qtfmon dialer? Help

[Pisolo123]

Salve, da questo pomeriggio ho un problema con questo "coso" vedi immagine
mi cade sempre la connessione dopo 2-3 minuti, ho un 56k, utilizzo un antidialer (che lo blocca), spybot, nod32, ma non mi hanno rilevato nulla.
Ho fatto uno scan con hijack ed è tutto ok, ho provato pure FindAWF e non esce nulla. Quando tenta di connettersi apro il task ma non appare nemmeno lì

Non so dove mettere le mani

Grazie

[Chill-Out]

Allega un log di FindAWF se il responso è negativo segui la Guida alla disinfezione allegando i log secondo le Regole di sezione, ciao.

[Pisolo123]

Questo è quello che esce con Find, forse sbaglio ad usarlo, ora vado a leggere il 3d che mi hai consigliato. Grazie

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

[murack83pa]

segui la guida alla disinfezione come ti è stato già indicato e posta i log richiesti

stai attento a come posti i log, scegliendo tra:
1)la funzione allegati, rinominando i log in formato txt
2)caricare il log su FileUp, copiando qui i link x il download
è preferibile l'ultima opzione
bye bye

[Pisolo123]

Forse "ho" risolto il problema, ho utlizzato per primo ESET ADS Revealer ripulendo il pc dagli ads (fino ad oggi non sapevo neanchè cosa fossero), cmq erano pochi, poi ho lanciato HiJackThis ed infine gmer con il risultato che sono 20 minuti consecutivi che sono online, non + 2.



Ciaoooo

[Riverside]

Quote:

Originariamente inviato da Pisolo123

Forse "ho" risolto il problema, ho utlizzato per primo ESET ADS Revealer ripulendo il pc dagli ads (fino ad oggi non sapevo neanchè cosa fossero), cmq erano pochi, poi ho lanciato HiJackThis ed infine gmer con il risultato che sono 20 minuti consecutivi che sono online, non + 2.

Interessante come risoluzione: hai lanciato HiJackThis e cosa avrebbe fatto di così eccezionale, ovvero, cosa avrebbe rimosso, da solo?

[Pisolo123]

Con HijackThis ho fixato una voce in seguito all'analisi del log direttamente dal sito di questo programma.


L'unica cosa è che ora non si sconnette più. Forse la mia è stata una gran botta di fortuna, che vuoi che ti dica è dalle 20 che faccio scansioni su scansioni ed ora pare che giri tutto come prima.



Ciaoooo

[Riverside]

Quote:

Originariamente inviato da Pisolo123

Con HijackThis ho fixato una voce in seguito all'analisi del log direttamente dal sito di questo programma.
L'unica cosa è che ora non si sconnette più. Forse la mia è stata una gran botta di fortuna, che vuoi che ti dica è dalle 20 che faccio scansioni su scansioni ed ora pare che giri tutto come prima.

Bene: a volte, il fai da te, funziona

[Zato6]

Stesso problema ma non riesco a risolverlo in nessun modo porco mondo

[murack83pa]

Quote:

Originariamente inviato da Zato6

Stesso problema ma non riesco a risolverlo in nessun modo porco mondo

prova cosi:
http://www.hwupgrade.it/forum/showpo...72&postcount=4

se hai già provato con quei programmi, gentilmente posta i log (secondo le modalità indicate), visto che nn abbiamo la sfera di cristallo

[Zato6]

siccome sono abbastanza ignorante in materia i log sarebbe l'elenco che esce usando hijackthis?

[xcdegasp]

sì è il file di testo

[wizard1993]

se vuoi momentaneamente bloccare il dialer usa questo
http://www.digisoft.cc/antidialer.asp
e fai una scansione con avg antispyware, che a euristica antidialer ci sa fare

[Zato6]

Gente non ci crederete ma dovrei aver risolto da solo fixando a caso un paio di log . Comunque grazie per l'aiuto vi voglio bene.

[deneb87]

Ottimo!

bisognerebbe rinominare il titolo di questa discussione come "fai da te"
o chi fa da se fa per tre

[Chill-Out]

Quote:

Gente non ci crederete ma dovrei aver risolto da solo fixando a caso un paio di log . Comunque grazie per l'aiuto vi voglio bene.

Quote:

Ottimo!

bisognerebbe rinominare il titolo di questa discussione come "fai da te"
o chi fa da se fa per tre

Potremmo fare una nuova Guida dal titolo: "Fixando a caso un paio di log"

[Zato6]

Quote:

Originariamente inviato da Chill-Out

Potremmo fare una nuova Guida dal titolo: "Fixando a caso un paio di log"

Si in effetti manca...
Comunque almeno ho imparato un paio di cose leggendomi le guide

[rallyitalia]

Un mio "amico" mi ha dato il suo notebook infetto da questo cavolo di dialer, aiutatemi altrimenti mi tocca spaccargli il pc sulla testa!!

Da notare che la carogna non è tra le connessioni appena acceso il pc, appare per "magia" dopo qualche minuto di connessione e tenta di riconnettersi al solito 899....

Ho provato a fare scansioni con più programmi ma niente.

Il log di HijackThis:

Codice:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Programmi\Toshiba\Toshiba Applet\thotkey.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TDispVol.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\PrevxCSI\PrevxCSI.exe
C:\Documents and Settings\beppe\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [THotkey] C:\Programmi\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrevxCSI.lnk = ?
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201135183859
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6DCFA0D-D759-4AFC-B93C-D2F4AE4E0529}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O21 - SSODL: oledll - {42445467-183A-C20F-DD27-CF14D224B679} - C:\WINDOWS\system32\wdaol.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programmi\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

Il log di Gmer:

Codice:

AttachedDevice  \FileSystem\Ntfs \Ntfs       aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp  aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

[Nuz]

Inizia a fixare questo:

O21 - SSODL: oledll - {42445467-183A-C20F-DD27-CF14D224B679} - C:\WINDOWS\system32\wdaol.dll

Poi scarica Avenger e inserisci questo script:

Quote:

Files to delete:
C:\WINDOWS\system32\wdaol.dll

Poi allega il log avenger.txt, un nuovo log di HJT.

Se hai eseguito la guida i log di HJT e gmer (incompleto, scan da rifare) non bastano servono anche gli altri (a-squared, prevx, scansione on-line, ecc.).

[rallyitalia]

Innanzitutto voglio ringraziarti per la disponibilità e la tempestivita (bello l'avatar con "The Stig")

Ho seguito le tue indicazioni e sembra funzionare tutto al meglio.

Allego qualche file di log (con gmer non riesco ad esportare di più)

Clicca qui per scaricare