help delsim dialer

[jammizz]

AIUTOOOOOOOOO...dopo aver faticato, con qusto dialer, ho tolto lHD, ma anche con quello nuovo, mi si ripresenta il problema, vi allego il file log fatto in modalita' provvisoria e tutti i vari passaggi:

scansione con avast in mod.provv. trovava ed eliminava:
C:\systemvolumeinformation\...\A0002143.exe
C:\systemvolumeinformation\...\A0005339.exe
C:\system32\cag.exe infezione win32:sdbot-4473 [trj]
C:\system32\hrv.exe idem
C:\system32\iqs.exe idem
C:\system32\jra.exe idem

Poi avast ha di nuovo scansionato all avvio e trovava ed eliminava:
come sopra ma
A0005342.exe
A0005343.exe
A0005344.exe
A0005345.exe

Premetto che ancora dovevo finire di fare i vari update di winxp
e notavo che il file C:\WINDOWS\VTTimer.exe riappare sempre in hijack nonostante il fixaggio
ed insieme ad un "wault.exe" sono i due file trovati sempre da avast e nod32 in modalita' normale.

[Bugs Bunny]

fai il log in modalità normale

[oasis90]

Dal log di Hijackthis mi sembra che solo la seguente stringa sia sospetta:

O23 - Service: Copyright (C) 2001-2005 S3 Graphics, Inc. (S3 Graphics, Inc.) - Unknown owner - C:\WINDOWS\VTTimer.exe

Però aspetta altri pareri perchè sono un po' indeciso su di essa...

[Bugs Bunny]

non è da cancellare

[oasis90]

Quote:

Originariamente inviato da Bugs Bunny

non è da cancellare

ah ok..grazie per la correzione Bugs

[jammizz]

comunque ho provato a fixarla ma mi ritorna sempre.....e comunque e' maledetto, non posso usare internet in mod. normale, kaspersky ne ha trovati 30 e li ho rimossi ma senza successo, ora vi scrivo in mod. provv con rete.
provo a scansionare ancora con avast, cosa faccio?
qualche altro prog?

[wizard1993]

Quote:

Originariamente inviato da jammizz

comunque ho provato a fixarla ma mi ritorna sempre.....e comunque e' maledetto, non posso usare internet in mod. normale, kaspersky ne ha trovati 30 e li ho rimossi ma senza successo, ora vi scrivo in mod. provv con rete.
provo a scansionare ancora con avast, cosa faccio?
qualche altro prog?

prova a scansionare in modalità prov con kasper

[jammizz]

ok lo sto facendo, al 56% mi ha trovato un file infetto, vi allego la scansione fatta in mod. normale, con 30 file infetti
ciau

[jammizz]

ho fixato questi file ed eliminati con killbox
C:\WINDOWS\avg.exe
C:\WINDOWS\regent.exe
C:\WINDOWS\SubSys.exe

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\avg.exe
O23 - Service: AVG - Unknown owner - C:\WINDOWS\avg.exe
O23 - Service: Register Manager - Unknown owner - C:\WINDOWS\regent.exe
O23 - Service: Windows Sub System - Unknown owner - C:\WINDOWS\SubSys.exe

sembra tutto sparito, pero' all avvio mi richiama una voce che non ho cancellato....avg.exe che poi ho scovato nel regedite solo che prima mi impediva l accesso ad internet ora sembra tutto ok ma dopo qualche minuto non riesco ad aprire piu' nessun programma, e nemmeno si riavvia da start......vi allego il nuovo log in mod. normale

Logfile of HijackThis v1.99.1
Scan saved at 19.56.19, on 15/06/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scarpissime.it/
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\avg.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AVG - Unknown owner - C:\WINDOWS\avg.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Copyright (C) 2001-2005 S3 Graphics, Inc. (S3 Graphics, Inc.) - Unknown owner - C:\WINDOWS\VTTimer.exe (file missing)

[jammizz]

praticamente ora, dopo aver riavviato il PC, sembra tutto ok ma dopo 5 o 10 minuti si inchoda il PC e non mi fa aprire nessuna icona o programma e nemmeno il riavvio da "start" funziona.......

[wizard1993]

fixa
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\avg.exe

[jammizz]

mi sembra che gia' l ho fatto, infatti il delsim non sembra tornare ma ora il problema e' che il PC dopo un po si inchioda.....ho pensato di riformattare a basso livello, ma gia' in precedenza ho cambiato addirittura L'hd infettato inprimis,e installato winxp ma il delsim si e' materializzato anche su qusto HD. Forse dovevo installare prima i vari sp1 e sp2, ma come ha fatto a tornare questo dialer se era tutto nuovo?
sono distrutto.

[Tall99]

tanto vale fare una prova kn gmer ormai!

[jammizz]

ciao, scusa ma non ho capito cosa devo provare?
grazie

[Tall99]

gmer e un programma gratuito
skarikalo e fai una skansione e poi skrivi i risulatati in rosso se ci sn
http://www.notrace.it/Download/Sicur...otkit/gmer.htm

[jammizz]

buonasera a tutti, allora, oggi ho provato a scansionare con gmer in mod normale ma si e' addirittura riavviato......quindi in mod provvisoria con rete, gmer nel menu rootkit trovava system32\drivers\asw Tdi.sys impossibile trovare il file
Poi kaspersky online mi trovava C:\WINDOWS\system32\o :troyan subito eliminato con killbox,
Ora riavvio in mod normale e riprovo con entrambi e faccio un log con hijack.
Ho disinstallato spybot e avast.
a dopo

[wizard1993]

per forza è impossibile trovare il file; è nascoto; fai una passata con panda antirootkit

[jammizz]

Sembra andare bene ora, kaspersky non ha trovato nulla ed io nel mentre navigavo, aprivo programmi e non si e' ancora impallato, poi ho ripulito ancora manualmente il regedit dai residui del delsim......cartella con tanto di prog, passw e numero da chiamare.....solo non capisco perche' se attivo gmer, il PC si riavvia....
Ultimo LOG e spero sia quello definitivo

Logfile of HijackThis v1.99.1
Scan saved at 19.10.11, on 18/06/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scarpissime.it/
F2 - REG:system.ini: Shell=
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Copyright (C) 2001-2005 S3 Graphics, Inc. (S3 Graphics, Inc.) - Unknown owner - C:\WINDOWS\VTTimer.exe (file missing)

[wizard1993]

fai una scan con panda antirootkit; il kaspersky non è il grado di riconoscere ne tantomeno rimuovere rootkit con la scansione online

[jammizz]

salve sembra andare tutto bene, anche panda non rileva nulla anche se ieri non riuscivo a spegnere la macchina con il metodo start.....e poi ho notato una cosa, il nod32 all avvio mi dice che "il reg.di configurazione e' stato disabilitato dall amministratore" cioe'.............
ciao e grazie a wizard ed a tutti queli che mi hanno aiutato