Dialer maledettooo!!!

[Foxlady]

Ciao a tutti.
Ho un problema abbastanza strano relativo a internet
AD ogni accensione del pc, appena caricato windowsxp, mi appare una schermata con la seguente scritta: Connessione di rete. Da un untente o da un programma sono state richieste informazioni da google.com (oggi mi è apparso il nome di un altro sito!!). Sotto c'è il nome della connessione remota. Posso scegliere se collegarmi ho far apprire la schermata al seguente riavvio.
Dopodichè quando mi connetto, a volte dopo circa 30 secondi cade la connessione remota predefinita che uso normalmente e viene attivata un'altra automaticamente con nome x. La chiamata passa da sola su questa.

Probabilmebte sarà un dialer, per questo ho scansionato l 'hard disk con spyware e adaware eliminando alcune cose ma il problema persiste.
Cosa posso fare?
Aiutatemi per favore, è troppo fastidioso!

P.s ho pc-cillin 2002 che uso come firewall e antivirus. Secondo me è una pippa. Con quale lo sostituisco?

[Foxlady]

il problema della connessione automatica ad altro numero sembra risoltasi dopo aver cancellato alcune cose con adaware e spyboot piu hijakthis, il messaggio iniziale della connessione di rete rimane sempre!
Che p@lle!!

[Foxlady]

il log di hijackthis è il seguente:



Logfile of HijackThis v1.97.7
Scan saved at 13.35.22, on 16/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\System32\sm56hlpr.exe
C:\WINDOWS\helpw.exe
C:\WINDOWS\languard.exe
C:\Documents and Settings\PC\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {31EAE8A1-2A3D-68F9-3DB0-C6D6F9F7A215} - C:\WINDOWS\System32\apphejp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [helpw] "helpw.exe"
O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
O4 - HKLM\..\Run: [DigiD] "C:\WINDOWS\DigitalSound.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

[Foxlady]

ho controllato il log col tool di hijackthis e rimosso una voce pericolosa. Che faccio con quelle sconosciute?

[Foxlady]

aspetto vostri suggerimenti...

[wgator]

Ciao,

dovresti localizzare sul tuo hard disk questi due file:

C:\WINDOWS\System32\apphejp.dll
C:\WINDOWS\helpw.exe

Poi metti la spunta con hijackthis su queste voci e premi FIX

O2 - BHO: (no name) - {31EAE8A1-2A3D-68F9-3DB0-C6D6F9F7A215} - C:\WINDOWS\System32\apphejp.dll
O4 - HKLM\..\Run: [helpw] "helpw.exe"

Dopo fai un nuovo log con questa versione di hijackthis, tu ne hai usata una vecchia

[jackal6]

ti do un consiglio,scarica kaspersky,rimuove anche i dialer

[Foxlady]

allora il problema del reindirizzamento autimatico ad un'altra connessione lìho risolto eliminando tramite hijackthis alcuni log pericolosi.

[Foxlady]

per quanto riguarda il messaggio iniziale della connessione di rete ho individuato la causa attraverso il trask manager.
Si tratta di un file caricato all'avvio e residente in system32
di nome RASAUTOU.exe, nella cui descrizione riporta la dicitura REMOTE ACCESS DIALER, proprio come sospettavo.
Il fatto è che adaware e spyboot non lo rilevano!!!
Comunque l'ho cancellato manualmente con le rispettive voci di registro ma si rigenera da solo!
Appena lo cancello si ricrea!
Caz@O!
Come devo fare?
ciao

[wgator]

Quote:

Originariamente inviato da Foxlady
...file caricato all'avvio e residente in system32
di nome RASAUTOU.exe, nella cui descrizione riporta la dicitura REMOTE ACCESS DIALER, proprio come sospettavo.
Il fatto è che adaware e spyboot non lo rilevano!!!
Comunque l'ho cancellato manualmente con le rispettive voci di registro ma si rigenera da solo!
Appena lo cancello si ricrea!
Caz@O!
Come devo fare?
ciao

Ciao,

lascia stare rasautou.exe che nonostante il brutto nome è un file di sistema. Non è lui il colpevole. Si rigenera (per fortuna) perchè è un file protetto

Se hai un dialer, esso sfrutta rasautou.exe per connettersi.

Se hai altri problemi, posta un nuovo log che vediamo cos'è rimasto

[Foxlady]

Quote:

Originariamente inviato da wgator
Ciao,

dovresti localizzare sul tuo hard disk questi due file:

C:\WINDOWS\System32\apphejp.dll
C:\WINDOWS\helpw.exe

Poi metti la spunta con hijackthis su queste voci e premi FIX

O2 - BHO: (no name) - {31EAE8A1-2A3D-68F9-3DB0-C6D6F9F7A215} - C:\WINDOWS\System32\apphejp.dll
O4 - HKLM\..\Run: [helpw] "helpw.exe"

Dopo fai un nuovo log con questa versione di hijackthis, tu ne hai usata una vecchia

attendo un tuo consiglio

[Foxlady]

Quote:

Originariamente inviato da wgator
Ciao,

lascia stare rasautou.exe che nonostante il brutto nome è un file di sistema. Non è lui il colpevole. Si rigenera (per fortuna) perchè è un file protetto

Se hai un dialer, esso sfrutta rasautou.exe per connettersi.

Se hai altri problemi, posta un nuovo log che vediamo cos'è rimasto

ok, questo l'ho fatto adesso:



Logfile of HijackThis v1.98.2
Scan saved at 13.32.23, on 17/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\System32\sm56hlpr.exe
C:\WINDOWS\languard.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programmi\HijacThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: apphejp - {31EAE8A1-2A3D-68F9-3DB0-C6D6F9F7A215} - C:\WINDOWS\System32\apphejp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
O4 - HKLM\..\Run: [DigiD] "C:\WINDOWS\DigitalSound.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097943903125

[Foxlady]

comunque quel file che mi hai detto di cancellare apphejp.ddl ,non me lo fà rimuovere
ne ho uno uguale sempre in system32 con l'estensione .dat

[wgator]

Ciao,

a quanto risulta dal log ti è rimasto questo Browser Helper Object(potrebbe essere un dialer):

Ti converrebbe cercare quella apphejp.dll e distruggerla.

Dopodichè metti la spunta con hijackthis su questa voce e premi fix:

O2 - BHO: apphejp - {31EAE8A1-2A3D-68F9-3DB0-C6D6F9F7A215} - C:\WINDOWS\System32\apphejp.dll

[Foxlady]

Quote:

Originariamente inviato da wgator
Ciao,

a quanto risulta dal log ti è rimasto questo Browser Helper Object(potrebbe essere un dialer):

Ti converrebbe cercare quella apphejp.dll e distruggerla.

Dopodichè metti la spunta con hijackthis su questa voce e premi fix:

O2 - BHO: apphejp - {31EAE8A1-2A3D-68F9-3DB0-C6D6F9F7A215} - C:\WINDOWS\System32\apphejp.dll

il file sìimile con l'estensione .dat???

[Foxlady]

Quote:

Originariamente inviato da wgator
Ciao,

a quanto risulta dal log ti è rimasto questo Browser Helper Object(potrebbe essere un dialer):

Ti converrebbe cercare quella apphejp.dll e distruggerla.

Dopodichè metti la spunta con hijackthis su questa voce e premi fix:

O2 - BHO: apphejp - {31EAE8A1-2A3D-68F9-3DB0-C6D6F9F7A215} - C:\WINDOWS\System32\apphejp.dll

non me lo fà rimuovere. File gà in uso da un altro utente o programma.

[Foxlady]

up

[wgator]

ciao,

hai provato da modalità provvisoria?

[Foxlady]

Quote:

Originariamente inviato da wgator
ciao,

hai provato da modalità provvisoria?

no, non è che corro il richio di danneggiare irreparabilmente windows eliminando quel file?

[wgator]

Ciao,

se cancelli quello (e solo quello) non danneggi nulla, togli solo una schifezza