Dialer in temp.. aiuto!!

[ruenmolag]

Riavviando il pc mi trovo nella barra un dialer.. lo chiudo.. regolarmente pero' avg mi rileva un virus idd e qualcosa .tmp che risiede in temp e ha l'icona di eseguibile o di un mondo blu.. Io svuoto la cartella temp ma regolarmente mi riappaiono i files e a volte l'icona dialer riappare accanto a quelle vicino all'orologio. Non so + che fare, usato ad aware, spybot cccleaner hijack controllato i programmi in partenza, scan da internet dei virus..

Hijack mi riporta questo

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\PROGRA~1\Grisoft\AVG Free\avgamsvr.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Grisoft\AVG Free\avgcc.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\PROGRA~1\Grisoft\AVG Free\avgupsvc.exe
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVG Free\avgemc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\SpeedFan\speedfan.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\ICQLite\ICQLite.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Andrea\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2D885589-8A5D-9220-4AA0-5B354B9541F8} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG Free\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programmi\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -trayboot
O4 - Startup: SpeedFan.lnk = C:\Programmi\SpeedFan\speedfan.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://migev.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab47946.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/...ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D12705D-247B-43F5-8501-9FCED8C5EE09}: NameServer = 85.37.17.40
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winwea32 - C:\WINDOWS\SYSTEM32\winwea32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG Free\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG Free\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG Free\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe

spero sappiate dirmi qualcosa! Grazie mille!

[S@ra]

Innanzi tutto hai adsl o 56k?
Seconda cosa posta il log nell'apposita sezione in rilievo.

Comunque dando un'occhiata veloce il tuo log mi sembra pulito, a parte un certo R3 - Default URLSearchHook is missing che non mi convince e mi sembra abbastanza sospetto. Anche O2 - BHO: (no name) - {2D885589-8A5D-9220-4AA0-5B354B9541F8} - (no file)
sta li a fare niente.

Se riesci fai dare una giratina a Nod32 e vedi se ti becca qualcosa.
Ciao

[ruenmolag]

Uso adsl 4 mega alice.. ora ho fatto pulizia da mod provvisoria.. dici che avg è scarso e devo cambiarlo? il norton è un mattone!!

[S@ra]

Avg non è scarso secondo me, ma ce ne sono di migliori, sempre secondo me. Potresti provare Nod32. Io prima di questo usavo proprio avg ma poi ho fatto il salto. Norton te lo sconsiglio vivamente. E' un mattone come dici tu e per quello che mi riguarda è una mezza ciofeca. Quando ho fatto il salto tra norton e avg mi ha trovato ben 6 virus, quindi.......!!
Comunque se hai adsl puoi stare tranquillo per i costi, per ora, non dovresti avere aumenti.

[ruenmolag]

Mod provvisoria avg+ad-aware risultato? dialer che si scarica e cerca di partire ma non riesce e resta in esecuzione

[garyf]

Quote:

Originariamente inviato da ruenmolag

Mod provvisoria avg+ad-aware risultato? dialer che si scarica e cerca di partire ma non riesce e resta in esecuzione

Ciao ho avuto il tuo stesso problema la scorsa settimana. Stessa icona di un mondo blu e stessi file (IDD**.tmp.exe).
Avevo provato a pulire il sistema in modalità provvisoria con NOD32, Ewido, SpyBot S&D, A-squared, ma il problema non si risolveva.
La soluzione è stata accedere al sistema in modalità provvisoria, scansionare il sistema con Prevx (www.prevx.com) e poi cancellare i file presenti nella cartella temp.

Ora tutto è tornato normale.
Credo che questa possa essere la soluzione anche per te.
Ciao

[ruenmolag]

Quote:

Originariamente inviato da garyf

Ciao ho avuto il tuo stesso problema la scorsa settimana. Stessa icona di un mondo blu e stessi file (IDD**.tmp.exe).
Avevo provato a pulire il sistema in modalità provvisoria con NOD32, Ewido, SpyBot S&D, A-squared, ma il problema non si risolveva.
La soluzione è stata accedere al sistema in modalità provvisoria, scansionare il sistema con Prevx (www.prevx.com) e poi cancellare i file presenti nella cartella temp.

Ora tutto è tornato normale.
Credo che questa possa essere la soluzione anche per te.
Ciao

ora provo poi ti dico

[marcocappe]

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {2D885589-8A5D-9220-4AA0-5B354B9541F8} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: winwea32 - C:\WINDOWS\SYSTEM32\winwea32.dll

[ruenmolag]

Per ora non si ripresenta.. nel caso tornasse.. a sto punto formatto!
Grazie mille!

[juninho85]

Quote:

Originariamente inviato da ruenmolag

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

falli esaminare da virustotal.com,dovrebbero essere 2 file corrotti

Quote:

Originariamente inviato da ruenmolag

O20 - Winlogon Notify: winwea32 - C:\WINDOWS\SYSTEM32\winwea32.dll

questo DEVI eliminarlo

dai anche una bella passata con ewido,sicuramente c è dell'altro