Aiuto un dialer mi ha incasinato!!!!

[Rastakhan]

Quote:

Originariamente inviato da lancetta

hei hei calma! Ti ringrazio per il "grande",comunque adesso urgentemente devi andare in C:\WINDOWS cercare questo file e cancellarlo di corsa:"w32dbg.exe" (se non ci riesci prova in provvisoria)poi scansione dopo aver disabilitato il ripristino config di sistema (se non sai come fare vedi QUI link) con kaspersky (la quale durerà alcune ore la prima volta è normale),installa QUESTO
e fai fare una scansione anche a lui, dopodichè scarica HIJACKTHIS lo decomprimi in una cartella sua lo avvii clicca su "Do a system scan and save a logfile" ti rilascia un log (file di testo)lo copi ed incolli qui...adesso a fare i compiti e fammi sapere
Ciao

-Cercato w32dbg.exe anche in modalità provvisoria e con autorizzazione da Administrator ma niente,non c'è.
-Ripristino configurazione di sistema ancora disabilitato.
-Intallato Kaspersky,il quale mi ha fatto disinstallare Avast perchè ritenuto incompatibile;
L'ho settato con una guida di "nV 25" trovata su questo forum,credo sia partito in modalità automatica e non ha rilevato niente,devo aggiornarlo se posso e se non mi riesce fuori il DIALER.(sono super spaventato)
-Appena posso installo le altre due applicazioni che mi hai consigliato e ti posto il log di Hijackthis.
Tu comunque puoi postare altro se vuoi.
Questo pomeriggio sono sarò super incasinato!
FERIEEEEE AIUTOOOOOO!!!!!

[lancetta]

innanzitutto non perdere la calma (eppoi "sto comme o'pazzo" pure io per le ferie ) guareda in regedit se hai anche questo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe se c'è stesso procedimento dell'altro.....poi fai fare anche una scansione a QUESTO citaz:

Quote:

Eseguire il file VNLTxxxx.EXE (xxxx indica la versione del software) seguendo le indicazioni a video;

Procedere all'aggiornamento delle firme e/o del motore direttamente da Vir.IT eXplorer Lite premendo sul pulsante della parabola. Per i successivi aggiornamenti il software opererà in automatico quanto sarà attiva la connessione ad internet;

Per la rimozione di virus e malware è consigliabile procedere dalla modalità provvisoria.

credo dovrebbe risolverti il problema
Naturalmente aggiorna prima tutti i soft in questione.
Piccola nota:lo sò che tutta sta roba spaventa un pò però purtroppo succede così nei casi di multinfezione un pò di pazienza OK ?

fammi sapere ciao

[wizard1993]

Quote:

Originariamente inviato da lancetta

innanzitutto non perdere la calma (eppoi "sto comme o'pazzo" pure io per le ferie ) guareda in regedit se hai anche questo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe se c'è stesso procedimento dell'altro.....poi fai fare anche una scansione a QUESTO citaz: credo dovrebbe risolverti il problema
Naturalmente aggiorna prima tutti i soft in questione.
Piccola nota:lo sò che tutta sta roba spaventa un pò però purtroppo succede così nei casi di multinfezione un pò di pazienza OK ?

fammi sapere ciao

io non credo; su un pc ho la pro, fa veramente piangere

[lancetta]

sarà ma mi identifica alcune dll malefiche e le cancella in modo automatico anche se io di solito faccio a manina (se ho pazienza)però nel caso di Rastakhan che non è molto esperto.....meglio fare così..non credi?

Saluti

[wizard1993]

Quote:

Originariamente inviato da lancetta

sarà ma mi identifica alcune dll malefiche e le cancella in modo automatico anche se io di solito faccio a manina (se ho pazienza)però nel caso di Rastakhan che non è molto esperto.....meglio fare così..non credi?

Saluti

ho provato a fargli togliere clicker ma non è riuscito nemmeno a terminarlo, ho provato a fargli togliere l'eicar mentre il file era aperto con word e ha fallito, ho provato con gromozon non l'ha nemmeno visto, si fa disattivare dai virus; antivirus pessimi si, ma questo probabilmente fa a gara con l'avg per il podio

[lancetta]

strano l'ho usato su vari pc con gromozon e il problema l'ha risolto per quanto riguarda clicker stessa cosa però con anche interventi manuali ed altri soft...
Quello che voglio dire è usare più di qualche soft per estirpare le multinfezioni non esiste un unica cura per tutti i mali (magari! sarebbe la pancea di tutto) Poi ognuno ha le sue esperienze. Una mia personale:appena usci il gromozon che infettava i file wmf, mi fù bloccato da AVAST!!! e all'epoca non c'era ancora la famosa patch windows,e ancora sempre avast ieri mi ha eliminato il trojan tenga con la scansione all'avvio su di un pc...eperienze diverse

Saluti

[wizard1993]

Quote:

Originariamente inviato da lancetta

strano l'ho usato su vari pc con gromozon e il problema l'ha risolto per quanto riguarda clicker stessa cosa però con anche interventi manuali ed altri soft...
Quello che voglio dire è usare più di qualche soft per estirpare le multinfezioni non esiste un unica cura per tutti i mali (magari! sarebbe la pancea di tutto) Poi ognuno ha le sue esperienze. Una mia personale:appena usci il gromozon che infettava i file wmf, mi fù bloccato da AVAST!!! e all'epoca non c'era ancora la famosa patch windows,e ancora sempre avast ieri mi ha eliminato il trojan tenga con la scansione all'avvio su di un pc...eperienze diverse

Saluti

io ne ho avuta una pessima con il tg soft; poi questione fi gusti

[Rastakhan]

Cari lancetta e wizard1993,buona Domenica,ora sto scannerizzando il sistema con Kaspersky attivato(30gg) e aggiornato(ho anche aggiornato Ewido,Super SpyW.,SpyB.,Adware,senza che il/i dialer/s si sono mostrati(fortuna?).
Vi lascio passare una buona giornata,mentre io faccio i "compiti",alla fine di tutto vi posto il log e i risultati delle varie scansioni.
Ho eliminato anche "iexplore.exe",un mio appunto:
prima che eliminassi explorer.exe e iexplore.exe il collegamento sul desktop di IE non mi funzionava più e mi dava l'errore "(null)" non trovato,adesso si riavvia senza problemi,ma credo che questa sia la volta buona per utilizzare Firefox every day,e credo,anzi sono sicuro che anche OE farà la stessa fine sostituito da Tunderbird.
Qualche suggerimento per la squadra di sicurezza da adottare su questa macchina(è il pc di mio padre,non il mio che è sotto osservazione) dalla quale vi sto postando in questo momento?
Ho Avast! , Spybot e AdWare con il firewall di XP.

P.S.:come faccio a fare una scansione completa del pc con Kaspersky?vi chiedo ciò perchè mentre sto scannerizzando il pc (dopo aver selezionato i vari dischi,documenti,ecc.)l'icona nella barra veloce d'avvio(quella vicino l'orologio)mi avverte che non è stata ancora fatta una scansione completa del pc!?!?

Di nuovo Grazie.

[lancetta]

sull'appunto:il malware si era sostituito ai processi leggittimi se hai riavviato il pc (e penso proprio di si l'avrai spento no?)e il dialer non si è presentato già è un buon segno ,però dobbiamo portare a termine la pulizia quindi,continua con le scansioni,poi penseremo alla messa in sicurezza del pc mi raccomando fai girare tutto il parco soft che qualcosa già penso si sia pulito dobbiamo levare tutti i residui, eppoi posta i log.

Saluti

[Rastakhan]

Buona giornata,ieri ho fatto delle scansioni con i vari SW's.

-Karspersky:non ha trovato infezioni,ma mi diceva che non era stata fatta ancora una scansione completa del pc; poi ho fatto fare una scansione a "Risorse del computer",anche qui senza rilevare alcun che.

-SuperAntiSpyware: Registry Items Detected 1

-Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 18.07.13, on 08/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOCUME~1\millo\IMPOST~1\Temp\Directory temporanea 1 per hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /M "Stylus DX4800" /EF "HKCU"
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Anti-virus web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe

-VirIT Explorer lite: 0 infezioni.

-Ewido:
TrackingCookie.Msn,selezionandolo appare :
:Mozilla.37:C:\doc&settings\millo\dati applicazioni\mozilla\firefox\profiles\5wagxz97.default\cokies.txt
:Mozilla.38:C:\doc&settings\.......\cokies.txt
:Mozilla.39:C:\.....\cokies.txt
TrackingCookie.Imrworldwide
:Mozilla.40:C:\....cokies.txt

-Spybot:NULLA

-AdWare:NULLA

-Ora siccome ho Kaspersky,SuperAntiS.,VirIT,Ewido nelle applicazioni ad esecuzione automatica(vicino Orologio),con Kasp. e SuperA. che iniziano a scannerizzare il sistema appena avviato(una richiesta di risorse e un rallentamento non da poco anche se il mio 2600M gira a 2205Mhz e ho 1Gb di CorsairXXL)vorrei sapere se si può fare qualcosa o si deve optare per altra configurazione SW's in difesa.

-Altra domandina,che credo rientri sempre in campo sicurezza,esiste su questo forum o su altro un pacchetto di aggiornamenti per XP Pro?
Ora mi appresto ad andare a lavoro,ci si rilegge stanotte.
Ciao.

[juninho85]

Quote:

Originariamente inviato da Rastakhan

O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe

dovrebbe essere legittimo,però meglio farlo scansionare qui
hai provato a vedere il contenuto della cartella "downloaded program files" sotto windows?

[lancetta]

Allora...sembra sia tutto a posto solo da fixare questa:

Quote:

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

(hai avuto spyware doctor nel passato vero?) per quanto riguarda il pc puoi tranquillamente disinstallare virit (anche se io lo terrei magari disabilitando l'avvio allo start del pc,poichè scaduta la trial però ti indica i percorsi di eventuali virus anche se non li cura quindi tutto manualmente..),per superantispyware (da tenere sempre!) fai così lo avvii poi preferences-->Start up options e disabiliti la spunta a "Start superantispy when windows start" così che non si avvia quando accendi il pc e lo usi solo on demand,per quanto riguarda ewido lo disinstallerei e mi scaricherei avg antispyware (che è la stessa cosa solo più aggiornato)il quale dopo 30 gg disattiva la protezione in real time,(ma io l'ho disattivata subito),e lo usi sempre on demand,prenderei in considerazione l'acquisto di kaspersky,me se non vuoi spendere o ti risulta pesante puoi anche installare "active virus shield" che è la versione depotenziata del kasper ma ottima e free oppure "antivir p.e." leggero e free lo stesso,installa un firewall che quello di widows è un cagata ti consiglierei "comodo" free, se proprio ti riesce difficile (è in inglese ed inizialmente un pò complicato da configurare,però nel sito del soft c'è il forum in italiano) metti "Zone alarm" che è più o meno valido lo stesso per navigazione home e "tranquilla".Installa anche ccleaner da QUI oppure se vuoi uno stand alone che comunque pulisce il pc va bene anche ATF Cleaner da QUI
Avvia ATF Cleaner
(Firefox selezionale dal menu in alto)
metti la spunta su "Select All" per ogni browser
e clicca su "Empty Selected" per pulire coockie e temporanei (che sono quelli che ti hanno trovato le scansioni,nulla di pericoloso) e sopratutto naviga sempre con account user (senza privilegi di sistema) e non admin.E sopratutto cervello!!! il miglior antivirus sei tu! Per il resto leggiti qualche tread in sezione per capire un pò meglio altre situazioni (tipo hips, sandbox ecc...)così che tu possa prendere altre decisioni in autonomia per la sicurezza del tuo pc.


Saluti

[Rastakhan]

Juninho85 come faccio a farlo scansionare dove dici tu?

Allora lancetta,per quanto riguarda il Karspersky(prima avevo l'Avast! ma sono rimasto esterefatto davanti la sua debolezza nei confronti del dialer,e dunque credo di volerlo cambiare)avrei un paio di domandine:
Cosa vuol dire fixare questa?
Ho letto,non ricordo se su questo forum e proprio in una guida al programma in questione,che una volta acquistata la licenza gli aggiornamenti sono per sempre,è vero?
Sempre da quelle parti(credo che era scritto nella guida di "nV 25",ma non me ne voglia se mi sbaglio)ho letto che c'è un'opzione per interrompere la scansione automatica quando si accede ad una applicazione,ma non l'ho trovata,mi sai dire come fare?
Altra cosetta,non ho capito la storia del "account user",me la spiegheresti in dettaglio,e diresti come procedere?
Ciauz.

[juninho85]

Quote:

Originariamente inviato da Rastakhan

Juninho85 come faccio a farlo scansionare dove dici tu?

nulla...abiliti la possibilità di vedere i file nascosti e dai tu una controllata al contenuto di quella cartella

[Rastakhan]

Quote:

Originariamente inviato da juninho85

nulla...abiliti la possibilità di vedere i file nascosti e dai tu una controllata al contenuto di quella cartella

Scusami,sono un pò di coccio ma di sicurezza informatica nisba,mi spiegheresti in dettaglio?ho anche scaricato dalla pagina che mi hai linkato.

Un buon antidialer?

[juninho85]

Quote:

Originariamente inviato da Rastakhan

Scusami,sono un pò di coccio ma di sicurezza informatica nisba,mi spiegheresti in dettaglio?ho anche scaricato dalla pagina che mi hai linkato.

Un buon antidialer?

allora...vai su pannello di controllo/opzioni cartella/visualizzazione/visualizza cartelle e file nascosti.
ora ti porti al percorso c:\windows\downloaded program files e controlli cosa c'è dentro

[Rastakhan]

Juninho85,dentro c:\windows\downloaded program files ci sono 4 files Java runtime environment,due 1.5.0 e due 1.6.0 e tutti e quattro con punto esclamativo giallo;un Java Runtime Envionment 1.6.0 con iconcina normale,un Shockwave Flash Object con iconcina normale.
Ma io mi riferivo al
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exeche se ho capito bene mi hai consigliato di farlo scansionare al link che mi haiallegato,come?

Per lancetta,ho disabilitato l'avvio in automatico quando si avvia Win a SuperS.,però non sono riuscito a disabilitare l'automatico di Virit,mi spieghi come fare?
Inoltre mi daresti una esatta squadra per la sicurezza del pc?
E' vero quello che ho letto sulla licenza di Kaspersky?
Grazie ad entrambi.

[juninho85]

Quote:

Originariamente inviato da Rastakhan

Juninho85,dentro c:\windows\downloaded program files ci sono 4 files Java runtime environment,due 1.5.0 e due 1.6.0 e tutti e quattro con punto esclamativo giallo;un Java Runtime Envionment 1.6.0 con iconcina normale,un Shockwave Flash Object con iconcina normale.

ok,tutto nella norma

Quote:

Originariamente inviato da Rastakhan

Ma io mi riferivo al
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exeche se ho capito bene mi hai consigliato di farlo scansionare al link che mi haiallegato,come?

vai a questo,indirizzo,clicchi su "sfoglia" e selezioni il file da verificare,dunque clicchi su "send".
aspetta che compaia la dicitura "finished",la scansione potrebbe durare diversi minuti

[Rastakhan]

Ok lo farò(adesso sono sull'altro pc).
Per settare gli eventuali sw posso seguire le guide del forum?
Ecco dove ho letto della licenza di Kaspersky vita natural durante(in grassetto).
http://www.hwupgrade.it/forum/showthread.php?t=1388845
Ciauz.

[lancetta]

ciao Rastakhan allora la storia dell aggiornamento a vita, riguarda le versioni del kasper ma non la licenza,mi spiego:metti che hai acquistato la licenza del kasper versione 6,se in corso di licenza durante l'anno viene rilasciata la vers 7 ,hai diritto all'upgrade di versione gratuitamente...chiaro? per quanto riguarda il navigare da user ti rimando a questo link http://support.microsoft.com/kb/279783 e a questo per capire a che serve http://www.pcalsicuro.com/main/2007/...dellantivirus/
del buon eraser,e ancora questo http://sicurezza.html.it/articoli/st...i-del-browser/ anche una occhiata a questa discussione http://www.hwupgrade.it/forum/showthread.php?t=1154863 dove si possono fare ulteriori modifiche.Per la messa in sicurezza http://www.hwupgrade.it/forum/showthread.php?t=1337681 tread del buon juninho85 e questo di nV 25 altro autorevole esperto http://www.hwupgrade.it/forum/showthread.php?t=1064733..... e lo sò c'e da studiare ma sempre meglio che smadonnare poi....

Saluti