Antidialer

[minosat]

Sul mio Xp era installata una versione di Andialer della Digisoft che d'improvviso ha smesso di funzionare e addirittura se cerco di farlo partire o se solo apro la cartella del file il desktop si resetta, la stessa cosa avviene se uso la funzione "cerca" appena clicco su Invio il desktop si resetta.
Ho provato anche a cancellare la cartella e succede la stessa cosa, nella cartella prefetch di Windows c'era un file chiamato "ANTIDIALER.EXE-088A45E.pf che ho provveduto a cancellare ma senza risultato.
Allego il log di HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 15.49.54, on 02/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
G:\Alessandro\hijackthis1991\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - Startup: Registration-Studio 8.lnk = C:\Programmi\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programmi\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe

[wizard1993]

fai una scan con bitdefender e panda online; poi fai una scan con gmer

[minosat]

Il problema è che ho una connessione analogica... fare una scansione on-line potrebbe essere un problema per caduta linea e lentezza esasperante... non posso fare altro?

[gusamorim]

Ciao,
ma non c'era già un thread sull'argomento?
Io ho lo stesso problema: ho postato qui.

[minosat]

scusami ma l'altro ieri avevo postato il problema e mi hanno chiesto di postare il log qui, e infatti aspetto che qualcuno mi dia un consiglio.

Grazie

[gusamorim]

Quote:

Originariamente inviato da minosat

scusami

Di niente, figurati...
E' solo che ho lo stesso tuo problema e non riesco a risolverlo.
Speriamo in qualche consiglio.
Per completezza riporto il mio post fatto nell'altro thread...

Quote:

Originariamente inviato da gusamorim

Salve,
anche io ho lo stesso problema con AntiDialer. In più non riesco neanche ad aprire Hijackthis. Stesso comportamento: se provo solo ad entrare nella cartella si verifica un reset di explorer.
La mia situazione è la seguente:
chiavi di registro RUN, RUNONCE, ecc. = pulite;
chiave di registro Winlogon->UserInit = pulita;
servizi strani = non presenti;
win.ini e system.ini = puliti;
rootkit = assenti;
scansioni effettuate con AVG Free, AVG AntiSpyware, AD-Aware tutti aggiornatissimi (non trovano niente).

Cosa può essere? Sto impazzendo

Ho anche avviato il PC con ERD Commander e fatto un po' di pulizia "a mano" di file sospetti e cartelle Temp varie

Grazie a tutti

[wizard1993]

mi sa che è questo
http://www.pcalsicuro.com/main/2007/...on-il-ritorno/

[minosat]

AIUTO

Ho eseguito alla lettera quello scritto nel link http://www.pcalsicuro.com/main/2007/...on-il-ritorno/

adesso non mi parte più explorer !!!
Addirittura se cerco di farlo partire manualmente mi dice che il file è inesistente eppure il file c'è anzi l'ho pure sostituito con l'originale preso dal cd...
che poi non ho capito come mai l'explorer di windows era di circa 1.2 MB mentr quello del cd era di circa 300 Kb

[tequila mali]

Quote:

Originariamente inviato da minosat

AIUTO

Ho eseguito alla lettera quello scritto nel link http://www.pcalsicuro.com/main/2007/...on-il-ritorno/


adesso non mi parte più explorer !!!
Addirittura se cerco di farlo partire manualmente mi dice che il file è inesistente eppure il file c'è anzi l'ho pure sostituito con l'originale preso dal cd...
che poi non ho capito come mai l'explorer di windows era di circa 1.2 MB mentr quello del cd era di circa 300 Kb

Ciao minosat
Avvia in modalità provvisoria.

Apri il taskmanager (ctrl+alt+canc) vai su file>nuova operazione, scrivi regedt32>OK, si apre il registro di sistema, vai alla voce explorer.exe cliccando sul segno + accanto alle singole voci del seguente percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Click tasto dx su di essa>Autorizzazioni>Avanzate>premi il tab.Proprietario>autorizza l'Utente del computer>OK. Torni alla pagina principale, metti la spunta a Controllo completo e In lettura>OK. A questo punto, click tasto dx sulla voce e scegli Elimina.
Chiudi il registro

Sempre dal task manager , vai su file>nuova operazione e scrivi explorer.exe >OK per ripristinare il desktop.

[gusamorim]

Finalmente problema risolto!!!
Grazie a tutti per i preziosi consigli.

Era proprio questa la chiave incriminata: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe che puntava a questo file c:\windows\system32\xdlpchkw.txt.

Ho avviato il PC con ERD Commander e ho rimosso prima la chiave di registro e poi il file.
ERD Commander consente anche di reimpostare i permessi su file e chiavi di registro per poterli eliminare.

Di nuovo grazie a tutti.

[minosat]

Ok grazie anche io ho risolto grazie ai Vs. preziosi consigli, non ho voluto usare erd per provare anche la funzione di rimozione manuale dei permessi, caso mai potesse servire in futuro... in ogni caso avevo anche sostituito il file Explorer.exe con l'originale da Cd (ho notato che l'originale era molto più piccolo... che il virus si sia annidato proprio li?
Cmq grazie adesso tutto va alla grande!