[win XP] Rimasugli dialer spoolw

[Salmy]

Salve a tutti!

mi sn preso il suddetto dialer e credo di averlo rimosso, però la connessione si interrompe ancora e cerca di comporre numeri tipo 55555555, posto il log di hijackthis, aiutatemi pls!

EDIT

premetto ke ho un 56k quindi ho fatto le operazioni più "veloci"

EDIT 2

log cancellati

[Chill-Out]

Segui la Guida alla disinfezione per infetti http://www.hwupgrade.it/forum/showthread.php?t=1599737
avendo cura di allegare i log in formato .txt secondo le Regole di Sezione http://www.hwupgrade.it/forum/showthread.php?t=1589984
quindi usare la funzione Gestisci Allegati o hostarli su www.zshare.net ed indicare il link dove prelevarli.


ti invito ad editare il tuo post precedente secondo le Regole di Sezione, grazie per la collaborazione, ciao.

[Salmy]

grazie x il link all'autoanalyzer, spero di aver risolto, x fixare le voci devo entrare in modalità provvisoria o posso farlo normalmente anke ora?

[Chill-Out]

segui la Guida al log di HJT ci pensiamo poi

[xcdegasp]

Quote:

Originariamente inviato da Salmy

grazie x il link all'autoanalyzer, spero di aver risolto, x fixare le voci devo entrare in modalità provvisoria o posso farlo normalmente anke ora?

perchè non hai editato il prima messaggio come giustamente ha suggerito l'utente "Chill-Out" ?
per proseguire attendiamo i log delle scansioni

[Salmy]

ho editato spero vada bene adesso

[murack83pa]

continua a seguire la guida: fai una scansione in deep scan con asquared e poi fai una scansione online antivirus (nella guida c'è il link necessario)
posta poi qui i log secondo le regole di sezione

[Chill-Out]

Prima di fare quello che giustamente ti è stato suggerito da murack83pa segui questa procedura:

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download: http://www.filehippo.com/download/83...b540/download/

Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
http://swandog46.geekstogo.com/avenger.zip
Script:

Quote:

Files to delete:
C:\WINDOWS\system32\winpcn32.dll
C:\WINDOWS\system32\wininit.sys
C:\WINDOWS\Temp\win6E0.tmp.exe
C:\WINDOWS\TEMP\win603.tmp.exe
C:\WINDOWS\Temp\win9C.tmp.exe

Visto che hai una connessione 56K invece di fare una scansione online utilizza Dr.Web CureIt prelevabile a questo indirizzo: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
N.B: una volta eseguito fà una scansione delle aree sensibili, cioè più a rischio di infezioni, una volta terminata questa prima fase, lancia una scansione di tutto il sistema

Riepilogo dei log da allegare:
Avenger
a-squared
Nuovo log di Prevx CSI
Nuovo log di HijackThis

i log hostali su www.zshare.net ed indica il link dove prelevarli

[xcdegasp]

ma per i log immensi è tanto difficile usare www.zshare.net e mettere solo il lionk qui?
si chiede solo un minimo di cooperazione per venirsi incontro non si chiede d'essere laureati o ingegneri o filosofi, ma solo una cosuccia semplice semplice.. che tra le altre cose interessa è nel tuo stesso interesse visto che chiedi un'aiuto quindi più ci faciliti e prima risolvi in modo positivo

[Salmy]

log prevx csi
csi.log - 0.35MB

log hijack

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.48.06, on 21/12/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN .EXE
C:\Programmi\File comuni\Real\Update_OB\realsched .exe
C:\WINDOWS\sm56hlpr .exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched .exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc .exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\Bluetooth Software\BTTray.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\PnkBstrB.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Xfire\Xfire.exe
C:\Programmi\File comuni\Real\Update_OB\rnathchk.exe
C:\WINDOWS\explorer.exe
C:\Programmi\FlashGet\flashget.exe
C:\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: load=C:\WINDOWS\System32\vtstq.exe
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MSNAgent] C:\WINDOWS\TEMP\win603.tmp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/dial_up
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {E61135DF-716D-49A7-B29B-8287A1CD072C} (WidelookX Control) - http://quattroruote.immanens.com/it/widelook/widelookX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0871B34C-CF11-452C-ABEC-445445BE81FC}: NameServer = 193.12.150.2 212.247.152.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{0871B34C-CF11-452C-ABEC-445445BE81FC}: NameServer = 193.12.150.2 212.247.152.2
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\Bluetooth Software\bin\btwdins.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\System32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

--
End of file - 6957 bytes

il problema della disconnessione e riconnessione automatica sembra risolto ( GRAZIE 1000!!!11!!1!) però prevx ha trovato due file riconducibili al trojan vundo, seguo le istruzioni della guida e poi posto di nuovo i log


PS. a-squared sono 20 mega e dr.web 8 mega, evito.

dai ke un po alla volta togliamo tutte ste skifezze

[murack83pa]

ciao
ferma un attimo: sei infetto da vundo, il che richiede una procedura particolare, esiste un 3d specifico x la rimozione del trojan vundo, vai qui

tutti i log li devi postare li, ok?
qualsiasi dubbio sulla procedura, sempre li
poi il mod chiuderà questo 3d
ciao ciao

[Chill-Out]

è il log di Avenger ?

[Salmy]

spero sia questo

Codice:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pjidcejn

*******************

Script file located at: \??\C:\Documents and Settings\qcgtdibc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\winpcn32.dll deleted successfully.
File C:\WINDOWS\system32\wininit.sys deleted successfully.
File C:\WINDOWS\Temp\win6E0.tmp.exe deleted successfully.
File C:\WINDOWS\TEMP\win603.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win9C.tmp.exe deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

riavvio in modalità provvisoria e faccio andare i programmini anti vundo intanto

[Chill-Out]

puoi attendere un attimo

1 - Innazitutto hai disabilitato il ripristino configurazione sistema?
2 - in Avenger inserisci questo script

Quote:

Files to delete:
C:\WINDOWS\system32\efcyxwv.dll
C:\WINDOWS\System32\vtstq.dll
C:\WINDOWS\System32\vtstq.exe
C:\WINDOWS\System32\RCX14.tmp

Riavvia il PC in modalita provvisoria F8 e fai girare Combofix
http://www.techsupportforum.com/sect...s/ComboFix.exe
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)

Al termine della procedura sopraindicata hosta su www.zshare.net i seguenti log:
Avenger
ComboFix
Nuovo log di Prevx CSI
Nuovo log di Hjt
stavolta mi aspetto che segui le istruzioni, grazie

Quote:

PS. a-squared sono 20 mega e dr.web 8 mega, evito.

su a-squared posso anche essere daccordo, tieni presente che a-squared lo trovi in DVD allegato praticamente a tutte le riviste di settore, quindi si tratta di installarlo ed aggiornare solo le definizioni. Per quanto riguarda Dr.Web CureIt direi che 8MB non sono improponibili neanche per una 56K considerando che il tuo problema non è certo un rimasuglio di "dialer spoolw"

[Salmy]

ops ormai avevo gia fatto sry, cmq mi resta da fare solo combofix, ke farò domani ormai, intanto alcuni log:
logz.rar - 0.07MB

si è ripresentato il problema della disconnessione,vabè se nn ne veniamo più fuori ne approffitto delle ferie per formattare

cmq grazie x il momento, a domani (se ci siete... )

[Chill-Out]

Quote:

Originariamente inviato da Salmy

ops ormai avevo gia fatto sry, cmq mi resta da fare solo combofix, ke farò domani ormai, intanto alcuni log:
logz.rar - 0.07MB

si è ripresentato il problema della disconnessione,vabè se nn ne veniamo più fuori ne approffitto delle ferie per formattare

cmq grazie x il momento, a domani (se ci siete... )

visto che hai deciso di seguire la tua procedura, che dirti buona formattazione.

[Salmy]

in ogni caso combofix nn me lo scarica...ho provato a cercare ma tutti portano allo stesso link, un file da 0 byte

[Riverside]

Quote:

Originariamente inviato da Salmy

in ogni caso combofix nn me lo scarica...ho provato a cercare ma tutti portano allo stesso link, un file da 0 byte

ti hanno spiegato che il log non vanno pubblicati, urlizzando con il tag code ???? forse non te ne rendi conto, ma rispetto alle connessioni in uso a persone che offrono assistenza il pubblicare i log (in particolare quelli di maggiori dimensione) come hai fatto tu, crea dei notevoli problemi (per esempio, gli si inchioda la pagina).

[Salmy]

tra le opzioni di "Regole di Sezione" c'è anke quella di usare i tag code, poi certo se lo cose vengono spiegate subito uno capisce meglio...

[murack83pa]

Quote:

Originariamente inviato da Salmy

tra le opzioni di "Regole di Sezione" c'è anke quella di usare i tag code, poi certo se lo cose vengono spiegate subito uno capisce meglio...

effetivamente sono in confusione anche io....
io avevo proposto gia di eliminare l'opzione dei tag....