|
|||||||
|
|
|
 |
|
|
Strumenti |
25-04-2005, 14:50
|
#1 |
|
Member
Iscritto dal: Oct 2000
Messaggi: 224
|
Un DIALER inattaccabile... HELP!
Sono sempre costretto a chiedere aiuto agli amici di questo forum e spesso siete stati preziosi ma questa volta sono pessimista...
Un virus... un maledetto virus (dialer maligno) non riesco a togliere.. In pratica si comporta così: mentre sei collegato ti si scollega e immediatamente senza gradire tue conferme cerca di riconnettersi con un accesso remoto pseudo-truffaldino.. A quanto pare inutile è stato avere le Norton 2004 aggiornate e SpyBot in linea! Il virus (un dialer maligno) si riposiziona ogni volta sia nell'accessi remoti (uw1G3tR) e sia con un file (ucfdt.exe) nella directory window\system\shelltext. A nulla serve cancellare il file exe suddetto..si ricrea ogni volta ... Non si contano le scansioni effettuate con Norton antirus (sembra trovarlo e eliminarlo ma si ricrea automaticamente in seguito), né con SpyBot e né con Ad-Aware 1.05 tutti aggiornati con le ultime definizioni... Come posso fare per eliminare questo "simpaticone" ? Agire con REGEDIT ? Ma come? Ancora una volta ...AIUTO! Ultima modifica di nando59 : 25-04-2005 alle 14:53. |
|
|
|
25-04-2005, 15:14
|
#2 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
Serve un log di Hijackthis ....... non esiste un tool per la rimozione automatica.
Occorre lavorare a mano ciao |
|
|
|
|
25-04-2005, 15:22
|
#3 |
|
Member
Iscritto dal: Aug 2004
Città: Modena
Messaggi: 141
|
prova con un altro antivirus
come quelli gratuiti sono avg e antivir.
se puoi vuoi spendere bene i tuoi soldi prendi nod32: in settimana ho messo a posto due pc infettati da dialer usando spybot e questo pacchetto. e' uno dei migliori av in circolazione.
__________________
Il cammino dell' uomo timorato è minacciato da ogni parte dalle iniquita' degli esseri egoisti e dalla tirannia degli uomini malvagi. - "Where do you live, Simon?" - "I live in the sick and wounded, doc." |
|
|
|
|
25-04-2005, 16:06
|
#4 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Roma
Messaggi: 2870
|
usa kaspersky se non lo rimuovi con questo la vedo dura!
|
|
|
|
|
25-04-2005, 22:53
|
#5 | |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
Quote:
|
|
|
|
|
|
26-04-2005, 00:27
|
#6 | |
|
Senior Member
Iscritto dal: May 2002
Città: (VI)
Messaggi: 1497
|
Quote:
Hai disabilitato il ripristino di sistema di windows?
__________________
X2 250@3ghz, 4 gb ddr800, hd6870 |
|
|
|
|
|
26-04-2005, 09:34
|
#7 |
|
Member
Iscritto dal: Oct 2000
Messaggi: 224
|
Vi ringrazio innanzitutto ma per me è dura non essendo io, nel campo antivirus, alla vostra altezza in quanto finora mi ero affidato alle NAV in automatico...e basta..
Allora, ricapitolando: Hijackthis (spero di capirne il funzionamento) e cercherò di darvi il log relativo. Mi sono scaricato Kspersky vers. 5.0.x ma mi sorge un dubbio... ho già le NAV 2004 installate.. avrò conflitti ? Poi per mcatk... Mi dici "Hai disabilitato il ripristino di sistema di windows?" Forse ti riferisci a XP? Infatti (ho mancato prima di dirvelo, chiedo scusa..) ho WINDOWS 98 SE e quindi non riesco a capire che cosa intendi nel caso.. Insomma... ovviamente vi dirò gli sviluppi in base ai vostri primi consigli ma voi NON mi lasciate solo... Per la complessità dei dati e programmi del mio pc è tragico per me pensare al formattone..  
|
|
|
|
|
26-04-2005, 10:03
|
#8 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
98se NON HA IL RISPRISTINO.
Il ripristino è solo per ME e XP. Aspettiamo il log. ciao |
|
|
|
|
26-04-2005, 10:06
|
#9 |
|
Senior Member
Iscritto dal: May 2002
Città: (VI)
Messaggi: 1497
|
aspettiamo il log
__________________
X2 250@3ghz, 4 gb ddr800, hd6870 Ultima modifica di mcatk : 26-04-2005 alle 10:08. |
|
|
|
|
26-04-2005, 10:38
|
#10 |
|
Member
Iscritto dal: Oct 2000
Messaggi: 224
|
Va bene. Il log lo potrò mandare solo nel primo pomeriggio. Un'altra cosa. In attesa ho letto nel manuale del Kaspersky.AntiVirus.Personal.5.0.142 che è praticamente obbligata la disinstallazione delle NAV 2004. E' così, vero? Mi consigliate di farlo?. Poi quando rimetterò le NAV 2004 dovrò far rifare tutti i lunghi processi di aggiornamento (definizioni, programmi ecc.)... Ma dove falliscono le NAV 2004 (aggiornate con file defizione virus 22.04.2005) funzionerà Kaspersky?
E poi la domanda importante: Da come vi ho descritto questo dialer-virus la sua eliminazione è da PRG antivirus o PRG spyware. Insomma qual'è il programma deputato al suo individuamento e eliminazione ? Un antivirus come le NAV 2004 oppure un antispyware come SpyBot o AD-Aware 1.05 ? Io li ho usati tutti e falliscono tutti... |
|
|
|
|
26-04-2005, 10:47
|
#11 | |
|
Senior Member
Iscritto dal: May 2002
Città: (VI)
Messaggi: 1497
|
Quote:
Non c'è un programma che risolva tutto, in questi casi si interviene manualmente sperando di risolvere  , hai provato qualche scansione on-line? hai provato con avast?
__________________
X2 250@3ghz, 4 gb ddr800, hd6870 |
|
|
|
|
|
26-04-2005, 10:58
|
#12 | |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
Quote:
I prodotti che tu hai citato sono stranieri e, forse per questo, non è giunta loro ancora nessuna notizia. Questa però è solo la mia opinione. Comunque è necessario capire che nome ha il dialer. Ho trovato un consiglio postato giusto ieri che allego: io, forse, ho risolto il problema. ho fatto così: 1 - ho eliminato la sconnessione 2 - ho cercato e quindi cancellato il programma ucfdt.exe 3 - nella cartella windows c'è un file che si chiama dd.dll 4 - odinando per data il contenuto della cartella windows, dovrebbero esserci altri 2 file con data ed ora uguali a quella di dd.dll 5 - ho cancellato tutti e tre i file 6 - dd.dll nn me lo faceva cancellare xchè usato da altri e l'ho cancellato usando una vecchia versione del norton commander che lavora in dos; chi nn ha il norton commander, può provare ad avviare windows in modalità provvisiria e quindi cancellarlo |
|
|
|
|
|
26-04-2005, 13:56
|
#13 | |
|
Senior Member
Iscritto dal: May 2004
Città: Monte Argentario (GR)
Messaggi: 4445
|
Quote:
Installa e tieniti kasperski, è il migliore
__________________
Corsair Icue 5000D - Intel i7 12700KF - Corsair Icue H100i Elite - Mb Asus Prime Z690P Wifi - 32 gb Corsair Vengeance 6000 Cl 30 DDR5 - Gigabyte RTX 4080 Windforce - Soundblaster X4 - WIN11Pro@Crucial P5plus Nvme Gen4 1000 gb - 2X Crucial BX500 2Tb + Seagate Barracuda 8Tb - Evga Supernova GQ 1000 - Oculus Rift S - MSI GP66 Leopard 10UH 284IT - OriginID: Zegreat Steam ID: ZegreatFC - Manteniamo le distanze dal monitor! |
|
|
|
|
|
26-04-2005, 17:25
|
#14 |
|
Member
Iscritto dal: Oct 2000
Messaggi: 224
|
ECCO IL LOG:
Logfile of HijackThis v1.99.1 Scan saved at 17.16.48, on 26/04/05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\PDESK.EXE C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\WINAGENT.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMMI\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\SHELLEXT\UCFDT.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\WINDOWS\SYSTEM\DDHELP.EXE C:\00\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = +s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = +s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = +s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\Programmi\Copernic 2000\Search Bar.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = +s R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = +s R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.libero.it R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\DD.DLL O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SvcH0st] C:\WINDOWS\winagent.exe /i O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe" O4 - Startup: vpsched.lnk = C:\Programmi\Matrox - Strumenti video\vpsched.exe O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Ricerca utilizzando Copernic - file://C:\Programmi\Copernic 2000\Search Extension.htm O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Programmi\Copernic 2000\Copernic.exe O9 - Extra 'Tools' menuitem: Avviare Copernic - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Programmi\Copernic 2000\Copernic.exe O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Programmi\Copernic 2000\Copernic.exe O9 - Extra button: Traduci - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Programmi\Copernic 2000\Translate.htm O9 - Extra 'Tools' menuitem: &Traduci utilizzando Gist-In-Time - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Programmi\Copernic 2000\Translate.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE O12 - Plugin for .qt: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .vbs: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll Per quanto riguarda la scorciatoia dedicata indicatami prima sarebbe troppo bello a prima vista.. Non ho fatto ancora niente ... Aspetto consigli da voi.. Piuttosto gli altri due file indicati in C:\windows oltre dd.dll (stessa data e ora) c'è solo dd.exe e l'altro file con la stessa ora di dd.dll non lo vedo ... e allora ? |
|
|
|
|
26-04-2005, 17:41
|
#15 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
Direi che ne manca un pezzo....... di report
|
|
|
|
|
26-04-2005, 19:26
|
#16 |
|
Member
Iscritto dal: Oct 2000
Messaggi: 224
|
Non capisco.. BleuPix.. Non ho fatto altro che incollare l'intero contenuto del "log" che il programma ha creato (ho lanciato l'opzione scan e crea file log). Quale report manca ?
|
|
|
|
|
27-04-2005, 17:28
|
#17 |
|
Member
Iscritto dal: Oct 2000
Messaggi: 224
|
Ok, va bene.. Sviluppo della situazione:
Il consiglio su dd.dll. ecc. sembra ottimo a riguardo e con l'aiuto anche del scan + fix di Hijackthis l'odioso dialer SEMBRA essere stato zittito ma staremo a vedere e vi farò sapere.. Piuttosto anticipo uno strano comportamento subentrato subito dopo di cui posterò anche a parte: Spybot sembra non aggiornarsi più bene.. mi spiego. Per la prima volta a parità di settaggi e hardware che avevo fino a poche ore fa qaundo vado a scaricare gli aggiornamenti di SpyBot (per esempio le importantissime rules) aalcuni passano regolarmente altri come le menzionate verso la fine del download vengono segnate come errore con il messaggio "checksum errato"... Provato altre volte e l'interruzione con questo messaggio si ripropone in punti diversi poi passa oltre e scarica correttamente altre cose e altre non con il "checksum errato"... CHE SUCCEDE ? |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 21:00.
