Aiuto: Ho un virus stranissimo si chiama (Dialer)

[Michelatreb]

buongiorno a tutti!
Vi scrivo per la mia prima volta, per un problema al mio personal computer.
allora premettendo che ho un antivirus avg, e 2 antispam di qui .... spyterminapor e avg antispam, mi son presa un virus chiamato

CATEGORIA:

Dialer.

TIPO VIRUS: W32/ADialer

poi mi dice che si trova in

RISORSE= C:/WINDOWS/fTgCtpmt.exe

Ma la cosa strana e che questo virus entra solo quando mi collego ad internet circa dopo 40 secondi, ho cercato di eliminarlo in tutti i modi ma questo virus si riforma sempre.
ci sarà un modo per eliminarlo?
spero che voi mi potete aiutare perchè le ho provate tutte ma nulla da fare. Grazie Michela.

[raffree]

Quote:

Originariamente inviato da Michelatreb

buongiorno a tutti!
Vi scrivo per la mia prima volta, per un problema al mio personal computer.
allora premettendo che ho un antivirus avg, e 2 antispam di qui .... spyterminapor e avg antispam, mi son presa un virus chiamato

CATEGORIA:

Dialer.

TIPO VIRUS: W32/ADialer

poi mi dice che si trova in

RISORSE= C:/WINDOWS/fTgCtpmt.exe

Ma la cosa strana e che questo virus entra solo quando mi collego ad internet circa dopo 40 secondi, ho cercato di eliminarlo in tutti i modi ma questo virus si riforma sempre.
ci sarà un modo per eliminarlo?
spero che voi mi potete aiutare perchè le ho provate tutte ma nulla da fare. Grazie Michela.

Non è un virus ma uno spyware che cerca di collegarsi ad un altra connessione. Scaricati spybot search&destroy e fai una scansione.

[Michelatreb]

grazie per aver risposto ma io ho scaricato quel programma ma non mi trova nulla, anzi ha trovato deggli elemennti, poi spengo in pc riavvio mi collego e dinuovo il virus.

[ania]

Quote:

Originariamente inviato da Michelatreb

grazie per aver risposto ma io ho scaricato quel programma ma non mi trova nulla, anzi ha trovato deggli elemennti, poi spengo in pc riavvio mi collego e dinuovo il virus.

Ciao Michela, e benvenuta sul forum.
Io -se fossi in te- proverei a seguire le indicazioni ed i suggerimenti che Eraser ha scritto in questo thread:
http://www.hwupgrade.it/forum/showthread.php?t=1142673
Prima di chiedere aiuto: COMPORTAMENTO DA SEGUIRE

Cerca di mettere in atto tutte le procedure suggerite nel thread che ti ho indicato, e poi, se al termine pensi di avere ancora un problema, posta un logfile di Hijack This nel thread dedicato.

Le infezioni come le si prende, le si debella, è solo questione di tempo, pazienza e tenacia, quindi non ti perdere d'animo e mettiti all'opera.

La guida scritta da Eraser è molto chiara e precisa, l'unico aggiustamento/revisione è che attualmente non scaricherai più Ewido, bensì AVG-antispyware da qui:
http://www.grisoft.cz/filedir/inst/a...p-7.5.0.50.exe

ma se hai dubbi su come procedere ed hai bisogno di chiarimenti e spiegazioni, chiedi pure
ciao

[raffree]

Prova a fare una scansione online con bitdefender.
Quale sistema operativo hai? C'è l'hai il service pack2?

[Michelatreb]

siete gentilissimi nelle risposte adesso provo ania come dici tu,
pak2 credo di averlo istallato sai ma non sono sicura dove posso vedere?

[wizard1993]

Quote:

Originariamente inviato da Michelatreb

siete gentilissimi nelle risposte adesso provo ania come dici tu,
pak2 credo di averlo istallato sai ma non sono sicura dove posso vedere?

contralla se hai il firewall di win

[raffree]

Quote:

Originariamente inviato da Michelatreb

siete gentilissimi nelle risposte adesso provo ania come dici tu,
pak2 credo di averlo istallato sai ma non sono sicura dove posso vedere?

Per vedere se hai il service pack 2 bast che vai sul pannello di controllo e vedi se c'è scritto "Centro Sicurezza Pc"; se c'è scritto vorrà dire che c'è l'hai

[Michelatreb]

si ho scritto centro sicurezza pc e mi dice che tutto attivo.
come faccio a mettere il risultato della scansione fatta con HiJackThis ?
grazie ancora per i sugerimenti

[ania]

Quote:

Originariamente inviato da Michelatreb

come faccio a mettere il risultato della scansione fatta con HiJackThis ?
grazie ancora per i sugerimenti

Salvi , e poi copi ed incolli all'interno di un tuo post qui sul forum il logfile che viene elaborato al termine della scansione di Hijack this.
Il logfile di HJT è un documento di testo che apri con il blocco note, salvi il contenuto, lo copi, lo incolli nel tuo post, poi qualcuno di esperto, lo analizzerà e ti dirà come procedere ulteriormente.

ciao

[Michelatreb]

ok grazie ecco il mio risultato, io non ne capisco nulla. cosa riscontrate?
grazie ancora per un altro passo eseguito da voi.

Logfile of HijackThis v1.99.1
Scan saved at 13.00.21, on 01/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\RocketDock\RocketDock.exe
D:\emule\eMule\eMule.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\Dany\Desktop\Nuova cartella\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"
O4 - Startup: My Vodafone.it.lnk = C:\Documents and Settings\Dany\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C5D92A5-18ED-4F07-9466-72FC61BA35BB}: NameServer = 85.37.17.51 85.38.28.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{6C5D92A5-18ED-4F07-9466-72FC61BA35BB}: NameServer = 85.37.17.51 85.38.28.97
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

[ania]

Quote:

Originariamente inviato da Michelatreb

ok grazie ecco il mio risultato, io non ne capisco nulla. cosa riscontrate?

Logfile of HijackThis v1.99.1
Scan saved at 13.00.21, on 01/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Io non sono ancora esperta ma analizzando il tuo logfile, ma non ci vedo nulla di anomalo.
Hai un sistema operativo con regolare licenza, aggiornato alle ultime patchs di sicurezza, come browser usi IE 7, come antivirus hai installato AVG antivirus, usi anche Spybot S&D, Windows defender, spyware terminator, inoltre, fai uso di eMule come software di p2p, l'unico programma che non conoscevo è RocketDock , ma da quello che ho trovato con Google, dovresti averlo installato tu per tua scelta e perchè ti sarà utile.

Immagino che RocketDock sia questo software, giusto ?
http://news.swzone.it/swznews-19978.php

Quote:

O17 - HKLM\System\CCS\Services\Tcpip\..\{6C5D92A5-18ED-4F07-9466-72FC61BA35BB}: NameServer = 85.37.17.51 85.38.28.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{6C5D92A5-18ED-4F07-9466-72FC61BA35BB}: NameServer = 85.37.17.51 85.38.28.97

Ho un dubbio su questi valori, ma solo tu puoi sapere se questi DNS corrispondono ai DNS del tuo Provider , oppure no.

Comunque, aspetta un parere più autorevole, che il mio vale davvero poco, purtroppo.

Se davvero il logfile è pulito, allora, penso che bisogna cercare qualcosa che HJT non riesce a cogliere, cioè un eventuale rootkit.
ciao

[raffree]

Quote:

Originariamente inviato da ania

Io non sono ancora esperta ion questa analisi, ma non ci vedo nulla di anomalo.
Hai un sistema operativo con regolare licenza, aggiornato alle ultime patchs di sicurezza, usi AVG antivirus, Spybot S&D, Windows defender, spyware terminator, fai uso di eMule, l'unico programma che non conoscevo è RocketDock , ma da quello che ho tovato con Google, dovrestiaverlo installato tu per tua scelta e perchè ti sarà utile,





Ho un dubbio su questi vaolori, ma solo tu puoi sapere se questi IP corrispondono alla tua rete locale oppure no.

Comunque, aspetta un parere più autorevole, che il mio vale davvero poco.
ciao

Anche il ho il dubbio di questi IP però in attesa di qualcuno + esperto ti consiglio di fare una scansione online con bitdefender o kaspersky

[Michelatreb]

ok grazie mille aspetto allora dei pareri siete gentilissimi

[ania]

Eventualmente potresti postare il logfile anche nel thread ufficiale di HJT
http://www.hwupgrade.it/forum/showth...1#post16580311
così , qualcuno di esperto porebbe vederlo prima, e risolvi la cosa in tempi più brevi.
Metti anche un link a questo thread, così, sapranno quale è il tuo problema
ciao

[raffree]

Il link di hijackthis è http://www.hwupgrade.it/forum/showthread.php?t=937676

[Michelatreb]

non so cosa siano quelle cose comq se mi aiutate a capire se posso eliminarli o cosa.

[ania]

Quote:

Originariamente inviato da Michelatreb

non so cosa siano quelle cose comq se mi aiutate a capire se posso eliminarli o cosa.

NON DEVI ASSOLUTAMENTE cancellare quei valori, perchè molto probabilmente , ANZI DIREI CERTAMENTE sono semplicemente i DNS del tuo provider.
Si cancella qualcosa solo quando si ha la certezza assoluta che è correlato ad un malware.

[Michelatreb]

grazie mille vedamo nella mia attesa cosa succede se metto anche il post dove avete detto voi io non sono espertissima di pc grazie.

[raffree]

Si ma nel frattempo fai anche una scansione online