aiuto su dialer

[dado974]

Salve ragazzi, stamane mi sono apparse sul desktop 2 icone, sembrano dialer, una "brivido caldo" e un altro "giochi rilassanti" e non appena mi connetto ad internet si apre una finestra porno. ora vorrei eliminarli, come procedo?
il problema è che un portatile acer, xp, con connessione tramite pc card a dati limitati, cioè 50mb al giorno e appena mi connetto questi dialer mi sukkiano molti mb. mi aiutate a rimuovere sti maledetti dialer?
grazie in anticipo.
premetto che ho scansionato il pc con norton ma non ha rilevato nulla.

[Draven94]

Solita procedura :
Fai una scansione con un antimalware (a-squared ) in modalità provvisoria con il ripristino sistema disabilitato

[wizard1993]

esatto

[dado974]

ragazzi ho fatto un log con hijack, ora lo allego.
poi.... dove trovo antimalware e quale la procedura esatta?
grazie.

[wizard1993]

fixa
C:\Documents and Settings\tozzi\Dati applicazioni\Microsoft\svchost.exe

O23 - Service: WinLd01Service - Unknown owner - C:\Documents and Settings\tozzi\Dati applicazioni\Microsoft\svchost.exe
O23 - Service: WinDl01Service - Unknown owner - C:\Documents and Settings\tozzi\Dati applicazioni\Microsoft\Internet Explorer\svchost.exe
insieme a tutti gli O15

poi scarica il file a cui punta il link http://swandog46.geekstogo.com/avenger.zip scompattalo eseguilo seleziona input script manually premi sulla lente di ingrandimento incollaci questo

Codice:

Files to delete:
C:\Documents and Settings\tozzi\Dati applicazioni\Microsoft\Internet Explorer\svchost.exe
C:\Documents and Settings\tozzi\Dati applicazioni\Microsoft\svchost.exe

premi ok, poi due volte sulla lente di ingrandimento, alle domande rispondi sempre yes, poi rivvia e posta il log che ti darà

[dado974]

il lo lho metto cosi' perke' non me lo fa allegare:

Logfile of HijackThis v1.99.1
Scan saved at 14.46.02, on 02/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\DOCUME~1\tozzi\IMPOST~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\tozzi\Desktop\antidialer\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/yco...//it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/yco...//it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://it.intl.acer.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe /idle
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Desktop Manager.lnk = C:\Programmi\Research In Motion\BlackBerry\DesktopMgr.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{18F00722-FD92-45C2-9DBB-5D41099C45CB}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{18F00722-FD92-45C2-9DBB-5D41099C45CB}: NameServer = 151.99.125.1,151.99.0.100
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

[dado974]

niente da fare, quando mi connetto la velocitàdi cannessione aumenta a dismisura e aumenta anke lo scambio dati sukkiandomi molti mb giornalieri, visto ke posso usufruire solo di 50mb al giorno.
è come se ci fosse un programma in background che lavora sempre

[dado974]

Quote:

Originariamente inviato da Draven94

Solita procedura :
Fai una scansione con un antimalware (a-squared ) in modalità provvisoria con il ripristino sistema disabilitato

ragazzi mi spiegate come fare questo procedimento?
non so piiu' che fare.

[BEY0ND]

Quote:

Originariamente inviato da dado974

ragazzi mi spiegate come fare questo procedimento?
non so piiu' che fare.

allora scarica a-squared free 3 da qui http://www.emsisoft.it/it/software/download/
poi aggiornalo,poi disabilti il ripristino andando su sistema>ripristino...e metti la spunta su disabilita.
poi riavvia e premi f8 scegli modalità provvisoria,una volta entrato fai la scansione profonda e vedi se trovi qualcosa
il procedimento dovrebbe essere questo,ma aspetta gli altri per vedere se confermano

[dado974]

ok, ho scaricato asquared ma qullo trial da 30 giorni, è lo stesso?
poi ho disabilitato il ripristino ed ora mi accingo a riavviare.
ma poi dopo si può ripartire con modalità normale?

[dado974]

la scansione in modalità provvisoria quanto dura? ore?

[BEY0ND]

Quote:

Originariamente inviato da dado974

ok, ho scaricato asquared ma qullo trial da 30 giorni, è lo stesso?
poi ho disabilitato il ripristino ed ora mi accingo a riavviare.
ma poi dopo si può ripartire con modalità normale?

a-squred free 3 non ha trial,è free...
dopo la provvisoria quando riavvii ti passa direttamente in modalità normale.
puoi fare anche cosi:start>esegui>msconfig>boot.ini>metti la spunta su safe boot>applica>ok>riavvia
poi da provvisoria per tornare a normale stesso percorso togliendo la spunta
ma ti ripeto,aspetta gli altri...

[lancetta]

hai fatto la procedura postata da wizard?

Quote:

poi scarica il file a cui punta il link http://swandog46.geekstogo.com/avenger.zip scompattalo eseguilo seleziona input script manually premi sulla lente di ingrandimento incollaci questo

ti rimetto lo script che devi usare (fai copia ed incolla)

Files to delete:
C:\Documents and Settings\tozzi\Dati applicazioni\Microsoft\Internet Explorer\svchost.exe
C:\Documents and Settings\tozzi\Dati applicazioni\Microsoft\svchost.exe


Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

[dado974]

ragazzi allora....ho usato recovery di acer cioè un programma acer che ti riporta alo stato iniziale del computer, di default (è come se fosse una formattazione?) cioè sistema operativo e applicativi allo stato base. ho installato mobility manager e pccard e il problema non l'ho risolto, incredibile! appena mi connetto lo scambio dati e velocità incominciamo ad iniziare senza fare nulla e senza aprire nessuna pagina.
ma che devo fare più? ho installato anke il MM e pc card su un altro portatile e va tutto bene.
è proprio quel maledetto portatile che ha qualcosa che non va.
ma cosa puo' essere? eppure sono partito dallo stato iniziale. o devo formattarlo in modo classico? senza usare l'utility di acer (recovery management).
non riesco prorpio a capire come risolvere il problema, sono stressato.

[dado974]

non esiste qulake prog per capire questo scambio dati continuo da dove parte? se parte da qualke prog o altro, in modo tale ke si possa intervenire su di esso.

[ste_95]

si, sono i firewall...

prova a scaricarti al trial di kaspersky e fare una scansione con lui...

[lancetta]

da task manager vedi niente di strano nella scheda processi?tipo qualcosa che consuma cpu ecc..? riposta il log di hijackthis per favore

[lancetta]

mi è venuto in mente un'altro trucchetto rileggendo il post:
start->esegui digita cmd,si aprirà il prompt dos (finestra nera) digita netstat -b mentre vedi la connessione che invia pacchetti (computerini in basso che lampeggiano) ti dovrebbe dare le connessioni attive in quel momento e l'eseguibile responsabile e l'indirizzo ip numerico.....facci sapere.

[Francesco g]

io ti consiglio di usare un anti dialer come stop dialer e di usare molti antispyware ma però non devi usarli con la protezione in tempo reale usali solo per le scansioni