UFFA!DIALER EXSPLORER..!

[juninho85]

che bimbominchia!!!!
eccolo:

Quote:

C:\WINDOWS\Downlo~1\mdd9q\p1lygc.exe

la cartella è C:\WINDOWS\Downlonloaded Program Files

[Chill-Out]

Quote:

Originariamente inviato da juninho85

che bimbominchia!!!!
eccolo:


la cartella è C:\WINDOWS\Downlonloaded Program Files

bel colpo mi era sfuggito, ero sicuro che con StartUpList saltava fuori

[Riverside]

Ma porca quella miseria ..... ti costa troppo eseguire una scansione con MSNFIX e pubblicare il relativo log?

MSNFIX TOOL: clicca qui per il download (la versione del Tool viene, costantemente, rilasciata, aggiornata)
● scompatta il file Zip posizionandolo sul Desktop (verrà creata una cartella)
● lancia MSNFix File batch
● digita I per impostare la lingua, e, premi invio
● digita R per cercare il malware
● digita N per eliminare ciò che trova
● digita A per creare il log da pubblicare
● digita R per ripulire il registro ed uscire
● digita Q per terminare MSNFix

Verrano creati:
● un file Zip
● un log
all'interno della cartella posizionata sul Desktop: cestina solo il file Zip e ripulisci il cestino

Annotazione; il Tool rimuove automaticamente i file infetti ma indica, anche, alcuni files (di norma, sono Screensaver non legittimi) alla cui rimozione si deve procedere, manualmente.

Fatto tutto, pubblica qui, il relativo log per farlo analizzare

[bellin1]

ok....
appena torno a casa stasera vedo di eseguire le vostre raccomandazioni.

per il momento un grosso grazie!

[bellin1]

ecco il log di msnfix!

ha trovato qlk ed ha ripulito.

hijackthis continua a ripropormi la parte 015 in maniera inesorabile!!
procedo manualmente alla rimozione del file che avete individuato!????!

log:

MSNFix 1.555

C:\Documents and Settings\pc\Desktop\MSNFix
Fix effettuato il 26/10/2007 - 18.29.13,73 By pc
modalità normale

************************ Cercare i files presenti

... C:\WINDOWS\system32\autorun.ini

************************ MSNCHK ***** /!\ beta test /!\



************************ Ricerca le cartelle presenti

Nessuna cartella trovata




************************ Eliminazione dei files

.. OK ... C:\WINDOWS\system32\autorun.ini



************************ Pulizia del Registro



************************ Files sospetti

Nessun files trovato


I files e le chiavi di registro eliminati sono stati salvati nel file 26102007_18.30.3034.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

[Chill-Out]

Devi cancella questo:
C:\WINDOWS\Downlo~1\mdd9q\p1lygc.exe la cartella è C:\WINDOWS\Downlonloaded Program Files
prima però fallo controllare su www.virustotal.com

[Riverside]

Quote:

Originariamente inviato da bellin1

ecco il log di msnfix!

ASQUARED ANTIDIALER FREE: clicca qui per il download
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema, da disconnesso.
Lacialo installato (visto che ti connetti a 56k) perchè ha una protezione in tempo reale.
Dopo che hai eseguito la scansione pubblica un nuovo log di HTHIS

[bellin1]

in down.prog.files non c'e nulla!!!possibile!???

[juninho85]

Quote:

Originariamente inviato da bellin1

in down.prog.files non c'e nulla!!!possibile!???

che sia un file nascosto?

[bellin1]

Quote:

Originariamente inviato da Riverside

ASQUARED ANTIDIALER FREE: clicca qui per il download
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema, da disconnesso.
Lacialo installato (visto che ti connetti a 56k) perchè ha una protezione in tempo reale.
Dopo che hai eseguito la scansione pubblica un nuovo log di HTHIS

gia scaricato ed utilizzato asquared antidialer free..utile , ha ripulito anche lui qlk su questo dialer ma non ha completato l opera!lo 015 si ripropone.
ps: ho un alice flat..il portatile non e' mio e viene usato su una 56k.
siccome sto usando la connessione di casa mia su questo portatile non c'e mika il riskio che anche su una flat aumenta la bolletta?non mi risulta a me che un dialer diventa attivo su una flat.

[bellin1]

Quote:

Originariamente inviato da juninho85

che sia un file nascosto?

impossibile sto..utilizzando la visuale aperta!!

edit.ecco il nuovo log hithisjack

Logfile of HijackThis v1.99.1
Scan saved at 18.53.31, on 26/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programmi\Arcade\PCMService.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\BenQ\QMusic2\QMAgent.exe
C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Programmi\MarkAny\ContentSafer\MAAgent.exe
C:\Programmi\USB Disk Win98 Driver\Res.EXE
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programmi\QLink 1.0\devmonit.exe
C:\Programmi\a-squared Anti-Dialer\a2service.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\pc\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Programmi\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\Ereg.exe" -r "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\ereg.ini"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QMusic] C:\Programmi\BenQ\QMusic2\QMAgent.exe
O4 - HKLM\..\Run: [SMSTray] C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] C:\Programmi\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programmi\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Monitor.lnk = C:\Programmi\QLink 1.0\devmonit.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.happyfile.net
O15 - Trusted Zone: http://www.otherchance.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{76E708D5-4A6D-4124-86E1-028FE9F2FE80}: NameServer = 85.37.17.46 85.38.28.84
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Dialer\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio nomi files (srvflsn) - Unknown owner - C:\WINDOWS\Downlo~1\mdd9q\p1lygc.exe (file missing)

[juninho85]

lancia avenger con questo script

Quote:

Files to delete:
C:\WINDOWS\Downlonloaded Program Files\mdd9q\p1lygc.exe

[bellin1]

Quote:

Originariamente inviato da juninho85

lancia avenger con questo script

ho fatto la ricerca..sul mio notebook quel file e' come se non esistesse..io non so piu veramente cosa cavolo fare.

[Chill-Out]

Quote:

Originariamente inviato da bellin1

ho fatto la ricerca..sul mio notebook quel file e' come se non esistesse..io non so piu veramente cosa cavolo fare.

e questo cos'è O23 - Service: Servizio nomi files (srvflsn) - Unknown owner - C:\WINDOWS\Downlo~1\mdd9q\p1lygc.exe (file missing)
ma avenger l'hai usato?

[bellin1]

Quote:

Originariamente inviato da Chill-Out

e questo cos'è O23 - Service: Servizio nomi files (srvflsn) - Unknown owner - C:\WINDOWS\Downlo~1\mdd9q\p1lygc.exe (file missing)
ma avenger l'hai usato?

l ho usato ma mi dice che non lo trova..

a questo punto lo fixo con hijack??

[Chill-Out]

Quote:

Originariamente inviato da bellin1

l ho usato ma mi dice che non lo trova..

a questo punto lo fixo con hijack??

si

[bellin1]

Quote:

Originariamente inviato da Chill-Out

si

incredibile..ho fixato sia la 15 che il 23 singolo..ma si ripropongono al successivo controllo.pazzesco.

la ricerca dal menu non ha trovato questo file..avenger mi dice che non puo aprire un file che logicamente non trova.

[Chill-Out]

Quote:

Originariamente inviato da bellin1

incredibile..ho fixato sia la 15 che il 23 singolo..ma si ripropongono al successivo controllo.pazzesco.

la ricerca dal menu non ha trovato questo file..avenger mi dice che non puo aprire un file che logicamente non trova.

Scarica Regseeker, copia e incolla qui una copia del registro di sistema, ci deve essere una chiave farlocca.

[bellin1]

Quote:

Originariamente inviato da Chill-Out

Scarica Regseeker, copia e incolla qui una copia del registro di sistema, ci deve essere una chiave farlocca.

forse hai ragione...cmq chiedo scusa..ho il programma gia aperto e lo avevo gia utilizzato sere fa!
cosa devo fare per farti vedere una copia??grazie.

ps: come ho riavviato il notebook asquared mi ha comunicato che c:\windows\explorer.exe e' un dialer!

ma non e' un file buono??non ha la "s".

[juninho85]

Quote:

Originariamente inviato da bellin1

incredibile..ho fixato sia la 15 che il 23 singolo..ma si ripropongono al successivo controllo.pazzesco.

la ricerca dal menu non ha trovato questo file..avenger mi dice che non puo aprire un file che logicamente non trova.

devi disabilitare il ripristino configurazione di sistema prima di procedere