Win32/ADialer...non riesco ad eliminarlo.aiuto!!!!!!!!!

[Zilloboch]

Win32/ADialer...non riesco ad eliminarlo.aiuto!!!!!!!!!

--------------------------------------------------------------------------------

Ciao a tutti,vi chiedo aiuto perche non so piu dove sbattere la testa.
E' da un po di giorni che appena accendo il pc e provo a connettermi ad internet,vengo disconnesso dopo una decina di secondi e windows defender mi riconosce un virus chiamato: Win32/ADialer nella cartella di window.
Eliminato questo file (che è un esecutibile)tramite windefender per poter riconnettermi ad internet devo andare a modificare un parametro della connessione ad internet in proprietà e protezione,selezionando dal menù a cascata "consenti password non protetta" altrimenti non riesco più a connettermi alla rete.
Ho notato dopo vari tentativi che questo è un parametro gia settato di defoult quando viene creata una nuova connessione.
Il problema è pero che nonostante win defender mi riesca a rimuovere l'esecutibile,ogni volta che mi connetto alla rete dopo aver avviato il pc compare un altro file (sempre un .exe) ma tutte le volte con un nome diverso,e tutte le volte sono nuovamente da capo.
Ho provato a fare scansioni con antivirus(avast 4.7 pro) e con adaware e spyboat search and destroy,ma nessuno mi riconosce problemi,ho provato anche con registry meccanic,ma anche cosi non riesco a risolvere il problema.
Spero che voi abbiate una soluzione perchè non so proprio più come fare.
Grazie in anticipo per la vostra disponibilità


Zilloboch
Visualizza profilo pubblico
Invia un messaggio privato a Zilloboch
Invia e-mail a Zilloboch
Altri messaggi di Zilloboch
Aggiungi Zilloboch alla lista degli utenti amici

Ieri, 16:35 #2
Bugs Bunny
Senior Member




Iscritto dal: Aug 2005
Messaggi: 996 fai una scansione con avg antispyware dopo aver disabilitato ripristino conf di sistema,comunque devi scrivere qui:

http://www.hwupgrade.it/forum/forumdisplay.php?f=125
__________________
Cae modello "Avanzo di lamiera"(in arrivo aerocool aeroengine II)|A64 3000+ 2 GHz s754|SAPPHIRE RADEON X800GTO2|512 MB ddr Cosrair XMS|hd wd 80 gb 7200 rpm sata|Enermax 460W|-ASUS K8N4-E(bruciata )|
Raffeeddamento a liquido by Ybris is coming soon

Scusa la mia ignoranza ma come faccio a disabilitare il ripristino della configurazione di sistema?

[ania]

Quote:

Originariamente inviato da Zilloboch

Scusa la mia ignoranza ma come faccio a disabilitare il ripristino della configurazione di sistema?

Ciao
per disabilitare il ripristino di configurazione di sistema procedi come segue:

1_portati con il puntatore del mouse sull'icona "risorse del computer",
2_click dx, nel menu a tendina che si apre, seleziona "proprietà" ,
3_ti apparirà la finestra "Proprietà del sistema",
4_click sn su "ripristino configurazione di sistema"
5_metti la spunta su "disattiva ripristino configurazione di sistema su tutte le unità"
6_poi, seleziona "applica"
7_poi,seleziona "ok".

Questa procedura annullerà tutti i punti di ripristino precedentemente salvati, quando sarai sicuro di avere di nuovo un sistema integro e pulito, vale a dire , dopo tutte le scansioni di pulizia, e dopo avere "risanato il tuo sistema dai malwares" , provvederai ad abilitare nuovamente il ripristino di configurazione di sistema, e fisserai tu stesso un nuovo punto di ripristino.

ciao !!!

[Zilloboch]

allora..ho provato a disattivare il ripristino configurazione del sistema e a fare scansioni complete anche con avg anti spyware(12 ore) e ccleaner ma niente,il dialer è ancora presente......

[ania]

Quote:

Originariamente inviato da Zilloboch

allora..ho provato a disattivare il ripristino configurazione del sistema e a fare scansioni complete anche con avg anti spyware(12 ore) e ccleaner ma niente,il dialer è ancora presente......

Ciao,
talora ci si trova ad avere a che fare con dei rootkit che sono vettori di altri malware , non sarebbe poi così raro se nel tuo caso il problema primitivo fosse un rootkit che potrebbe avere anche funzionalità di dialer, o che potrebbe essere stato vettore di un dialer sul tuo pc.

In pratica, tu vedi la punta dell'iceberg, che è appunto il dialer, ma in realtà, il problema non lo risolvi fino a chè non vai a fondo della cosa, e sveli il 90 % dell'iceberg che è sommerso , cioè il root kit .

Spero che l'esempio sia utile a capire un pò quella che è la mia idea.

Se dopo avere fatto tutte le scansioni con antivirus ed antimalware vari, in modalità provvisoria, e con il ripristino di configurazione disabilitato, ci sono ancora i sintomi di una infezione, allora passerei ai software antirootkit, come ad esempio :

Gmer
http://www.gmer.net/gmer.zip

Sophos anti root kit
http://www.sophos.com/support/cleaners/sarsfx.exe

Black light anti root kit di F secure
https://europe.f-secure.com/exclude/blacklight/fsbl.exe

AVg anti-root kit
http://free.grisoft.com/doc/5390#avg-anti-rootkit-free

Se non hai ancora postato un logfile di Hijack This, è ora di postarlo.

ciao!!!

[c.m.g]

prova a fare quanto segue: entra in questo percorso c:\windows\Downloaded Program Files e cancella tutto il contenuto, ma non la cartella.
poi cancella il contenuto anche di queste cartelle: c:\windows\Downloaded Installations e anche c:\windows\Offline Web Pages

riavvia e fammi sapere se hai lo stesso problema.

[Zilloboch]

per c.m.g:
ho provato a svuotare completamente le cartella che mi dicevi tu anche se c:\windows\Downloaded Installations non è presente,ho riavviato ma nulla di fatto,ti ringrazio cmq per il tentativo

ora provo anche come mi ha detto Ania

[ania]

Quote:

Originariamente inviato da Zilloboch

per c.m.g:
ho provato a svuotare completamente le cartella che mi dicevi tu anche se c:\windows\Downloaded Installations non è presente,ho riavviato ma nulla di fatto,ti ringrazio cmq per il tentativo

ora provo anche come mi ha detto Ania

Ciao,
c'è un altro anti root kit di cui si parla molto bene, e che ho dimenticato di linkarti prima, è l'anti-rootkit messo a punto da Panda.

Ecco la guida, anche se è un pò datata, perchè si riferisce alla release precedente del software, comunque, leggendola capirai come usarlo :

http://www.pandasoftware.com/downloa...c/en/whnjs.htm

io comincerei da questo, leggi la guida prima di usare il software.

Ecco il link per scaricarlo:

http://research.pandasoftware.com/bl...ntiRootkit.zip


Infine , ecco un'ottima guida a Gmer

http://www.pcalsicuro.com/main/guida-a-gmer/

leggila bene prima di usare il software.

Inoltre, leggi anche il primo post di questo thread :
http://www.hwupgrade.it/forum/showthread.php?t=1372589
"Gmer ed analisi dei suoi logs "

perchè qualora ti venisse l'idea di postare un logfile di Gmer, ( anche se credo sia molto arduo riuscire a trovare qualcuno capace di analizzarlo allo stato attuale delle cose su questo forum ), dovresti postare il logfile usando la funzione CODE, come è ampiamente e chiaramente descritto nel thread che ti ho linkato, nel primo post.


ciao!!!

[Zilloboch]

ora purtroppo devo tornare a lavorare,ma stasera continuo a lavorarci e ti ringrazio per la disponibilità e cortesia,però tu mi hai anche detto di postare il logfile di Hijack This...cos'è e come si ottiene? e in che sezione dovrei postarlo?

scusate la mia ignoranza

grazie ancora

[ania]

Quote:

Originariamente inviato da Zilloboch

ora purtroppo devo tornare a lavorare,ma stasera continuo a lavorarci e ti ringrazio per la disponibilità e cortesia,però tu mi hai anche detto di postare il logfile di Hijack This...cos'è e come si ottiene? e in che sezione dovrei postarlo?

scusate la mia ignoranza

grazie ancora

Vai a questo link:

http://www.trendsecure.com/portal/en...hijackthis.php

scarica Hijack this e scompattalo in una cartella a lui espressamente dedicata , ad esempio in C:\Programmi.

Il programma è stand alone, non richiede cioè installazione.

Leggi le FAQ , e la guida al software che trovi nelle stesse pagine che ti ho linkato, poi posta un logfile, cioè il file che viene restituito dal software dopo che hai eseguito la scansione.
Le FAQ e e la guida sul sito di Trend micro sono in inglese, visto che non so come te la cavi con l'inglese ti linko anche qualcosa in italiano.

Altrimenti, una guida in italiano molto chiara è questa che è stata scritta per MegaLab da crazy.cat , anche se si riferisce alla precedente release del software.
http://www.megalab.it/articoli.php?id=453

un altra guida in italiano è questa :
http://www.ilsoftware.it/articoli.asp?ID=2459

Una volta ottenuto il logfile di HJT, dovrai postarlo qui:
http://www.hwupgrade.it/forum/showth...9#post16695349
HiJackThis [Official Thread]

magari metti il link a questo thread quando lo posterai, così chi lo analizzerà, potrà leggere il "tuo storico."

ciao!!!

[c.m.g]

fai una scansione on line col bitdefender http://www.bitdefender.com/scan8/ie.html, sembra che questo antivirus riesca ad aliminare questa minaccia.

[ania]

Quote:

Originariamente inviato da Zilloboch

allora..ho provato a disattivare il ripristino configurazione del sistema e a fare scansioni complete anche con avg anti spyware(12 ore) e ccleaner ma niente,il dialer è ancora presente......

@Zilloboch
in merito all'uso di CCLEANER ti rimando alla lettura di questo thread :
http://www.hwupgrade.it/forum/showthread.php?t=1449312
perchè indipendentemente dal titolo che purtroppo il thread in questione ha -ahimè- quasi inverosimilmente assunto, e cioè :
"ripulitura trollaggio"

nel contesto di quel thread troverai un paio di miei post nei quali viene spiegato come modificare una delle impostazioni di default del software quando viene installato.

ciao!!!!

[wizard1993]

una cosa; ma qui il log di hijackthis nhon lo ha chiesto nessuno

[Zilloboch]

@wizard 1993...ma che ho fatto di sbagliato scusa?

[lucas84]

Quote:

Originariamente inviato da Zilloboch

@wizard 1993...ma che ho fatto di sbagliato scusa?

Niente, stai tranquillo
Se vuoi fare un ulteriore controllo, scarica Hijackthis da qui:
http://www.trendsecure.com/portal/en...ackThis_v2.exe
Esegui il file HiJackThis_v2.exe, accetta la licenza, clicca sul 1° pulsante, finito la scansione si aprirà il block notes, seleziona tutto il contenuto e fai un copia e incolla nella tua risposta.

Ciao

[wizard1993]

Quote:

Originariamente inviato da Zilloboch

@wizard 1993...ma che ho fatto di sbagliato scusa?

niente; fai come detto sopra di me

[Zilloboch]

allora...ho provato a fare una scansione on-line con BitDefender come mi suggeriva c.m.g,dopo 17 ore di scansione mi ha rilevato 2 virus,eliminati,ma il problema è ancora presente.

ho provato gli antirootkit di panda,avg,f-secure,gmer e saphos come suggeriva Ania.
solamente quello di panda e saphos mi riconoscono dei rootkit che vengono definiti tutti unknown tranne uno(hidden registry key),mentre con gli altri niente...

ho postato il log di gmer:

http://www.hwupgrade.it/forum/showth...8#post16720838

e di HiJackThis:

http://www.hwupgrade.it/forum/showth...1#post16720975

spero vivamente che qualcuno possa risolvere il mio problema

Grazie in anticipo...

[ania]

Quote:

Originariamente inviato da Zilloboch

ho provato gli antirootkit di panda,avg,f-secure,gmer e sophos come suggeriva Ania.
solamente quello di panda e sophos mi riconoscono dei rootkit che vengono definiti tutti unknown tranne uno(hidden registry key),mentre con gli altri niente...

Ciao,
per quanto concerne il software anti-rootkit di Panda, quelli che vengono identificati come unknown items non vengono eliminati in automatico dal software, nè puoi scegliere tu di eliminarli, devi inviare il report ai PandaLabs, affinchè i PandaLabs possano analizzare i files.
ciao!!!

[lucas84]

Ciao, gentilmente, posta il log generato da panda, basta che a fine scansione clicchi su "Advance report" e clicchi su export csv, apri il log e lo posti facendo un copia e incolla, ho visto di sfuggiata i tuoi logs mi pare che non ci sia niente di strano oltre le voci segnalate da Ania.
Penso che le voci segnate da panda, non siano dannose ma si riferiscano alle chiavi e files installati da demon tools o alchool, per il malware, penso che sia quello con le labbra rosse come ultimo controllo scarica questo file sul desktop
http://noahdfear.geekstogo.com/FindAWF.exe
Esegui il file, si apre una finestra dos, premi invio per continuare, finito tutto si aprirà il block notes, seleziona tutto il contenuto e fai un copia e incolla nella tua risposta

Scarica SystemScan
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile il file report.txt.
Vai su www.easy-share.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo.

Grazie

Ciao

[Zilloboch]

come richiesto da Lucas84..

report di panda:

PATH ROOTKIT_NAME HIDDEN INT2E_MODIFIER MSR_MODIFIER REGISTRY_KEY REGISTRY_VALUE REGISTRY_HIDDEN PROCESS_COMMANDLINE PROCESS_HIDDEN SDT_FUN_NAME EAT_OBJECTIVE EAT_FUN_NAME IRP_DRIVER IRP_FUNCTION IDT_ID IDT_TYPE
C:\WINDOWS\system32\drivers\atapi.sys FALSE FALSE FALSE SYSTEM\CurrentControlSet\Services\atapi ImagePath FALSE
report di findAWF:


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

mentre questo è il link per scaricare il report di SystemScan:

http://w13.easy-share.com/992216.html

granzie per la disponibilità

ciao

[lucas84]

Ciao, gentilmente, analizza questi 2 files(uno alla volta) su questo sito
http://www.virustotal.com/vt/
questi i files
C:\WINDOWS\SYSTEM32\ATLDOM.DLL
C:\WINDOWS\SYSTEM32\PPSAPPS.DLL

e posta il responso.

Ciao