[risolto][win XP] Dialer mi disconnette 100 volte!

[Alca88]

beccato http://www.fileup.itadib.com/downloa...90vQKQTpOzNXFF
Senti ho la schermata di a squared ancora aperto dimmi tu cosa fare se metterlo in quarantena od altro---grazie^^

[Riverside]

Quote:

beccato http://www.fileup.itadib.com/downloa...90vQKQTpOzNXFF
Senti ho la schermata di a squared ancora aperto dimmi tu cosa fare se metterlo in quarantena od altro---grazie^^

Quote:

Originariamente inviato da Alca88

... Cmq avevo rasautou.exe all'inizio del dialer...

Ora la questione è più chiara: rasautou.exe è una funzione di Windows XP, solitamente impostata di default, che consente di utilizzare la connessione automatica, se richiesta, da determinati siti o IP.

per risolvere definitavamente il problema, leggiti:
1) questa discussione
2) questa guida

E la prossima volta, una informazione di questo tipo (fondamentale) dalla prima: ci avresti evitato di perdere parecchio tempo, dietro ad un problema che si sarebbe potuto risolvere nel giro di un ora.

[Alca88]

La mia premessa sin dal primo messaggio è stato anche il rasautou.exe...Allora a-squared mi fà elimare il dialer, xrò al riavvio di nuovo scansione e ancora è lì, adesso l'ho rieliminato ho provato a vedere prevx Csi e risulta anche li...La guida l'ho letta e da quello che ho capito serve ad eliminare questo rasautou.exe (che all'inizio del dialer compariva nello stesso momento in cui venivo scollegato e compariva la connessione remota, ora nn c'è + tra i processi) Mi scuso della domanda in anticipo, ma siccome ho visto l'altro topic sulla "guida eliminare il dialer" e dei script di Avenger che hanno risolto i problemi volevo sapere se nel mio caso serviva o meno...Tutto qui.

[Riverside]

Quote:

Originariamente inviato da Alca88

La mia premessa sin dal primo messaggio è stato anche il rasautou.exe

la tua premessa era:

Quote:

Originariamente inviato da Alca88

Salve, ho un problema che persiste da un mese circa. All'inizio c'era rasatou.exe (Adesso nn +)

Dall'esserci e non esserci più, capirai, c'è una differenza enorme.

[Alca88]

Immaggino si sia mutato in un'altro processo...?Cmq l'ho disabilitato xrò sono indeciso sull'entrare ed eliminare tutti gli indirizzi...cioè nn vorrei cancellare cose fondamentali di windows

[Riverside]

Io non posso sapere se sia, o meno, mutato, in un altro processo.
So solo che questa mattina, alle tre, ero ancora sul forum, cercando di risolvere (tra le diverse altre cose che avevi) un tuo problema che dipende da una questione che tu avevi affermato di aver risolto.
Come ti ho già detto, gli altri problemi che avevi (infezioni varie) sono stati risolti; per quanto riguarda quest'ultimo, ritengo di averti messo a disposizione tutti gli strumenti necessari per definirlo.
A volte, leggere, non fa male: se fai delle ricerche su Google, sono sicuro che, in relazione a quel problema ed agli indirizzi da eliminare, troverai un mare di informazioni.

[Alca88]

Per le infezioni rimane il Dialer...Mi metto a lavoro.....

[Alca88]

Ho disattivato la composizione automatica... Adesso nn sò se ho combinato qualcosa ma su internet explorer mi dà problemi praticamente compare sysfader come errore con una serie di numeri chiude la pagina web..tocco una cosa ed esce un'altro errore ma ke è!

[Alca88]

River mi devi scusare molto ma ho trovato NETVISION.EXE...

[murack83pa]

Quote:

Originariamente inviato da Alca88

River mi devi scusare molto ma ho trovato NETVISION.EXE...

bene, si fa x dire, sei infetto da FASTTRACK.....

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

poi posta il log di hijackthis a attendi ulteriori istruzioni

[Alca88]

http://www.fileup.itadib.com/downloa...Mwdk6MgEwZ3WDH
Scusate per il disturbo.

[Riverside]

Quote:

Originariamente inviato da Alca88

River mi devi scusare molto ma ho trovato NETVISION.EXE...

E lo sapevo

● disconnetti da Internet
● disconnetti, fisicamente, il modem Adsl dal P.C.
● START
● CERCA
● nella finestra di dialogo digita NETVISION.EXE ed avvia la ricerca
dovresti trovare:
● NETVISION.EXE in Documents and Settings\Utente
● ed un altro NETVISION.EXE seguito da una linea - e da codici numerici avente estensione .pf in C:\Windows\Prefetch
● una che li hai individuati, cancella i due file, svuota il cestino, e riavvia.

Questo dialer si prende girando per siti o blog nei quali, i proprietari, hanno inserito uno dei tanti contautenti free che si trovano in rete.
Quindi, attento a siti e blog in questione.

Allega un nuovo log di Hthis

Poi già che ci sei, per bloccare la creazione di nuovi accessi remoti ed evitare l’autoinstallazione di Dialer:

● Risorse del Computer
● Disco locale C:
● Documents and Settings
● All Users
vai in Strumenti \ Opzioni cartella \ Visualizzazione ed attiva Visualizza file e cartelle nascoste - Applica - e poi prosegui:
● Dati applicazioni
● Microsoft
● Network
● Connections
● Pbk
● tasto destro del mouse sul file rasphone.pbk - Proprietà e spunti la voce solo lettura
Ovviamente, se in futuro dovesse essere necessario attivare nuovi connessioni, rasphone.pbk deve essere riportato alla condizione originaria.

[Alca88]

Mmm una cosa io su cerca nn lo trovo NETVISION.EXE.
Io l'ho trovato seguendo quella guida che mi avevi dato poco prima e praticamente su esegui-regedit-rasautou -S e praticamente lì c'era anche NETVISION.EXE...

[Riverside]

Quote:

Originariamente inviato da Alca88

Mmm una cosa io su cerca nn lo trovo NETVISION.EXE.
Io l'ho trovato seguendo quella guida che mi avevi dato poco prima e praticamente su esegui-regedit-rasautou -S e praticamente lì c'era anche NETVISION.EXE...

E tu segalo; ovviamente, devi verificare, anche tutti gli altri che hai trovato.

[Alca88]

HKEY_USERS\S-1-5-21-1078081533-1532298954-682003330-1003\Software\Microsoft\Search Assistant c'è la cartella ACMru e dentro le cartelle 5603 ed 5604
nella 5603 ci sono:
-NETVISION.EXE
-network connections
-rasautou -S
-explorer.exe
-findaw
sono tutti di tipo REG_SZ
ed hanno come nome
-predefinito
-000
-001
-002
-003
-004
nella cartella 5604:
-rasautou
-rasautou -S
-naruto
-NETVISION.EXE
Sempre in REG_SZ
E COME nome come prima
Quali elimino? nn vorrei far casini

[Riverside]

Questi sicuramente:

-NETVISION.EXE
-findaw
sono tutti di tipo REG_SZ
nella cartella 5604:
-NETVISION.EXE

gli altri non ne ho idea (non posso sapere tutto e, a dirla tutta, non so tutto): devi armarti di pazienza e cercare in rete.

[Alca88]

Bene li ho eliminati...Gli altri sembravano a posto e nn li ho eliminati.Procedo con hjt
http://www.fileup.itadib.com/downloa...h1NGUNbq9VAx0m
ho messo rasphone.pbk in solo lettura

[Riverside]

Quote:

Originariamente inviato da Alca88

Bene li ho eliminati...Gli altri sembravano a posto e nn li ho eliminati.Procedo con hjt ..... ho messo rasphone.pbk in solo lettura

Rilancia Hthis e fixa queste voci:

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" –atboottime

● disinstalla tutte le toolbar che hai installato; dopo la disinstallazione, pulizia con CCleaner sia normale che Registro.
● aggiorna JAVASUN: sei ancora alla versione 1.5.0 (era in uso ai tempi delle palafitte).
● fammi sapere se hai ancora problemi con la connessione, perchè vorrei provare a farti disinstallare Asquared Antidialer.

[Alca88]

Ho fatto tutto..Naturalmente tra una disconnessione e l'altra...Sembra sia fasttrack ma c'è qualcos'altro....

[Riverside]

Quote:

Originariamente inviato da Alca88

Ho fatto tutto..Naturalmente tra una disconnessione e l'altra...Sembra sia fasttrack ma c'è qualcos'altro....

Ancora? ok facciamo una cosa diversa: Sysclean TrendMicro (è un tool antivirus) lo scarichi, lo decomprimi in una cartella dedicata sul desktop, scarica l'aggiornamento del pattern, ed esegui una scansione completa del sistema, assolutamente in modalità provvisoria.
Ripeti la procedura due o tre volte, fino a quando non verrà piu rilevato nulla.
Salva ed allega il relativo log.

Qui un link con una Guida chiara che spiega cosa devi fare:

http://www.carloneworld.it/Download_...rend_Micro.htm