Dialer e affini... come rimuoverli definitivamente ?

[dani&l]

Dunque al lavoro uno dei pc è affetto da un dialer, il quale una volta tolto, cancellato dal disco e tolto dal registro l'avvio automatico, ricompare ogni volta in internet si usi un motore di ricerca.

Ho provato con Spyware & destroy, il quale mi trova alcuni coockies, ma una volta rimossi il fattaccio succede ancora.
Adesso stò provando con Ad-Aware.....

Nessuno ha suggerimenti ???

Ovviamente ho la versione aggiornata del Norton Antivirus Corporate ... ma non mi trova niente (molto probabilemte i dialer e simili non vengono considerati virus...)

[dani&l]

.... Anche AD-Aware mi ha rimosso alcune cose ma il problema si è ripresentato, ho fatto una ricerca in internet, ho chiuso l'exlorer e come per magie è apparso il dialer di connessione....

Ovviamente nessuno di quell'ufficio sà come sia iniziato tutto questo

[amvinfe]

Dettagli sul nome dell'eseguibile trovato nei registri?

Marco(amvinfe)

[dani&l]

L'eseguibile è "vietato.exe".

[Bilancino]

Quote:

Originally posted by "dani&l"

L'eseguibile è "vietato.exe".

vedo che frequenti certi siti..........

Ciao

[dani&l]

Quote:

Originally posted by "Bilancino"




vedo che frequenti certi siti..........

Ciao

Purtroppo è un PC di un ufficio, e io mi occupo della gestione dei PC...quindi qualcuno si diverte e a me tocca rimediare !!!

[Bilancino]

Quote:

Originally posted by "dani&l"



Purtroppo è un PC di un ufficio

perchè se era tuo invece.............porcellone........

Ciao

[dani&l]

Quote:

Originally posted by "Bilancino"



perchè se era tuo invece.............porcellone........

Ciao

Non mi facevo sgamare ig:

[Lebowski]

ok, a parte le considerazioni sui codici morali del padrone del pc posseduto, ho un amico che ha lo stesso problema Siete liberi o meno di crederci, ovviamente resta il fatto che non riesco in nessun modo a tirare via quel coso maledetto. Ricerca veloce su Google di vietato.exe mi ha dato un risultato sconfortante.

[dani&l]

Stò diventando matto. Ho scoperto che nei file temporanei di windows il file vietato.exe si trasforma in base alla ricerca che metti nel motore di ricerca. Esempio se in virgilio cerco pippo, nei temporanei mi trovo un pippo.exe con la stessa icona di vietato.exe

E' una cosa frustrante, stò cercando nel registro di windows nelle conf. di explorer in quanto credo che abbia lavorato a livello di Internet Explorer....

HELP !

[amvinfe]

Prova a guardare anche in queste chiavi se trovi riferimenti a vietato.com

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Search_URL


HKEY_USERS\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_USERS\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_USERS\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_USERS\Software\Microsoft\Internet Explorer\Main\Default_Search_URL

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL

Marco(amvinfe)

[amvinfe]

Da come si comporta ho un mezzo sospetto.
Ci puoi elencare quali voci hai in
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices


Marco(amvinfe)

[dani&l]

Quote:

Originally posted by "amvinfe"

Da come si comporta ho un mezzo sospetto.
Ci puoi elencare quali voci hai in
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices


Marco(amvinfe)

Dunque nei registri precedenti riguardante Internet explore, ho trovato nelle chiavi "Start Page" e "Search Bar" degli indirizzi strani (tipo www.ne.sp01.com/AAAABDGSHDGYKJKDJSHDDH..... etc..) , ho provato a mettere un indirizzo presente su un'altro pc (www.it.msn.com/access/allinone.htm), ma non è cambiato nulla.

Nella ".../Run" ho:
scanregw.exe
taskmon.exe
systray.exe
rundll32.exe powrprof.dll,LoadCurrentPwrScheme
atiptaxx.exe
point32.exe
vptray.exe (norton)
WINUPD.EXE
REGCPM32.EXE
windfind.exe
msosa.exe

[amvinfe]

Quote:

Originally posted by "dani&l"



Dunque nei registri precedenti riguardante Internet explore, ho trovato nelle chiavi "Start Page" e "Search Bar" degli indirizzi strani (tipo www.ne.sp01.com/AAAABDGSHDGYKJKDJSHDDH..... etc..) , ho provato a mettere un indirizzo presente su un'altro pc (www.it.msn.com/access/allinone.htm), ma non è cambiato nulla.

Nella ".../Run" ho:
scanregw.exe
taskmon.exe
systray.exe
rundll32.exe powrprof.dll,LoadCurrentPwrScheme
atiptaxx.exe
point32.exe
vptray.exe (norton)
WINUPD.EXE
REGCPM32.EXE
windfind.exe
msosa.exe

Come sospettatvo windfind.exe è sicuramente un trojan (dasmin), dammi un attimo di tempo per vedere gli altri. Comincia con lo scaricare il tool per la rimozione lo trovi all'URL
http://www.nod32.it/home/home.htm
"Preleva cleaner gratuiti"
è il terz'ultimo. Poi come detto dammi tempo per gli altri non ho avuto ancora modo di leggerli, mi è subito saltato all'occhio windfind.exe

Marco(amvinfe)

[amvinfe]

regcpm32.exe anche lui è un trojan, sempre dasmin

Marco(amvinfe)

[amvinfe]

WINUPD.EXE anche lui sempre dasmin

Marco(amvinfe)

[dani&l]

GRAZIE , provvedo e verifico!

[dani&l]

Purtroppo il cleaner non mi trova niente, io comunque ho eliminato le chiavi (dalla modalità provvisoria in quanto se ero in windows le rimetteva al volo), ho fatto una prova di ricerca in internet ma vietato.exe si è reinstallato di nuovo.

Nel registro comunque mi sono trovato solo il vietato.exe nuovo, gli altri non compaiono +.

[Lord style]

amvinfe come fai partendo dai nomi degli eseguibili che si trovano nel task manager a verificare e capire che applicazioni sono?

Usi un motore di ricerca specifico?

Vorrei verificare anch'io quello che mi gira in background.
Per esempio ho un eseguibile che si chiama smss.exe che è sempre in run: probabilmente sarà qualche trojan

[amvinfe]

smss.exe => session manager subsystem ed è una componente leggima. Ma esiste anche un worm (WORM_LADEX.A) che aggiunge nella chiave
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
il valore smss.exe = %System%\SMSS.exe
Devi verificare se quello che hai tu è legittimo o meno

Per quanto riguarda la mia conoscenza o meno degli eseguibili in esecuzione automatica, in parte mi aiuta la memoria, in parte perchè ho fatto un tutorial, in costante aggiornamento, che mi/ci aiuta a verificare se l'eseguibile è legittimo o meno. E poi c'è sempre Papà Google


Marco(amvinfe)
P.S.
Se t'interessa il tutorial lo trovi QUI