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\mnmsrvc.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINNT\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\File comuni\Symantec Shared\SymTray.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\devldr32.exe
C:\Programmi\Creative\ShareDLL\CtNotify.exe
C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe
C:\WINNT\system32\GSICON.EXE
C:\WINNT\system32\dslagent.exe
C:\Programmi\Creative\ShareDLL\MediaDet.Exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\deamon.exe
C:\Programmi\ISS\BlackICE\blackice.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINNT\msn24.exe
C:\WINNT\system32\ShellExt\check.EXE
C:\Documents and Settings\Administrator\Desktop\pulitori\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://it.msn.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Messanger] C:\WINNT\deamon.exe /i
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtrdr.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Programmi\ISS\BlackICE\blackice.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} - http://www.webcamnow.net/broadcast/ActiveXWebCam.cab
O16 - DPF: {BB95299D-B65B-47E0-8DDB-697A66298C3A} (UniVoiceX Control) - http://www.anywebcam.com/awc/html/voice/voice.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab
Ecco il log col dialer in esecuzione forse potrebbe essere utile confrontare i due log
Bye
Ciao,
sai cos'è questo?
O4 - HKLM\..\Run: [Messanger] C:\WINNT\deamon.exe /i
io non l'ho mai visto...
controllalo perchè MESSANGER mi è nuovo, di solito è MESSENGER. Inoltre DEAMON è insolito, normalmente è DAEMON.
Però probabilmente sono io che non sono abbastanza informato
Le altre voci mi sembrano regolari...
Ah, dando un occhiata in giro sugli altri forum dove discutono di CHECK.exe ho visto che qualcuno forse ha trovato qualcosa di strano in una cartella temporanea dentro document and settings. Prova a fare una ricerca start->cerca->file e cartelle e inserisci temp e tmp. Vedi se c'è qualche cartella che contiene un .exe sconosciuto
:mc:
ottima osservazione,
ma purtroppo non credo che sia la soluzione al problema
e ancor peggio, visitando altri forum vedo che nessuno abbia ancora trovato una soluzione al problema.
BYE
Forse ho trovato la soluzione su un altro forum, allora:
1) cancellare in C:\WINNT\system32\ShellExt il file Check.exe (è un file nascosto)
2)cancellare in C:\WINNT il file daemon.exe (altro file nascosto)
3)riavviare il pc...
Sono collegato da 30 minuti e sembra che di check non si abbiano più notizie.... speriamo
Bye
Tra l'altro è un problema che si verifica solo con explorer, se usi firefox nessun problema (guarda caso). ;)
A proposito, Il file da me è cidaemon.exe in winnt/system32 (non nascosto)
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.