Sono sempre costretto a chiedere aiuto agli amici di questo forum e spesso siete stati preziosi ma questa volta sono pessimista...
Un virus... un maledetto virus (dialer maligno) non riesco a togliere..
In pratica si comporta così: mentre sei collegato ti si scollega e immediatamente senza gradire tue conferme cerca di riconnettersi con un accesso remoto pseudo-truffaldino..
A quanto pare inutile è stato avere le Norton 2004 aggiornate e SpyBot in linea!
Il virus (un dialer maligno) si riposiziona ogni volta sia nell'accessi remoti (uw1G3tR) e sia con un file (ucfdt.exe) nella directory window\system\shelltext. A nulla serve cancellare il file exe suddetto..si ricrea ogni volta ... Non si contano le scansioni effettuate con Norton antirus (sembra trovarlo e eliminarlo ma si ricrea automaticamente in seguito), né con SpyBot e né con Ad-Aware 1.05 tutti aggiornati con le ultime definizioni...
Come posso fare per eliminare questo "simpaticone" ?
Agire con REGEDIT ? Ma come?
Ancora una volta ...AIUTO!

Serve un log di Hijackthis ....... non esiste un tool per la rimozione automatica.
Occorre lavorare a mano
ciao

come quelli gratuiti sono avg e antivir.

se puoi vuoi spendere bene i tuoi soldi prendi nod32: in settimana ho messo a posto due pc infettati da dialer usando spybot e questo pacchetto. e' uno dei migliori av in circolazione.

usa kaspersky se non lo rimuovi con questo la vedo dura!

Serve un log di Hijackthis ....... non esiste un tool per la rimozione automatica.
Occorre lavorare a mano
ciao
si esatto e poi una bella scansione in modalità prov. per sicurezza :)

Sono sempre costretto a chiedere aiuto agli amici di questo forum e spesso siete stati preziosi ma questa volta sono pessimista...
Un virus... un maledetto virus (dialer maligno) non riesco a togliere..
In pratica si comporta così: mentre sei collegato ti si scollega e immediatamente senza gradire tue conferme cerca di riconnettersi con un accesso remoto pseudo-truffaldino..
A quanto pare inutile è stato avere le Norton 2004 aggiornate e SpyBot in linea!
Il virus (un dialer maligno) si riposiziona ogni volta sia nell'accessi remoti (uw1G3tR) e sia con un file (ucfdt.exe) nella directory window\system\shelltext. A nulla serve cancellare il file exe suddetto..si ricrea ogni volta ... Non si contano le scansioni effettuate con Norton antirus (sembra trovarlo e eliminarlo ma si ricrea automaticamente in seguito), né con SpyBot e né con Ad-Aware 1.05 tutti aggiornati con le ultime definizioni...
Come posso fare per eliminare questo "simpaticone" ?
Agire con REGEDIT ? Ma come?
Ancora una volta ...AIUTO!


Hai disabilitato il ripristino di sistema di windows?

Vi ringrazio innanzitutto ma per me è dura non essendo io, nel campo antivirus, alla vostra altezza in quanto finora mi ero affidato alle NAV in automatico...e basta..
Allora, ricapitolando:
Hijackthis (spero di capirne il funzionamento) e cercherò di darvi il log relativo.
Mi sono scaricato Kspersky vers. 5.0.x ma mi sorge un dubbio... ho già le NAV 2004 installate.. avrò conflitti ?
Poi per mcatk... Mi dici "Hai disabilitato il ripristino di sistema di windows?" Forse ti riferisci a XP?
Infatti (ho mancato prima di dirvelo, chiedo scusa..) ho WINDOWS 98 SE e quindi non riesco a capire che cosa intendi nel caso..
Insomma... ovviamente vi dirò gli sviluppi in base ai vostri primi consigli ma voi NON mi lasciate solo... Per la complessità dei dati e programmi del mio pc è tragico per me pensare al formattone.. :mbe: :mbe: :rolleyes: :rolleyes:

98se NON HA IL RISPRISTINO.

Il ripristino è solo per ME e XP.

Aspettiamo il log.

ciao

aspettiamo il log :)

Va bene. Il log lo potrò mandare solo nel primo pomeriggio. Un'altra cosa. In attesa ho letto nel manuale del Kaspersky.AntiVirus.Personal.5.0.142 che è praticamente obbligata la disinstallazione delle NAV 2004. E' così, vero? Mi consigliate di farlo?. Poi quando rimetterò le NAV 2004 dovrò far rifare tutti i lunghi processi di aggiornamento (definizioni, programmi ecc.)... Ma dove falliscono le NAV 2004 (aggiornate con file defizione virus 22.04.2005) funzionerà Kaspersky?
E poi la domanda importante: Da come vi ho descritto questo dialer-virus la sua eliminazione è da PRG antivirus o PRG spyware. Insomma qual'è il programma deputato al suo individuamento e eliminazione ? Un antivirus come le NAV 2004 oppure un antispyware come SpyBot o AD-Aware 1.05 ? Io li ho usati tutti e falliscono tutti...

Va bene. Il log lo potrò mandare solo nel primo pomeriggio. Un'altra cosa. In attesa ho letto nel manuale del Kaspersky.AntiVirus.Personal.5.0.142 che è praticamente obbligata la disinstallazione delle NAV 2004. E' così, vero? Mi consigliate di farlo?. Poi quando rimetterò le NAV 2004 dovrò far rifare tutti i lunghi processi di aggiornamento (definizioni, programmi ecc.)... Ma dove falliscono le NAV 2004 (aggiornate con file defizione virus 22.04.2005) funzionerà Kaspersky?
E poi la domanda importante: Da come vi ho descritto questo dialer-virus la sua eliminazione è da PRG antivirus o PRG spyware. Insomma qual'è il programma deputato al suo individuamento e eliminazione ? Un antivirus come le NAV 2004 oppure un antispyware come SpyBot o AD-Aware 1.05 ? Io li ho usati tutti e falliscono tutti...


Non c'è un programma che risolva tutto, in questi casi si interviene manualmente sperando di risolvere :( , hai provato qualche scansione on-line? hai provato con avast?

E poi la domanda importante: Da come vi ho descritto questo dialer-virus la sua eliminazione è da PRG antivirus o PRG spyware. Insomma qual'è il programma deputato al suo individuamento e eliminazione ? Un antivirus come le NAV 2004 oppure un antispyware come SpyBot o AD-Aware 1.05 ? Io li ho usati tutti e falliscono tutti...

Da quello che si legge in Internet, forse sono io che cerco malamente, sembra un dialer tutto italiano perchè i post sono tutti su forum italiani.
I prodotti che tu hai citato sono stranieri e, forse per questo, non è giunta loro ancora nessuna notizia. Questa però è solo la mia opinione.
Comunque è necessario capire che nome ha il dialer.
Ho trovato un consiglio postato giusto ieri che allego:

io, forse, ho risolto il problema.
ho fatto così:
1 - ho eliminato la sconnessione
2 - ho cercato e quindi cancellato il programma ucfdt.exe
3 - nella cartella windows c'è un file che si chiama dd.dll
4 - odinando per data il contenuto della cartella windows, dovrebbero esserci altri 2 file con data ed ora uguali a quella di dd.dll
5 - ho cancellato tutti e tre i file
6 - dd.dll nn me lo faceva cancellare xchè usato da altri e l'ho cancellato usando una vecchia versione del norton commander che lavora in dos; chi nn ha il norton commander, può provare ad avviare windows in modalità provvisiria e quindi cancellarlo

Va bene. Il log lo potrò mandare solo nel primo pomeriggio. Un'altra cosa. In attesa ho letto nel manuale del Kaspersky.AntiVirus.Personal.5.0.142 che è praticamente obbligata la disinstallazione delle NAV 2004. E' così, vero? Mi consigliate di farlo?. Poi quando rimetterò le NAV 2004 dovrò far rifare tutti i lunghi processi di aggiornamento (definizioni, programmi ecc.)... Ma dove falliscono le NAV 2004 (aggiornate con file defizione virus 22.04.2005) funzionerà Kaspersky?
E poi la domanda importante: Da come vi ho descritto questo dialer-virus la sua eliminazione è da PRG antivirus o PRG spyware. Insomma qual'è il programma deputato al suo individuamento e eliminazione ? Un antivirus come le NAV 2004 oppure un antispyware come SpyBot o AD-Aware 1.05 ? Io li ho usati tutti e falliscono tutti...

Ma perchè devi tornare a mettere NAV? si è già dimostrato che è uno dei peggiori antivirus in circolazione....

Installa e tieniti kasperski, è il migliore

ECCO IL LOG:
Logfile of HijackThis v1.99.1
Scan saved at 17.16.48, on 26/04/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\PDESK.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\WINAGENT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\SHELLEXT\UCFDT.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\00\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = +s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = +s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = +s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\Programmi\Copernic 2000\Search Bar.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = +s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = +s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.libero.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\DD.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\winagent.exe /i
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: vpsched.lnk = C:\Programmi\Matrox - Strumenti video\vpsched.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ricerca utilizzando Copernic - file://C:\Programmi\Copernic 2000\Search Extension.htm
O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Programmi\Copernic 2000\Copernic.exe
O9 - Extra 'Tools' menuitem: Avviare Copernic - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Programmi\Copernic 2000\Copernic.exe
O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Programmi\Copernic 2000\Copernic.exe
O9 - Extra button: Traduci - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Programmi\Copernic 2000\Translate.htm
O9 - Extra 'Tools' menuitem: &Traduci utilizzando Gist-In-Time - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Programmi\Copernic 2000\Translate.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .qt: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .vbs: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll


Per quanto riguarda la scorciatoia dedicata indicatami prima sarebbe troppo bello a prima vista.. Non ho fatto ancora niente ... Aspetto consigli da voi.. Piuttosto gli altri due file indicati in C:\windows oltre dd.dll (stessa data e ora) c'è solo dd.exe e l'altro file con la stessa ora di dd.dll non lo vedo ... e allora ?

Direi che ne manca un pezzo....... di report

Non capisco.. BleuPix.. Non ho fatto altro che incollare l'intero contenuto del "log" che il programma ha creato (ho lanciato l'opzione scan e crea file log). Quale report manca ?

Ok, va bene.. Sviluppo della situazione:
Il consiglio su dd.dll. ecc. sembra ottimo a riguardo e con l'aiuto anche del scan + fix di Hijackthis l'odioso dialer SEMBRA essere stato zittito ma staremo a vedere e vi farò sapere..

Piuttosto anticipo uno strano comportamento subentrato subito dopo di cui posterò anche a parte:

Spybot sembra non aggiornarsi più bene.. mi spiego. Per la prima volta a parità di settaggi e hardware che avevo fino a poche ore fa qaundo vado a scaricare gli aggiornamenti di SpyBot (per esempio le importantissime rules) aalcuni passano regolarmente altri come le menzionate verso la fine del download vengono segnate come errore con il messaggio "checksum errato"... Provato altre volte e l'interruzione con questo messaggio si ripropone in punti diversi poi passa oltre e scarica correttamente altre cose e altre non con il "checksum errato"... CHE SUCCEDE ?