Dialer semi keylogger

[kwb]

E' da poco che il mio PC si è preso un dialer.
Ovviamente ho l'adsl e pertanto il dialer prova a creare una connessione per 56, io ovviamente impedisco.
Il problema è che appena apro HiJack This me lo chiude di colpo, appena scrivo, ad esempio, da esegui Hijack This mi chiude explorer.
Quando vengo sul forum mi chiude FF automaticamente.

Questo dialer me lo sono preso più di una volta e semplicemente per risolvere, aprivo il taskmanager e eliminavo un pò di processi sospetti, tra cui vi era quello del dialer.
Ebbene... dopo un mese lo "sviluppatore" deve aver "potenziato" il suo dialer, tale che ora riesce anche a nascondere il suo processo.
Pertanto non riesco in alcun modo ad aprire Hijack this.

Ho già provato in modalità provvisoria e non cambia nulla, il dialer continua nella sua opera!

Ora mi chiedo, c'è un tool di rimozione per questo sconosciuto dialer del quale nemmeno conosco il nome.

Inoltre, a cosa potrebbe essere dovuto il fatto che continuo a contrarre sempre lo stesso dialer? Ho circa 6 pc in casa e proprio su quello server, con le maggiori protezioni, ho contratto questo programmino malefico....


Come posso risolvere?


Spero di essere stato chiaro nell'esplicare il problema

Grazie, in anticipo, per l'aiuto

Kwb

[KingOfTheDark]

antivirus e antispyware non rilevano nulla?

[kwb]

Quote:

Originariamente inviato da KingOfTheDark

antivirus e antispyware non rilevano nulla?

Spyware terminator --> Niente
Spybot Search & Destroy --> Niente
A-Sqaured Free Anti-Malware --> Niente
AVG Anti-Spyware --> Niente
Avast! Antivirus --> Niente

Ho provato anche il kit di gromozon, ma aveva sintomi completamente diversi, cmq sia, il kit diceva di aver rimosso qualcosa, mha!

Il problema persiste...!

[matteo1]

prova questo:
http://z-oleg.com/avz4en.zip
scarica,scompatta,aggiorna,avvia

[kwb]

Quote:

Originariamente inviato da matteo1

prova questo:
http://z-oleg.com/avz4en.zip
scarica,scompatta,aggiorna,avvia

Niente, viene chiuso subito appena avviato!

[matteo1]

allora prova in dos:
http://www.f-prot.com/download/home_...oad_fpdos.html
scarica le firme qui:
http://updates.f-prot.com/cgi-bin/get_randomly?fp-def
http://updates.f-prot.com/cgi-bin/get_randomly?macrdef2
estrai la cartella f-prot dos e copiaci dentro le definizioni(le definizioni devi scompattarle).

[kwb]

Le firme a che servono?

[matteo1]

ad aggiornare l'antivirus

[kwb]

Quote:

Originariamente inviato da matteo1

ad aggiornare l'antivirus

OK con un antispyware dimenticato da Dio ho scoperto che è successo un patatrac:
Mi sono preso gromozon, poi è presente un certo NetRatings, che non ho la + pallida idea di cosa sia ( a me interessa eliminare il coso che mi chiude HiJack, di gromozon me ne infischio!! ).
Morale della favola, ho beccato 2 piccioni con una fava, credo..., spero... almeno.

Ora vedo se riesco a risolvere, altrimenti passo alla storia del dos.
Ma come faccio a far partire DOS al posto di XP?

[matteo1]

f-prot dos si avvia anche da windows,basta fare doppio click sull'exe;
mi raccomando nella stessa cartella di f-prot devi mettere le firme scompattate.

[kwb]

Quote:

Originariamente inviato da matteo1

f-prot dos si avvia anche da windows,basta fare doppio click sull'exe;
mi raccomando nella stessa cartella di f-prot devi mettere le firme scompattate.

OK capo!

Cmq sia, giusto per rassicurarmi, ho visto che casino combina gromozon, ho adsl, firefox con adblock, no script e altri accorgimenti vari.

Sono all'incirca al sicuro?

[amantide]

Apri il task manager (Ctrl+Alt+Canc(Del)) e cerca un processo strano che ha nel nome le parole tipo toshiba, norton, lexmark, eccoti qualche esempio
toshiba-tool.exe
symantecnetwork.exe

Termina questo processo e fai la scansione con Hijackthis. A questo punto HJT dovrebbe funzionare e potrai postare qui il suo log.

[kwb]

Quote:

Originariamente inviato da amantide

Apri il task manager (Ctrl+Alt+Canc(Del)) e cerca un processo strano che ha nel nome le parole tipo toshiba, norton, lexmark, eccoti qualche esempio
toshiba-tool.exe
symantecnetwork.exe

Termina questo processo e fai la scansione con Hijackthis. A questo punto HJT dovrebbe funzionare e potrai postare qui il suo log.

Ripeto, questo dialer l'avevo già contratto tempo fa e x eliminarlo facevo così
Ora, xo', il dialer nasconde il processo, quindi non riesco ad eliminarlo!!

[amantide]

Quote:

Originariamente inviato da kwb

Ripeto, questo dialer l'avevo già contratto tempo fa e x eliminarlo facevo così
Ora, xo', il dialer nasconde il processo, quindi non riesco ad eliminarlo!!

Apri il registro di sistema (Start--> Esegui--> scrivi regedit), tramite espansione delle schede arriva fino alla chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon e nella scheda a destra trova la voce UserInit. Fai il doppio click sopra, nella riga Dati valori ci dev'essere un valore che inizia con C:\WINDOWS\system32\userinit.exe,. Se dopo questa riga si trovano i nomi degli altri file, annota il loro nome ed il percorso e prova ad eliminarli con l'aiuto di AGVPFIX.

P.S. Fai attenzione a non eliminare nulla nel registro.

[kwb]

Quote:

Originariamente inviato da amantide

Apri il registro di sistema (Start--> Esegui--> scrivi regedit), tramite espansione delle schede arriva fino alla chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon e nella scheda a destra trova la voce UserInit. Fai il doppio click sopra, nella riga Dati valori ci dev'essere un valore che inizia con C:\WINDOWS\system32\userinit.exe,. Se dopo questa riga si trovano i nomi degli altri file, annota il loro nome ed il percorso e prova ad eliminarli con l'aiuto di AGVPFIX.

P.S. Fai attenzione a non eliminare nulla nel registro.

Ho trovato temporaneamente una soluzione: killare il processo explorer.exe e far partire tutto dal taskmanager, così facendo hijack va!
Questo è il log:

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 21.42.15, on 13/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\taskmgr.exe
F:\WINDOWS\system32\svchost.exe
C:\Programmi\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 87.117.202.117 nprotect.roseonlinegame.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - F:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O4 - HKLM\..\Run: [ATICCC] "F:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] F:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "F:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [PrevxOne] "F:\Programmi\Prevx1\PXConsole.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programmi\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\crashrep.exe
O4 - Global Startup: LG SyncManager.lnk = C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
O8 - Extra context menu item: Scarica con il Wizard di LeechGet - file://C:\Programmi\LeechGet 2006\\Wizard.html
O8 - Extra context menu item: Scarica con LeechGet - file://C:\Programmi\LeechGet 2006\\AddUrl.html
O8 - Extra context menu item: Scarica pagina con LeechGet - file://C:\Programmi\LeechGet 2006\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programmi\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programmi\Java\jre1.5.0_08\bin\npjpi150_08.dll
O23 - Service: Adobe LM Service - Adobe Systems - F:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - F:\Programmi\iPod\bin\iPodService.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - F:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe

In user init non c'e' nulla dopo la virgola!

[kwb]

Up?

[amantide]

Quote:

Originariamente inviato da kwb

Up?

Hai fatto benissimo ad uppare la discussione, purtroppo a volte qualcuna mi sfugge.
Allora, nel log di Hijackthis non si vede nulla e quindi mi servirebbe qualche altro log per poter scoprire di cosa si tratta.

Scarica Systemscan, estrailo ed avvialo. Spunta tutte le voci e clicca su Scan. A scansione terminata trova in C:\suspectfile il file report.txt, comprimilo in un archivio ed allegalo qui.

Fai anche la scansione con Kaspersky online ed allega qui il report della scansione.