[win XP] Non riesco a rimuovere in nessun modo un Dialer

[marcelproust]

Salve ragazzi, ho un problema che non riesco proprio a risolvere.
Quando Navigo utilizzando internet explorer, mi si aprono delle finiestre con pagine hard o dedicate a pubblicità di vario tipo (es, il pc è infetto scarica questo software etc.)
Questo mi succede solo quando navigo con explorer, non con rirefox ad esempio).
Ho provato diversi antivirus, ma quasi tutti non mi hanno rilevato nulla!!!
Solo Kapersky mi ha indicato che c'è qualcosa, ma non c'è alcun modo per eliminare la minaccia; in un report di questo antivirus mi indicano che è presente
questo dialer: not a virus- Porn-Dialer.Win32.EgroupDial.af
Ho provato anche spybot, ma mi dice che è tutto ok.
Non so proprio come risolvere il problema.
Io utilizzo windows Vista home premium 64bit.
Qualcuno può darmi una mano? Grazie infinite

[murack83pa]

ciao,
fai le scansioni con i programmi della la guida alla disinfezione e posta qui i log richiesti con la funzione allegati (rinomina prima il log in formato .txt) oppure li carichi sul sito www.zshare.net e copi qui il link x il download
a presto
ciao

[marcelproust]

Ho fatto la scansione online e e altre procedure richieste.
Se non ho capito male, devo allegare qui i file txt dei report?
Per ora allego quello della scansione online.. poi posterò gli altri.
Fatemi sapere, grazie infinite a tutti!!!

[marcelproust]

ecco l'altra scanzione. ho dovuto zipparla perchè il txt era troppo grande.

[murack83pa]

x favore, nn la zippare: caricala sul sito www.zshare.net e copia qui il link x il download
grazie della collaborazione
un altra cosa: sarebbe meglio, che seguissi la guida nell'ordine indicato....grazie

[marcelproust]

questo è il report dello scan con Hijakthis

[murack83pa]

un attimo
stai facendo un po di confuzione: quest'ultimo nn è il log di hiajckthis....

[marcelproust]

Quote:

Originariamente inviato da murack83pa

x favore, nn la zippare: caricala sul sito www.zshare.net e copia qui il link x il download
grazie della collaborazione
un altra cosa: sarebbe meglio, che seguissi la guida nell'ordine indicato....grazie

ok.. questo è il link della scansione

http://www.zshare.net/download/63372298ffcdaa/

pedonami per l'ordine sbagliato.

Manca ancora qualcosa da fare?

[marcelproust]

Quote:

Originariamente inviato da murack83pa

un attimo
stai facendo un po di confuzione: quest'ultimo nn è il log di hiajckthis....

ho eseguito queste istruzioni:

chi possiede "win Vista" deve seguire questa procedura: aprire HiJackThis poi cliccare "open the misc tools section" andare in "open ads spy" levare la spunta a "quick scan" e infine avviare la scansione clickando sul tasto "scan".
nel log di questo programma potrebbero apparire dati riferiti a siti visitati, a files scaricati e altri dati legati alla navigazione su internet pertanto è discrezione dell'utente se rendere pubblico il log o tenerlo riservato per sè stessi


E il log che mi viene fuori è questo. Salvo il txt cosi com'è.. dove sbaglio?

[murack83pa]

ok, giusto
ricapitoliamo il tutto:
1- il ripristino configurazione sistema è disattivato? deve esserlo fino a che nn rimuoviamo l'infezione
2-scansione ads....ok, l'hai fatta
3- scansione asquared in deep scan, ha rilevato 2 file, li hai messi in quarantena?
4- devi fare la scansione con prevx csi e allega il log (vai su options e save log) questo programma nn rimuove nulla, quindi nn scaricare la versione a pagamento x rimuovere i file infetti
5-scansione on line, l'hai fatta e ha trovato lo stesso di asquared
6- da fare scansione con hijackthis
7- da fare scansione con gmer

x favore fai le scansioni in questo ordine
ciao

[marcelproust]

Quote:

Originariamente inviato da murack83pa

ok, giusto
ricapitoliamo il tutto:
1- il ripristino configurazione sistema è disattivato? deve esserlo fino a che nn rimuoviamo l'infezione
2-scansione ads....ok, l'hai fatta
3- scansione asquared in deep scan, ha rilevato 2 file, li hai messi in quarantena?
4- devi fare la scansione con prevx csi e allega il log (vai su options e save log) questo programma nn rimuove nulla, quindi nn scaricare la versione a pagamento x rimuovere i file infetti
5-scansione on line, l'hai fatta e ha trovato lo stesso di asquared
6- da fare scansione con hijackthis
7- da fare scansione con gmer

x favore fai le scansioni in questo ordine
ciao

1- Fatto, ripristino disattivato
2-ok
3- Messi in quarantena file indicati
4-Fatto, ecco il link dove è uppato: http://www.zshare.net/download/633793213dde3e/


5_ok

6-Fatto, ecco link : http://www.zshare.net/download/633798223f92f4/


7-Non riesco a far partire correttamente gmer, mi da un messaggio di errore nei driver. Forse incomptibile con vista premium a 64bit che ho installato.
Poi mi si apre una finestra del programma con diversi processi, ma non trovo assollutamente il tasto SCAN come indicato nella guida

[murack83pa]

allora
fixa (= cancella) questa voce ( che probabilmente era il virus)

Quote:

O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

credo siano da fixare anche queste

Quote:

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

strano che gmer nn giri, dovrebbe girare su vista,
e fai una nuova scansione con hijackthis

edit:sto cercando un programma antirootkit x vista,alternativo a gmer...ripeto è sospetta sta cosa...

[marcelproust]

Quote:

Originariamente inviato da murack83pa

allora
fixa (= cancella) questa voce ( che probabilmente era il virus)


credo siano da fixare anche queste


strano che gmer nn giri, dovrebbe girare su vista,
e fai una nuova scansione con hijackthis

edit:sto cercando un programma antirootkit x vista,alternativo a gmer...ripeto è sospetta sta cosa...

devo andare manualmente sul percorso indicato C: etc, e cancellare manualmente il file?

[murack83pa]

no: rifai la scansione con hijackthis, selezioni le voci che ti ho indicato e clicca sul pulsante fixa (in basso) e poi riposta un nuovo log di hijackthis
riprova con gmer a fare la scansioni...al limite dalla modalità provvissoria

EDIT: questa voce

Quote:

C:\Users\Proprietario\AppData\Local\mdcaafwvms.exe

fai analizzare quel file su www.virustotal.com
un altra cosa: scarica ccleaner (qui) seguendo queste brevi indicazioni:
clicca sulla icona di Setup, si avvierà il Wizard di installazione; una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

[marcelproust]

Quote:

Originariamente inviato da murack83pa

no: rifai la scansione con hijackthis, selezioni le voci che ti ho indicato e clicca sul pulsante fixa (in basso) e poi riposta un nuovo log di hijackthis
riprova con gmer a fare la scansioni...al limite dalla modalità provvissoria

EDIT: questa voce

fai analizzare quel file su www.virustotal.com
un altra cosa: scarica ccleaner (qui) seguendo queste brevi indicazioni:
clicca sulla icona di Setup, si avvierà il Wizard di installazione; una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Ok.. ho eliminato le voci indicate.
Fatta nuova scansione... ecco il link dove l'ho uppata

http://www.zshare.net/download/63389044ba57fa/

[marcelproust]

scusa..EDIT questa voce che significa?
con quale programma la devo editare?

[marcelproust]

Analizzando il file con VIRUS total ho ottenuto questo risultato


http://www.virustotal.com/it/analisi...30880be7c61a44

[marcelproust]

Fatta anche pulizia con Ccleaner.. tutto esattamente come da te indicato.
Unica cosa, all'ultimo passaggio mi indica questo messaggio:

Impossibile localizzare il file in esecuzione automatica riferito a: C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe. Questi riferimenti vengono spesso lasciati da disinstallazioni di software.

Soluzione: Cancella il Valore di Registro.


Per il resto mi da tutto ok, problemi riparati

[murack83pa]

cancella tutte le voci nella pulizia di registro
fai una scansione con Vir.IT eXplorer Lite (necessita di connessione per l'aggiornamento) ed aspettare il termine del controllo della memoria per aggiornarlo.
gli oggetti individuati devono essere messi in quarantena, e posta qui il log

[marcelproust]

Quando provo a lanciare Gmer mi indica questo messaggio:

Warning !!!

Loaded Gmer's driver version is inompatible with the currently running GMER application. You need stop the driver with the command "net stop gmer" or restart your computer .



Poi clicco ok e mi parte Gmer con una serie di processi indicati nella prima scheda. Sotto Rootkit non compare nulla, che è la prima scheda che mi mostra..Sotto processes ci sono i vari processi.
Poi ho le varie cartelle Modules, Services, Autostart, rootkit, CMD, setting e log.
Su autostart c'è un tasto SCAN (sotto un tasto copy)
Se lo clicco mi si blocca il prog, non fa nulla. e quando chiudo vista mi avvisa che il programma non è installato correttamente