|
|||||||
|
|
|
 |
|
|
Strumenti |
21-10-2007, 17:54
|
#1 |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 13
|
Dialer.
Salve a tutti sono una nuova utente...con un problema ultimamnet ho un dialer sul pc...a-square lo trova e lo elimina ma dopo poco eccolo ricomparirre (heuristic dialer).
ho provato a fare il test con hijackthis vi posto il file log nella speranza che qualcuno possa aiutarmi (in particolare facendo clic su analizza mi indica come sospetti O15 - Trusted Zone: *.whataboutadog.com O15 - Trusted Zone: *.whataboutarabit.com) grazie in anticipo! Ciao. Logfile of HijackThis v1.99.1 Scan saved at 17.30.12, on 21/10/2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\a-squared Free\a2service.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programmi\Digisoft AntiDialer\AntiDialer.exe C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\MSN Messenger\usnsvc.exe C:\Programmi\MSN Messenger\livecall.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\WinZip\winzip32.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\unzipped\hijackthis_199[1]\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.economia.uniparthenope.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Programmi\Google\googletoolbar1.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: *.whataboutadog.com O15 - Trusted Zone: *.whataboutarabit.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1184613330629 O17 - HKLM\System\CCS\Services\Tcpip\..\{73316228-4BD0-4163-A863-2D9F1DCFB553}: NameServer = 62.211.69.150 212.48.4.15 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe |
|
|
|
21-10-2007, 18:03
|
#2 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 29028
|
hai il trojan obfuscated,serve un log di findawf
|
|
|
|
|
21-10-2007, 18:57
|
#3 |
|
Senior Member
Iscritto dal: Aug 2007
Città: Lucca Sesso: FEMMINA
Messaggi: 2495
|
FINDAWF: clicca qui per il download
Tool per la rilevazione della directory BAK e per la rimozione del Trojan.win32.Obfuscated.dr |
|
|
|
|
21-10-2007, 19:54
|
#4 |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 13
|
Grazie...però ho scaricato il programma ma quando lo lancio mi da errore: non è un'applicazione di win32 valida.
se potete aiutatemi ancora! Grazie. |
|
|
|
|
21-10-2007, 20:05
|
#5 |
|
Senior Member
Iscritto dal: Aug 2007
Città: Lucca Sesso: FEMMINA
Messaggi: 2495
|
Proviamo a fare un po di pulizia prima!
CCLEANER: clicca qui per il download una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su: ● Impostazioni, e spunta la voce Cancellazione sicura (lenta) poi su: ● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore ● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate ● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione ● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui ASQUARED FREE: clicca qui per il download una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati. ASQUARED ANTIDIALER FREE: clicca qui per il download una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema. Riavvia,poi riprova il tool di prima che non andava! |
|
|
|
|
21-10-2007, 20:05
|
#6 |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 13
|
invece di salvarlo l'ho aperto direttamente ed è andato vi posto il file log
Find AWF report by noahdfear ©2006 bak folders found ~~~~~~~~~~~ Il volume nell'unit… C non ha etichetta. Numero di serie del volume: 507C-147F Directory di C:\WINDOWS\SYSTEM32\BAK 31/08/2001 16.00 13.312 ctfmon.exe 09/07/2001 11.50 155.648 NeroCheck.exe 2 File 168.960 byte 2 Directory 33.900.625.920 byte disponibili Il volume nell'unit… C non ha etichetta. Numero di serie del volume: 507C-147F Directory di C:\PROGRA~1\GARZAN~1\HAZONC~1\BAK 30/10/2001 16.53 524.288 Hazon.exe 1 File 524.288 byte 2 Directory 33.900.625.920 byte disponibili Duplicate files of bak directory contents ~~~~~~~~~~~~~~~~~~~~~~~ 13312 31 Aug 2001 "C:\WINDOWS\system32\ctfmon.exe" 13312 31 Aug 2001 "C:\WINDOWS\system32\bak\ctfmon.exe" 15360 20 Aug 2004 "C:\WINDOWS\SoftwareDistribution\Download\2687715cf083bcb30f3fa4a439f2197c\ctfmon.exe" 15360 20 Aug 2004 "C:\WINDOWS\SoftwareDistribution\Download\59c09c8627b551c5be08ab5777d2dca8\ctfmon.exe" 155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe" 524288 30 Oct 2001 "C:\Programmi\Garzanti Linguistica\Hazon Clic\Hazon.exe" 524288 30 Oct 2001 "C:\RECYCLER\S-1-5-21-790525478-1677128483-1957994488-500\Dc220\Hazon.exe" 524288 30 Oct 2001 "C:\Programmi\Garzanti Linguistica\Hazon Clic\bak\Hazon.exe" end of report Ancora grazie |
|
|
|
|
21-10-2007, 20:31
|
#7 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 29028
|
esegui con avenger questo script:
Quote:
|
|
|
|
|
|
22-10-2007, 08:52
|
#8 |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 13
|
l'ho fatto ma nn credo sia riuscito. scusate l'ignoranza ma se lo cancello manualmente nn va bene?? cmq ecco il log. sempre grazie.
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\pirvvvpx ******************* Script file located at: \??\C:\WINDOWS\System32\bxbpbsdo.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully. File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe completed successfully. File move operation C:\Programmi\Garzanti Linguistica\Hazon Clic\bak\Hazon.exe|C:\Programmi\Garzanti Linguistica\Hazon Clic\Hazon.exe completed successfully. File C:\WINDOWS\SoftwareDistribution\Download\59c09c8627b551c5be08ab5777d2dca8\ctfmon.exe deleted successfully. Could not open file C:\WINDOWS\SoftwareDistribution\Download\2687715cf083bcb30f3fa4a439f2197c\ctfmon.exe for deletion Deletion of file C:\WINDOWS\SoftwareDistribution\Download\2687715cf083bcb30f3fa4a439f2197c\ctfmon.exe failed! Could not process line: C:\WINDOWS\SoftwareDistribution\Download\2687715cf083bcb30f3fa4a439f2197c\ctfmon.exe Status: 0xc000003a Completed script processing. ******************* Finished! Terminate. |
|
|
|
|
22-10-2007, 11:02
|
#9 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 29028
|
abilita la visualizzazione dei file nascosti,vai al percorso C:\WINDOWS\SoftwareDistribution\Download\
e cancelli tutto il contenuto. installa ccleaner,ripulisci file temporanei e registro e dovresti essere apposto per averne conferma rifai uno scan con asquared |
|
|
|
|
22-10-2007, 14:41
|
#10 |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 13
|
niente nn si toglie, asquare lo trova ancora...ho letto su wikepedia che è possibile eliminare i file direttamente dal registro del sistema digitando regedit in esegui, è una cosa che consigliereste? nel registro questo ctfmon.exe l'ho trovato ma so anche che lo stesso nome c'è l'ha un file che serve x il funzionamento di office, nn vorrei far danni.
|
|
|
|
|
22-10-2007, 15:06
|
#11 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 29028
|
l hai eliminato il contenuto di quella cartella
|
|
|
|
|
22-10-2007, 16:40
|
#12 |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 13
|
si ho eliminato il contenuto di quella cartella e poi ho anche cancellato ctfmon dal registro, si trovava (nn ricordo di preciso il percorso) in hey_local_user ....run.
uff mi sembra di nn uscirne + |
|
|
|
|
22-10-2007, 17:05
|
#13 |
|
Senior Member
Iscritto dal: Aug 2007
Città: Lucca Sesso: FEMMINA
Messaggi: 2495
|
A questo punto aggiornaci, quali sono i tuoi problemi?
|
|
|
|
|
22-10-2007, 19:41
|
#14 |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 13
|
Allora ho rifatto tutti i vari passaggi che mi avete indicato questa volta disabilitanto il ripristino sistema (lo avevo dimenticato) e per il momento a-square nn rileva + il dialer...incrocio le dita e vi ringrazio tutti x l'aiuto che mi avete dato!
|
|
|
|
|
22-10-2007, 19:54
|
#15 |
|
Member
Iscritto dal: Jun 2007
Messaggi: 191
|
se vuoi una conferma, posta un nuovo log di hijackthis e di findwaf..
|
|
|
|
|
23-10-2007, 11:35
|
#16 |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 13
|
Li metto entrambi qui di seguito.
scusate ma cos'è questa bak? e questi aboutdog e rabbit? Find AWF report by noahdfear ©2006 bak folders found ~~~~~~~~~~~ Il volume nell'unit… C non ha etichetta. Numero di serie del volume: 507C-147F Directory di C:\WINDOWS\SYSTEM32\BAK 0 File 0 byte 2 Directory 35.793.358.848 byte disponibili Il volume nell'unit… C non ha etichetta. Numero di serie del volume: 507C-147F Directory di C:\PROGRA~1\GARZAN~1\HAZONC~1\BAK 0 File 0 byte 2 Directory 35.793.358.848 byte disponibili Duplicate files of bak directory contents ~~~~~~~~~~~~~~~~~~~~~~~ end of report Logfile of HijackThis v1.99.1 Scan saved at 12.20.33, on 23/10/2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\a-squared Anti-Dialer\a2service.exe C:\WINDOWS\Explorer.EXE C:\Programmi\a-squared Free\a2service.exe C:\WINDOWS\System32\alg.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Programmi\a-squared Anti-Dialer\a2adguard.exe C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programmi\Digisoft AntiDialer\AntiDialer.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\MSN Messenger\usnsvc.exe C:\Documents and Settings\Administrator\Documenti\Programmi_utility\hijackthis_199[1]\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.economia.uniparthenope.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: &Google - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Programmi\Google\googletoolbar1.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe" O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: *.whataboutadog.com O15 - Trusted Zone: *.whataboutarabit.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1184613330629 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Dialer\a2service.exe O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe |
|
|
|
|
23-10-2007, 11:37
|
#17 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 29028
|
fixa pure le 015,ora dovresti essere apposto
|
|
|
|
|
23-10-2007, 13:36
|
#18 |
|
Junior Member
Iscritto dal: Oct 2007
Messaggi: 13
|
Fatto...spero di aver risolto finalmente!
Vi ringrazio tutti!!!!! |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 23:55.
