Dialer Peggio Di Un Virus!

[MACC]

Ciao a tutti!
Recentemente navigando in rete mi sono beccato un dialer veramente tremendo.
Si crea in automatico sotto C: una cartella intitolata "WEB DIALER" nella quale inserisce il file "li-thund00001.exe" e crea collegamenti con icona a forma di labbra rosse ovunque (desktop, menu' di avvio, esecuzione automatica e cartella file temporanei).
Non contento si infiltra nel file system di windows ricreando il file esegubile di cuui sopra e il file "cellulari. mht".
Il programma è interamente il lingua tedesca, io ho provato a disinstallarlo + volte, ma ogni volta che accedo alla rete lui si reinstalla automaticamente.
il vero problema è che sto coso continua a perseguitare il computer che ho al lavoro che è connesso alla rete 24h su 24!
Ho provato ad installare ed eseguire in sequenza: Ad-aware, Norton antivirus, Dialer control, regclean e regcleaner ma nessuno lo rileva ho lo ferma!

Aiutatemi Voi P.F.

[Bilancino]

Un altro utente del forum ha risolto il problema usando winpatrol (scaricabile dal mio sito) e cercando il processo attivo relativo al dialer alla fine è riuscito ad eliminarlo.


http://digilander.libero.it/andreaing/winpatroll.htm

Ciao

[MACC]

Ho scaricato da digital Patrol, funziona comunque?
Qual'è il tuo sito?

Grazie.

[MACC]

Ops.. non l'avevo visto!

[Bilancino]

Quote:

Originariamente inviato da MACC
[b]
Qual'è il tuo sito?

Grazie.

C'è scritto............

prova anche il programma spybot:

http://digilander.libero.it/andreaing/spybot.htm

Ciao

[Rorschack]

Dopo il suggerimento del mod, copio ed incollo la mia risposta all'altra copia del tuo messaggio:

Piccolo suggerimento (mi scuso in anticipo se risulterà una cosa scontata): non puoi usare regedit, ricercando e cancellando impietosamente nel registro (previo backup) TUTTE le voci nelle quali compaiono i file incriminati "li-thund00001.exe" e "cellulari. mht"? Allo stesso modo, puoi eseguire da linea di comando l'utilità "msconfig" esaminando ed escludendo reversibilmente ogni singolo programma che va in autorun all'avvio di windows (non soltanto quelli in esecuzione automatica).
Fammi sapere se ti sono stato d'aiuto

[MACC]

Io col registo non vado molto d'accordo, comunque ho seguito il tuo consiglio e ho rimosso manualmente quelle maledette chiavi!
Spero solo che non mi si inchiodi il pc (chi lo sente poi il capo!)
Un'altra cosa strana è che nella cartella system di win mi è apparso un programma che non avevo mai visto che ha come icona un osacchiotto.
L'ho cancellato, ma lui dopo 2 secondi è riapparso magicamente!
Sapete per caso dirmi cos'è?

P.S. scusate se ho postato per ben 2 volte nella sezione sbagliata, ma è la prima volta che partecipo al forum!

Grazie.

[Bilancino]

Quote:

Originariamente inviato da MACC
[b]
P.S. scusate se ho postato per ben 2 volte nella sezione sbagliata, ma è la prima volta che partecipo al forum!

Grazie.

Non c'è problema...........comunque se non ricordo male l'orsachiotto lo avevo anche io su win98 e si era sparsa una bufala su questo file che dicevano che era un trojan.......sempre se non ricordo male...........

Ciao

[MACC]

Ho provato ad installare Win Patrol come mi avevi detto.
Non ha riconosciuto il programma con icona l'orsacchiotto e io per pura e semplice curiosità, mista ad una grande ignoranza, ho provato a lanciarlo!
Tanto per cambiare mi è apparso il programma li-thund00001 che pensavo estirpato con annesse chiavi di reg ecc..
L'orsacchiotto maledetto indica il comando "Avirchk.exe"
Cos'è? X' io lo cancello e questo riappare?
Mi sa che è veramente un trojan!

Grazie.
Ciao

[Bilancino]

Prova un antitrojan come the cleaner............quando questi programmi insidiosi entrano sono come le zecche per levarli. Winpatrol controlla che il file win.ini e system.ini non vengano modificati e controlla se nuovi programmi vengono caricati all'avvio.

Ciao

[MACC]

P.S. Questo ospite indesiderato me lo sono preso navigando in Virgilio sotto ricerca di sondi per il desktop.
Vi consiglio quindi di starne lontani!

Ultima domanda (spero)
E' normale che dopo aver eliminato delle chiavi dal registro e aver riavviato il pc queste riappaiano?
La cartella sotto cui sono queste chiavi è: "Doc Find Spec MRU" sotto la catella Win.

Grazie devo dire che mi siete stati di grande aiuto!!!!

[amvinfe]

Quote:

Originariamente inviato da MACC
[b]P.S. Questo ospite indesiderato me lo sono preso navigando in Virgilio sotto ricerca di sondi per il desktop.
Vi consiglio quindi di starne lontani!

Ultima domanda (spero)
E' normale che dopo aver eliminato delle chiavi dal registro e aver riavviato il pc queste riappaiano?
La cartella sotto cui sono queste chiavi è: "Doc Find Spec MRU" sotto la catella Win.

Grazie devo dire che mi siete stati di grande aiuto!!!!

Quote:

Originariamente inviato da MACC
[b]Ho provato ad installare Win Patrol come mi avevi detto.
Non ha riconosciuto il programma con icona l'orsacchiotto e io per pura e semplice curiosità, mista ad una grande ignoranza, ho provato a lanciarlo!
Tanto per cambiare mi è apparso il programma li-thund00001 che pensavo estirpato con annesse chiavi di reg ecc..
L'orsacchiotto maledetto indica il comando "Avirchk.exe"
Cos'è? X' io lo cancello e questo riappare?
Mi sa che è veramente un trojan!

Grazie.
Ciao

Prova a vedere in Start>Esegui>msconfig>Esecusione automatica dovresti trovare anche lì li-thund00001, vai poi in Start>Esegui>regedit>HKEY_LOCAL_MACHINE e HKEY_CURRENT_USER e vedi ase hai la cartella WebDialer, se sì aprila e guarda a dx del pannello se trovi qualcosa che ti riconduce al dialer cancella. Vai in C:\WINDOWS\Cookie e cancella tutto il contenuto della cartella, vai in C:\WINDOWS\temporary internet files e cancella tutto il contenuto, vai in C:\WINDOWS\Programmi e cerca qualche riferimento, vai in C:\WINDOWS\System e vedi se hai il file Jdbgmrg.exe (ATTENZIONE NON E' QUELLO DELL'ORSETTO CHE FRA L'ALTRO E' UN FILE DI WINDOWS, QUELLO CHE DEVI CERCARE ED ELIMINARE HA LE ULTIME 2 LETTERE INVERTITE!!!) se lo trovi cancellallo, anche se 99 volte su 100 non te lo permette perchè in uso. L'unico modo per cancellarlo è scaricare un Antitrojan (ad esempio TrojanRemover) clicchi sul file per farlo analizzare, la risposta che ti verrà data sarà "This file appears to be OK", clicca su "Delete this file (use with caution)" e premi OK, subito ti si spegnerà e ti si riavvierà il Pc, ripristina il Desktop.
Non dovresti avere più problemi.
ULTIMA COSA CHE DEVI FARE PRIMA DI PROCEDERE CON LA RIMOZIONE DI QUESTO FILE E' SVUOTARE IL CESTINO!!!
FAI TUTTO QUESTO NON CONNESSO, IN QUANTO IL DIALER TI SI RIPRESENTEREBBE NON APPENA CERCHI DI CANCELLARLO, ultimo controllo verifica che nella task-manager non vi sia un processo attivo del dialer nel casi lo termini.
Buon lavoro
Marco(amvinfe)
Ah dimenticavo, cambia la home page che hai di default e verifica che la stessa cosa sia fatta anche in preferiti!!!

[amvinfe]

Mi ero dimenticato di una cosa importante controlla anche che non ci sia JDBGMRG.EXE, nel caso cancelli la stringa, in
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ controlla tutti i processi Run che trovi, apri la cartella e guarda nel pannello di dx se trovi il file nel caso cancella la stringa, stessa cosa fai per HKEY_CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run
se il file in questione lo trovi in System lo trovi sicuramente anche qui.
Marco(amvinfe)

[TheyCallMeMr.X.]

questi dialer sono veramente bastardi

[amvinfe]

Quote:

Originariamente inviato da TheyCallMeMr.X.
[b]questi dialer sono veramente bastardi

Diciamo che sono un po' rognosi perchè poco conosciuti, l'altro giorno per levarne uno (credo che sia lo stesso che ha MACC, con un'icona a forma di labbra rosse) dal Pc di un mio collega, ho perso tutto il pomeriggio, e finora non gli è più ricomparso. Infatti se non levi uno ad uno tutti i processi che apre te lo ritrovi lì appena ti riconnetti, addirittura il mio collega mi ha detto che levati i collegamenti che aveva sulla scrivania, ed in Start\Programmi, quando lanciava il defrag gli si bloccava tutto e ricomparivano tutti i collegamenti. Ovviamente non vengono riconosciuti dai AV, almeno da Norton e da McAfee, in quanto non sono riconosciuti come (ad es.) script dannosi, tutto sta ad avere molta pazienza e segnarsi uno ad uno tutti i processi man mano che ci si rende conto di aver a che fare con un dialer. Ma la cosa più strana a cui ho assistito è che andando in Temporary internet files ho trovato un cookie del sito della pagina che aveva di default , dopo pochi secondi lo stesso cookie è cambiato in qualcosa tipo chips.txt e non aveva nulla a che fare con un cookie del sito da cui era stato scaricato. Ecco perchè a MACC ho consigliato anche di cambiare la homepage e di cancellarla anche dai preferiti.
Marco(amvinfe)

[Alexhwoc]

Che mi risulti questi dialer sono al limite del legale.
Questi programmi funzionano solo con modeme 56K o ISDN ma non con ADSL o altri tipi di connesioni come ad esempio una LAN.
Certo che se una volta queste cose succedevano se andavi sui siti warez ecc adesso basta andare in virgilio ( portali che dovrebbero essere sicuri) per trovarsi invasi da questi programmi-zecca.


Ora per navigare serve ZoneAlarm, norton, dialer control, popup killer e chi più ne più ne metta.


punto informatico ha fatto un articolo a proposito nel quale sipegava bene questo fenomeno.

[amvinfe]

Quote:

Originariamente inviato da Alexhwoc
[b]Che mi risulti questi dialer sono al limite del legale.
Questi programmi funzionano solo con modeme 56K o ISDN ma non con ADSL o altri tipi di connesioni come ad esempio una LAN.
Certo che se una volta queste cose succedevano se andavi sui siti warez ecc adesso basta andare in virgilio ( portali che dovrebbero essere sicuri) per trovarsi invasi da questi programmi-zecca.


Ora per navigare serve ZoneAlarm, norton, dialer control, popup killer e chi più ne più ne metta.


punto informatico ha fatto un articolo a proposito nel quale sipegava bene questo fenomeno.

Beh sì con connessioni ADSL non hanno modo di reindirizzare il Pc su altri n°, per il momento, ma il dialer che ho tolto al mio collega era entrato in una LAN e con connessione ADSL. E' sempre bene di tanto in tanto controllare la connessione remota predefinita oltre che dal Pannello di controllo, anche in:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
HKEY_USER\.DEFAULT\RemoreAccess
Marco(amvinfe)

[MACC]

Grazie, ho seguito il tuo consiglio, e andando nel reg di sistema sotto la cartella HKEY_CURRENT_USER ho trovato la cartella WEB DIALER e l'ho cancellata interamente.
Sono anche andato nella cartella system di windows e ho trovato, come avevi detto, il file eseguibile jdbgmrg.exe come file nascosto, con icona l'orsacchiotto e le 2 ultime lettere invertite rispetto al file di Win!
Ho dovuto cancellarlo staccandomi dalla rete, perchè ogni volta che provavo a eliminarlo lui ricompariva, e nella cartella system di windows non riuscivo nemmeno a scorrere i file perchè il computer continuava a "lavorare"!
Spero di averlo eliminato definitivamente.

Vi farò sapere, per intanto Grazie a tutti!

[Alexhwoc]

Quote:

Originariamente inviato da MACC
[b]Grazie, ho seguito il tuo consiglio, e andando nel reg di sistema sotto la cartella HKEY_CURRENT_USER ho trovato la cartella WEB DIALER e l'ho cancellata interamente.
Sono anche andato nella cartella system di windows e ho trovato, come avevi detto, il file eseguibile jdbgmrg.exe come file nascosto, con icona l'orsacchiotto e le 2 ultime lettere invertite rispetto al file di Win!
Ho dovuto cancellarlo staccandomi dalla rete, perchè ogni volta che provavo a eliminarlo lui ricompariva, e nella cartella system di windows non riuscivo nemmeno a scorrere i file perchè il computer continuava a "lavorare"!
Spero di averlo eliminato definitivamente.

Vi farò sapere, per intanto Grazie a tutti!

Bravo Marco!

CMQ da come ho capito la vostra LAN è un po' un colabrodo

[amvinfe]

Quote:

Originariamente inviato da Alexhwoc
[b]
Bravo Marco!

CMQ da come ho capito la vostra LAN è un po' un colabrodo

Beh, non è proprio così, c'è una sostanziale differenza fra i codici per virus\worm\trojan etc etc e i codici che vengono usati per gli spyware od i dialer. Nei secondi non c'è codice dannoso, ecco perchè gli antivirus non li rilevano, la riprova è che qualsiasi software, ad es. GO!ZILLA, che ha spy non viene certo bloccato dagli antivirus.
Ciao,
Marco(amvinfe)