Dialer ISTANTACCESS

[giordcoll]

COSA SONO I BAK?

[c.m.g]

è una estensione per indicare che è un file backuppato (insomma una copia dell'originale con aggiunta di quella estensione).

[Wales]

Quote:

Originariamente inviato da c.m.g

è una estensione per indicare che è un file backuppato (insomma una copia dell'originale con aggiunta di quella estensione).

Mmm... Nel nostro caso, invece (come si può vedere dai log di Find AWF), si tratta precisamente di nuove cartelle contenenti i files originali backuppati... E per fortuna, aggiungerei... Io dopo un po' di smanettamenti non ho problemi da qualche giorno, ma non sono sicuro di averlo eliminato...

24076 2 Apr 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"

In questo esempio, il primo NeroCheck.exe è il dialer, mentre il secondo è l'originale copiato nella cartella BAK...


ivandenis ha un bel casino nel pc... Risultano backuppati (ad una veloce occhiata) anche il control panel della scheda video (atiptaxx.exe), nonchè il AVG Anti-Spyware 7.5 con tutte le definizioni...

Mah!? Speriamo che esca qualcosa di definitivo..

Ciao!

[Collision]

Cmq io (come dicevo qualche post fa) ho formattato l'HD, reinstallato XP, messa ServicePack2, aggiornato fino ad oggi... sono 4-5 giorni che navigo e svolgo l'attività di sempre e non mi si è più ripresentato il problema!

Quindi non è vero che anche formattando sto DialerAccess ritorna!!

[ivandenis]

Quote:

Originariamente inviato da Wales

Mmm... Nel nostro caso, invece (come si può vedere dai log di Find AWF), si tratta precisamente di nuove cartelle contenenti i files originali backuppati... E per fortuna, aggiungerei... Io dopo un po' di smanettamenti non ho problemi da qualche giorno, ma non sono sicuro di averlo eliminato...

24076 2 Apr 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"

In questo esempio, il primo NeroCheck.exe è il dialer, mentre il secondo è l'originale copiato nella cartella BAK...


ivandenis ha un bel casino nel pc... Risultano backuppati (ad una veloce occhiata) anche il control panel della scheda video (atiptaxx.exe), nonchè il AVG Anti-Spyware 7.5 con tutte le definizioni...

Mah!? Speriamo che esca qualcosa di definitivo..

Ciao!

Ke sto nei casini ci ero arrivato pure io .. ma mi sapresti dire ke devo fare? cioè dall'esempio ke leggo e ke tu mi hai fatto.. riandando a vedere il mio scan.. deduco ke sto pieno di dialer?!? cioè per ogni rigo in pratica c'è un dialer e sotto quello originale! qst cosa vuol dire allora?!? guai?!?

[giordcoll]

quindi se ho capito bene nella certella bak cè il file originale mentre l'altro è un dialer giusto??
ho postato il mio log . qualcuso sa come devo fare?

[giordcoll]

allora, sono riuscito a capire una cosa.......
i file estranei inseriti al posto di quelli originali sono virus (dialer) che all'avvio del sistema operativo venivano caricati sempre poichè fanno parte dell'avvio di MsConfig.
cosi windows credeva di caricare programmi applicativi, invece caricava virus.
adesso i messaggi di errore sono scomparsi dopo aver messo i file al posto giusto.
quelli nelle cartella bak al loro posto e gli altri nella pattumiera.

speriamo che si sia risolto tutto ora...........

c'è qualcos'altro che devo fare???

[wizard1993]

Quote:

Originariamente inviato da ivandenis

Ciao a tutti.. anke io stesso problema:
icona bianca sul desktop con dentro una D maiuscola verde, e se ci faccio tasto destro sopra e vedo proprietà mi manda nei Temp, dove si trova la sua applicazione ke anke se la cancello si riforma ogni tanto(e così anke il collegamento sul desktop), tralaltro anke nelle connesioni internet oltre alla mia predefinita c'ho trovato sta cacchio di istantaccess.. come ultima cosa vi dico ke mi è caduta la linea un paio di volte oggi..forse proprio a causa dei suoi tentativi di connettermi a qlc sito.. ma cmq non ostante tutto ciò il mio pc e connesione internet funzionano ancora!

in avenger http://www.megalab.it/articoli.php?id=946
inserisci lo script
Folders to delete:
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5
Files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Java\jre1.5.0_10\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\Creative\MediaSource\Detector\bak\CTDetect.exe | C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\bak\Acrotray.exe | C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\Adobe\Acrobat 7.0\Acrobat\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exeC:\Programmi\Logitech\Video\bak\ManifestEngine.exe | C:\Programmi\Logitech\Video\ManifestEngine.exe
C:\Programmi\Logitech\Video\bak\LogiTray.exe | C:\Programmi\Logitech\Video\LogiTray.exe
C:\Programmi\Logitech\Video\bak\ISStart.log | C:\Programmi\Logitech\Video\ISStart.log
C:\Programmi\Logitech\Video\bak\ISStart.exe | C:\Programmi\Logitech\Video\ISStart.exe
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\bak\LVCOMSX.EXE | C:\WINDOWS\system32\LVCOMSX.EXE

e poi reinstalla avg antispyware

[wizard1993]

Quote:

Originariamente inviato da giordcoll

Find AWF report by noahdfear ©2006

da aveger http://www.megalab.it/articoli.php?id=946 inserisci lo script

Files to move:
C:\WINDOWS\bak\WDVRCtrl.exe | C:\WINDOWS\WDVRCtrl.exe
C:\Programmi\DAP\bak\DAP.EXE | C:\Programmi\DAP\DAP.EXE
C:\Programmi\Microsoft ActiveSync\bak\WCESCOMM.EXE | C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Trust_CR-1200_16-in-1_USB2_CARD_READER\shwicon2k.exe | C:\Programmi\Trust_CR-1200_16-in-1_USB2_CARD_READER\bak\shwicon2k.exe
C:\Programmi\Winamp\bak\winampa.exe | C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\LVCOMSX.EXE | C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
"C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe" | "C:\Programmi\Alice ti aiuta\SmartBridge\MotiveSB.exe"
C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe | C:\Programmi\Alwil Software\Avast4\ashDisp.exeC:\Programmi\Conexant\AccessRunner ADSL\bak\CnxDslTb.exe | C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Programmi\Logitech\Video\bak\ISStart.exe | C:\Programmi\Logitech\Video\ISStart.exe
C:\Programmi\Logitech\Video\bak\LogiTray.exe | C:\Programmi\Logitech\Video\LogiTray.exe
C:\Programmi\Sony\SonicStage\bak\SsAAD.exe | C:\Programmi\Sony\SonicStage\SsAAD.exe
C:\Programmi\File comuni\PCSuite\DataLayer\bak\DATALA~1.EXE | C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.ex | C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.ex
C:\Programmi\Java\jre1.5.0_10\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe

[wizard1993]

Quote:

Originariamente inviato da giordcoll

allora, sono riuscito a capire una cosa.......
i file estranei inseriti al posto di quelli originali sono virus (dialer) che all'avvio del sistema operativo venivano caricati sempre poichè fanno parte dell'avvio di MsConfig.
cosi windows credeva di caricare programmi applicativi, invece caricava virus.
adesso i messaggi di errore sono scomparsi dopo aver messo i file al posto giusto.
quelli nelle cartella bak al loro posto e gli altri nella pattumiera.

speriamo che si sia risolto tutto ora...........

c'è qualcos'altro che devo fare???

una scan online con ewido

[Wales]

Quote:

Originariamente inviato da ivandenis

Ke sto nei casini ci ero arrivato pure io .. ma mi sapresti dire ke devo fare? cioè dall'esempio ke leggo e ke tu mi hai fatto.. riandando a vedere il mio scan.. deduco ke sto pieno di dialer?!? cioè per ogni rigo in pratica c'è un dialer e sotto quello originale! qst cosa vuol dire allora?!? guai?!?

Esatto! E' sempre lo stesso dialer che si autoreplica (sostituendoli e backuppandoli) in tutti gli eseguibili che hai all'avvio...

I rischi in sostanza:

- se hai una connessione analogica, rischi una bolletta salata...

- se hai l'ADSL, niente bolletta salata

In entrambi i casi (ed è la cosa che forse più dà fastidio) non ti fa caricare i tuoi programmi/servizi all'avvio... E ti "incricca" il pc che ti chiede subito la connessione all'avvio... E poi danno errore i servizi che non riescono ad avviarsi...

Io ho cancellato il file (il nome esatto e il percorso lo trovi dalle proprietà della "D" verde) ed ho ri-sostituito tutti gli eseguibili con gli originali presi dalle cartelle "bak"...
Varie scansioni con i programmi postati e online (ma nessuno ha trovat oniente)...
E tutto pare funzionare da qualche giorno, ma non sono sicuro di averlo eleiminato...

Prova a fare come ti ha suggerito Wizard ma, mi raccomando, prima di tutto masterizza i dati importanti che non vuoi rischiare di perdere!!! Non si sa mai se qualcosa dovesse andare storto...


Ciao!

[ivandenis]

Grazie per le risposte ed i consigli ragazzi.. stasera ci risentiremo e vi farò sapere come è andata! ciao mitici!

[c.m.g]

controllate anche la cartella che si trova in questo percorso: C:\WINDOWS\Downloaded Program Files spesso i malware si instalanoin questa cartella.
scaricate ccleaner e fategli una passata.
disattivate il ripristino conf. di sistema e usate browser più sicuri.
non usate mai eseguibili dalla dubbia provvenienza.
comunque chi ha scritto questo malware voleva solo dimostrare, a mio parere, quanto è insicuro windows, altrimenti non ci sarebbe stata nessuna cartella di backup.

[juninho85]

Quote:

Originariamente inviato da c.m.g

controllate anche la cartella che si trova in questo percorso: C:\WINDOWS\Downloaded Program Files spesso i malware si instalanoin questa cartella.
scaricate ccleaner e fategli una passata.
disattivate il ripristino conf. di sistema e usate browser più sicuri.
non usate mai eseguibili dalla dubbia provvenienza.

scusami...ma con ccleaner puoi pulire dagli activex(dunque quella cartella)che hanno problemi di funzionento,non puoi mica azzerarli tutti?

[ivandenis]

Quote:

Originariamente inviato da wizard1993

in avenger http://www.megalab.it/articoli.php?id=946
inserisci lo script
Folders to delete:
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5
Files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Java\jre1.5.0_10\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\Creative\MediaSource\Detector\bak\CTDetect.exe | C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\bak\Acrotray.exe | C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\Adobe\Acrobat 7.0\Acrobat\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exeC:\Programmi\Logitech\Video\bak\ManifestEngine.exe | C:\Programmi\Logitech\Video\ManifestEngine.exe
C:\Programmi\Logitech\Video\bak\LogiTray.exe | C:\Programmi\Logitech\Video\LogiTray.exe
C:\Programmi\Logitech\Video\bak\ISStart.log | C:\Programmi\Logitech\Video\ISStart.log
C:\Programmi\Logitech\Video\bak\ISStart.exe | C:\Programmi\Logitech\Video\ISStart.exe
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\bak\LVCOMSX.EXE | C:\WINDOWS\system32\LVCOMSX.EXE

e poi reinstalla avg antispyware

Ciao Wizard!allora.. ho fatto tutto quello ke mi hai detto.. poi ho riavviato e ho fatto uno scan con l'avg e mi ha trovato un pò di cose da cancellare e poi un file ke mi suggeriva di ignorare: heuristic.Win32.dialer ...ma guardando bene la cartella di origine di qst file.. ho visto ke era proprio nei Temp!ed era proprio quello che cancellandolo si riformava, ovvero l'applicazione di istantaccess!allora l'ho messo in quarantena xke nn sapevo se potevo cancellarlo.(ora la cosa ke mi kiedo è xkè l'avg me lo dava per non pericoloso e da ignorare?)Poi ho eliminato le connessioni internet ke mi aveva creato istant access andando in "pannello di controllo/rete e connessioni/opzioni internet/connesioni" ..ho riavviato un ultima volta è per oa il problema sembra risolto! vi farò sapere prossimamente.. grazie ancora!!!

[c.m.g]

Quote:

Originariamente inviato da juninho85

scusami...ma con ccleaner puoi pulire dagli activex(dunque quella cartella)che hanno problemi di funzionento,non puoi mica azzerarli tutti?

guarda che ccleaner ti svuota anche tutte le cartelle temporanee.

[wizard1993]

Quote:

Originariamente inviato da ivandenis

Ciao Wizard!allora.. ho fatto tutto quello ke mi hai detto.. poi ho riavviato e ho fatto uno scan con l'avg e mi ha trovato un pò di cose da cancellare e poi un file ke mi suggeriva di ignorare: heuristic.Win32.dialer ...ma guardando bene la cartella di origine di qst file.. ho visto ke era proprio nei Temp!ed era proprio quello che cancellandolo si riformava, ovvero l'applicazione di istantaccess!allora l'ho messo in quarantena xke nn sapevo se potevo cancellarlo.(ora la cosa ke mi kiedo è xkè l'avg me lo dava per non pericoloso e da ignorare?)Poi ho eliminato le connessioni internet ke mi aveva creato istant access andando in "pannello di controllo/rete e connessioni/opzioni internet/connesioni" ..ho riavviato un ultima volta è per oa il problema sembra risolto! vi farò sapere prossimamente.. grazie ancora!!!

non è da ignorare; è lui il dialer

[giordcoll]

anche a me va tutto bene.
solo che il computer mi va a 3 km/h. ahah
sara colpa di ewido ???
ma è un antivirus o anti spyware ??
io ho gia avast antivirus??
Grazie di tutto.

[juninho85]

Quote:

Originariamente inviato da c.m.g

guarda che ccleaner ti svuota anche tutte le cartelle temporanee.

si ma il file maligno che aveva michela non risiedeva nelle cartelle temporanee,o per lo meno non soltanto li,c'era quel maledetto dialer nella cartella dove solitamente si scaricano i controlli activex che per logica veniva oscurato da qualcos'altro,considerato che tutti i programmi provati da lei per rimuovere non soltanto non hanno tolto l'infezione,ma alcuni nemmeno la rilevavano
putroppo ccleaner non crea file di log altrimenti potevamo risalire a qualche informazione riguardo il bastardo,te non hai fatto altro oltre che proporle una pulitura di registro/file temporanei?


tra l'altro il dialer deve avere infettato anche la mia lucidità,ho fatto un pò di minestrone con un altro thread

[c.m.g]

il file del dialer era residente nella cartella su citata, sono andato lì e l'ho cancellato semplicemente
poi gli ho messo in sicurezza il pc con il mio solito metodo