Si tratta di un virus?

[Fedepile]

Ciao a tutti!
Questo è il mio primo messaggio e spero che possiate aiutarmi a risolvere un problemino che ho sul mio pc Olivetti Pentium 4 (acquistato circa 3 anni fa).
Ho comprato un modem 56 K per collegarmi ad internet.
Dopo due giorni in cui sono riuscito a connettermi senza problemi, al terzo giorno mi è successo quanto segue:
ho immesso la password e la connessione si è avviata senza problemi, aprendo la homepage predefinita.
Quando ho cliccato su un altro link il pc si è disconnesso dalla rete e sul monitor è comporsa la schermata famosa “impossibile visualizzare…”.

Il problema è che in quel momento si è attivata una nuova connessione, si è creato un nuovo profilo di accesso remoto in automatico, con connessione al numero “000”…
Appena il computer si è così connesso alla rete, l’ho disconnesso manualmente e ho spento il pc.

Come può accadere tutto ciò?
Come faccio a cancellare questo virus se si tratta di questo?

Grazie.

[Chill-Out]

http://www.hwupgrade.it/forum/showpo...24&postcount=2

[xcdegasp]

teniamo questa

[Fedepile]

Ho scaricato Digisoft antidialer come suggerito.
Questa sera lo installo e poi devo avviarlo come un normale antivirus?
Dovrebbe trovare un file infetto?
Gli devo dare il comando di cancellarlo o ripararlo?

Grazie per i consigli!
Federico

[Chill-Out]

Quote:

Originariamente inviato da Fedepile

Ho scaricato Digisoft antidialer come suggerito.
Questa sera lo installo e poi devo avviarlo come un normale antivirus?
Dovrebbe trovare un file infetto?
Gli devo dare il comando di cancellarlo o ripararlo?

Grazie per i consigli!
Federico

Dalla FAQ del software in questione:
Ho appena installato AntiDialer, e l'ho anche eseguito. Ora cosa devo fare?
RISPOSTA: Non appena AntiDialer viene aperto, vi chiederà se si desiderano importare i numeri telefonici dalla Connessione Remota di Windows. Questi sono i numeri che il modem compone per collegarsi ad Internet. Cliccando sul tasto SI, il programma provvederà ad importare automaticamente i suddetti numeri. Cliccando su NO AntiDialer non eseguirà alcuna operazione, in questo caso si dovranno inserire manualmente i numeri ammessi per la connessione. In ogni caso, è opportuno controllare i numeri ammessi dal programma per prevenire eventuali e spiacevoli sorprese se, ad esempio, un dialer ha già creato una sua connessione a numeri del tipo 709... .L'inserimento (o la modifica) dei numeri ammessi può essere fatta in qualsiasi momento, con un doppio clic sull'icona presente nella System Tray di Windows.
Inoltre posta un log di HijackThis il software lo prelevi da qui: http://www.trendsecure.com/portal/en...HiJackThis.zip per praticità salvalo sul desktop, scompatta il file *.ZIP, lancia l'eseguibile, clicca su "Do a system scan and save a logfile" copi ed incolli nel prossimo post il file di testo generato.

[Fedepile]

Cos'è un dialer?
Come funziona?

[Chill-Out]

Quote:

Originariamente inviato da Fedepile

Cos'è un dialer?
Come funziona?

Sono applicazioni di piccole dimensioni che dirottano la telefonata per la connessione a internet (connessione analogica 56K il discorso non vale per l'ADSL) su servizi a pagamento; il più delle volte, all'insaputa dell'utente. Il risultato sarà notato solo all'arrivo della bolletta telefonica

[juninho85]

antidialer utilizzalo una volta risolto questo problema.
per ora dovrai postarci log di hijackthis e gmer

[Fedepile]

Ieri sera ho scaricato e installato tutto quanto detto e infatti non ho più avuto intrusioni e connessioni anomale.
Tuttavia dopo circa 1 minuto che sono connesso, perdo la connessione...

Come faccio a debellare il virus installato sul computer?

Cosa sono "log di hijackthis e gmer"??

Grazie,
Federico

[Fedepile]

Ok, non avevo visto il post di spiegazione dell’Hyjack.
L’ho scaricato, appena riesco posto anche il file generato.
Saluti.

[Morpheus@]

non so se ti puo servire cmq:

se conosci il nome della connessione potresti andarlo a cancellare manualmente.Ovviamente prima lo devi terminare(il processo dal taskmanager) e poi lo elimini(alcune volte si installano automaticamente all'avvio del sistema operativo).Se non funziona cosi prova in quest'altro modo:

Start-esegui-digita "msconfig"- menu "Avvio" e poi vai a vedere qual'e' il tipo di processo che parte all'avvio del pc

[Chill-Out]

Quote:

Originariamente inviato da Fedepile

Ok, non avevo visto il post di spiegazione dell’Hyjack.
L’ho scaricato, appena riesco posto anche il file generato.
Saluti.

Con Digisoft Antidialer abbiamo bloccato il dialer per evitare che tu spendessi un botto di Euro, adesso però bisogna sradicarlo dal sistema

Link da leggere:
http://www.hwupgrade.it/forum/showthread.php?t=1372589
http://www.hwupgrade.it/forum/showthread.php?t=937676

[Fedepile]

Ho provato a seguire le istruzioni, ma non conoscendo il nome del file infetto non mi sono fidato a cancellare alcunché.
Ho cmq trovato un file strano che si chiama “SOUNDMAN.EXE”, potrebbe essere lui…

Di seguito riporto il file hijack.

Aspetto suggerimenti :-)

[xcdegasp]

Quote:

Originariamente inviato da Fedepile

Ho provato a seguire le istruzioni, ma non conoscendo il nome del file infetto non mi sono fidato a cancellare alcunché.
Ho cmq trovato un file strano che si chiama “SOUNDMAN.EXE”, potrebbe essere lui…

Di seguito riporto il file hijack.

Aspetto suggerimenti :-)

è della scheda sonora se non mi ricordo male è quello con un icona blu nella tray..

[Fedepile]

Ho provato a seguire le istruzioni, ma non conoscendo il nome del file infetto non mi sono fidato a cancellare alcunché.
Ho cmq trovato un file strano che si chiama “SOUNDMAN.EXE”, potrebbe essere lui…

Di seguito riporto il file hijack.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.46.29, on 18/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\system\msnrav.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Empire\PVR Plus\TVR\Scheduled.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\AxBx\VirusKeeper 2007 Pro Trial\VirusKeeper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\Empire\TV2800\EPIARCtl.exe
C:\Programmi\Bluetooth Software\BTTray.exe
C:\Programmi\Mio Technology\MioSync\mioSync.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Documents and Settings\Gualdi Giovanni\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.profscaglione.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PVR Agent] C:\Programmi\Empire\PVR Plus\TVR\Scheduled.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Programmi\AxBx\VirusKeeper 2007 Pro Trial\VirusKeeper.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [E07IXLRD_1145977] "C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: TV Remote Control.lnk = C:\Programmi\Empire\TV2800\EPIARCtl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: MioSync.lnk = C:\Programmi\Mio Technology\MioSync\mioSync.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe

--
End of file - 7754 bytes


Aspetto suggerimenti :-)

[Morpheus@]

prova a lanciare la connessione normale a internet(senza cavetto) e vedi se c'e' un nuovo processo tipo nomestrano.exe

[Riverside]

Quote:

Originariamente inviato da Fedepile

Ho provato a seguire le istruzioni, ma non conoscendo il nome del file infetto non mi sono fidato a cancellare alcunché.
Ho cmq trovato un file strano che si chiama “SOUNDMAN.EXE”, potrebbe essere lui… Di seguito riporto il file hijack.

Hai parecchi casini: quindi, disabilita il ripristino configurazione di sistema e, inizia con il fixare questi:

C:\WINDOWS\system\msnrav.exe
C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe

Puoi fixare anche questi (non è roba pericolosa ma superflua):

C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: officejet 6100.lnk = ?

Poi scarica ed installa:
CCLEANER: clicca qui per il download
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

PANDA ANTIROOTKIT: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

ASQUARED FREE: clicca qui per il download
una volta installato, lancialo, dalla finestra principale scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

Una volta eseguite le scansioni (in particolare per quella di Asquared, dicci se è cosa è stato individuato e rimosso).
Poi ripubblica un nuovo lo di HThis.

[xcdegasp]

ecco

[Riverside]

Quote:

Originariamente inviato da xcdegasp

ecco

Deg che succede?? guarda che avevi ragione

[xcdegasp]

Quote:

Originariamente inviato da Riverside

Deg che succede?? guarda che avevi ragione

avevo sbagliato su soundMan, no?