CHECK.exe

gu3st76 · 30-05-2004, 14:34

Ho beccato ultimamente questo dialer, anche se ho l'adsl e non può provocarmi spese folli, mi disconnette in continuazione e cerca di collegarsi al suo buon 899...
A differenza di altri dialer questo va a posizionarsi in una cartella di sistema come C:\WINNT\system32\ShellExt come file nascosto
ma anche eliminadolo riesce a ricrearsi anche senza un reboot della macchina!!
Qualcuno sa per caso in quali chiavi di registro va a nascondersi????

MrOZ · 30-05-2004, 17:40

Prova a fare uno scan con spybot 1.3 aggiornato (le definiz. di oggi contengono una lunga lista di riconoscimento di dialer) oppure con a2.

RenèBascè · 30-05-2004, 22:08

Quote:

Originariamente inviato da MrOZ
Prova a fare uno scan con spybot 1.3 aggiornato (le definiz. di oggi contengono una lunga lista di riconoscimento di dialer) oppure con a2.

Anche io ho questoo fastidiossimo problema per cui mi disconnette ogni due minuti pur avendo Alice ADLS ....

Ho provato spybot ; adaware , norton eccetera !

Vorrei evitare sinceramente di formattare !
Ho dentro troppa roba importante !

axxaxxa3 · 30-05-2004, 23:07

Quote:

Originariamente inviato da RenèBascè
Anche io ho questoo fastidiossimo problema per cui mi disconnette ogni due minuti pur avendo Alice ADLS ....

Ho provato spybot ; adaware , norton eccetera !

Vorrei evitare sinceramente di formattare !
Ho dentro troppa roba importante !

Hai installato qualche antidialer?

gu3st76 · 30-05-2004, 23:52

Ho provato tutti i tipi di programmini possibili
dal norton al reg clener passando per i vari spybot, spyware ecc..
ma niente di niene per loro sono pulito!!!
Per scrivere questo messaggio ho dovuto connettermi già tre volte
Help me please!!!

wgator · 31-05-2004, 10:01

Quote:

Originariamente inviato da gu3st76
Ho beccato ultimamente questo dialer, anche se ho l'adsl e non può provocarmi spese folli, mi disconnette in continuazione e cerca di collegarsi al suo buon 899...
A differenza di altri dialer questo va a posizionarsi in una cartella di sistema come C:\WINNT\system32\ShellExt come file nascosto
ma anche eliminadolo riesce a ricrearsi anche senza un reboot della macchina!!
Qualcuno sa per caso in quali chiavi di registro va a nascondersi????

Ciao,

ho letto che il tuo problema è abbastanza diffuso anche in gruppi di discussione internazionali. Non ho letto di soluzioni (almeno nei forum in lingue per me comprensibili)

Ho visto che hai provato di cancellare CHECK.exe ma ti si riforma subito. Ovviamente succede perchè c'è qualche dll o eseguibile ancora presente.

Come antidialer molti consigliano di mettere il file rasphone.pbk in sola lettura (è la rubrica di accesso remoto), ma prima temo che occorra togliere il dialer

Ti rimane la carta del log di hijackthis. Prova a postarlo qui...
tra tante teste, forse qualcuno di noi potrebbe trovare la medicina. Tentare non nuoce

gu3st76 · 31-05-2004, 11:21

Ok entro il pomeriggio inserirò il log di hijackthis
sul forum sperando che qualche testa trovi la soluzione

purtroppo anche io ho notato che il problema si sta diffondendo
ma forse è una fortuna così la soluzione sarà piu facile da trovare

ciao

gu3st76 · 31-05-2004, 12:53

Eco qui il log:

Logfile of HijackThis v1.97.7
Scan saved at 13.53.04, on 31/05/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programmi\ISS\BlackICE\blackd.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\mnmsrvc.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINNT\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\File comuni\Symantec Shared\SymTray.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\devldr32.exe
C:\Programmi\Creative\ShareDLL\CtNotify.exe
C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe
C:\WINNT\system32\GSICON.EXE
C:\WINNT\system32\dslagent.exe
C:\Programmi\Creative\ShareDLL\MediaDet.Exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\deamon.exe
C:\Programmi\ISS\BlackICE\blackice.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Norton AntiVirus\OPScan.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Desktop\pulitori\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://it.msn.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Messanger] C:\WINNT\deamon.exe /i
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtrdr.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Programmi\ISS\BlackICE\blackice.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://www.webcamnow.net/broadcast/ActiveXWebCam.cab
O16 - DPF: {BB95299D-B65B-47E0-8DDB-697A66298C3A} (UniVoiceX Control) - http://www.anywebcam.com/awc/html/voice/voice.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A780423C-E968-4391-A79D-AFA67379991D}: NameServer = 217.141.253.201 151.99.125.1

Speriamo qualcuno noti qualcosa di strano...
Bye

gu3st76 · 31-05-2004, 13:23

Logfile of HijackThis v1.97.7
Scan saved at 14.21.04, on 31/05/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programmi\ISS\BlackICE\blackd.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\mnmsrvc.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINNT\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\File comuni\Symantec Shared\SymTray.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\devldr32.exe
C:\Programmi\Creative\ShareDLL\CtNotify.exe
C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe
C:\WINNT\system32\GSICON.EXE
C:\WINNT\system32\dslagent.exe
C:\Programmi\Creative\ShareDLL\MediaDet.Exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\deamon.exe
C:\Programmi\ISS\BlackICE\blackice.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINNT\msn24.exe
C:\WINNT\system32\ShellExt\check.EXE
C:\Documents and Settings\Administrator\Desktop\pulitori\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://it.msn.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Messanger] C:\WINNT\deamon.exe /i
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtrdr.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Programmi\ISS\BlackICE\blackice.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} - http://www.webcamnow.net/broadcast/ActiveXWebCam.cab
O16 - DPF: {BB95299D-B65B-47E0-8DDB-697A66298C3A} (UniVoiceX Control) - http://www.anywebcam.com/awc/html/voice/voice.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab

Ecco il log col dialer in esecuzione forse potrebbe essere utile confrontare i due log
Bye

wgator · 31-05-2004, 21:12

Ciao,

sai cos'è questo?

O4 - HKLM\..\Run: [Messanger] C:\WINNT\deamon.exe /i

io non l'ho mai visto...

controllalo perchè MESSANGER mi è nuovo, di solito è MESSENGER. Inoltre DEAMON è insolito, normalmente è DAEMON.
Però probabilmente sono io che non sono abbastanza informato

Le altre voci mi sembrano regolari...

Ah, dando un occhiata in giro sugli altri forum dove discutono di CHECK.exe ho visto che qualcuno forse ha trovato qualcosa di strano in una cartella temporanea dentro document and settings. Prova a fare una ricerca start->cerca->file e cartelle e inserisci temp e tmp. Vedi se c'è qualche cartella che contiene un .exe sconosciuto

gu3st76 · 01-06-2004, 15:29

ottima osservazione,
ma purtroppo non credo che sia la soluzione al problema
e ancor peggio, visitando altri forum vedo che nessuno abbia ancora trovato una soluzione al problema.

BYE

gu3st76 · 05-06-2004, 15:09

Forse ho trovato la soluzione su un altro forum, allora:

1) cancellare in C:\WINNT\system32\ShellExt il file Check.exe (è un file nascosto)

2)cancellare in C:\WINNT il file daemon.exe (altro file nascosto)

3)riavviare il pc...

Sono collegato da 30 minuti e sembra che di check non si abbiano più notizie.... speriamo

Bye

caccia · 06-06-2004, 13:19

Tra l'altro è un problema che si verifica solo con explorer, se usi firefox nessun problema (guarda caso).

A proposito, Il file da me è cidaemon.exe in winnt/system32 (non nascosto)

30-05-2004, 14:34	#1
gu3st76 Junior Member Iscritto dal: May 2004 Messaggi: 11	CHECK.exe Ho beccato ultimamente questo dialer, anche se ho l'adsl e non può provocarmi spese folli, mi disconnette in continuazione e cerca di collegarsi al suo buon 899... A differenza di altri dialer questo va a posizionarsi in una cartella di sistema come C:\WINNT\system32\ShellExt come file nascosto ma anche eliminadolo riesce a ricrearsi anche senza un reboot della macchina!! Qualcuno sa per caso in quali chiavi di registro va a nascondersi????

31-05-2004, 21:12	#10
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, sai cos'è questo? O4 - HKLM\..\Run: [Messanger] C:\WINNT\deamon.exe /i io non l'ho mai visto... controllalo perchè MESSANGER mi è nuovo, di solito è MESSENGER. Inoltre DEAMON è insolito, normalmente è DAEMON. Però probabilmente sono io che non sono abbastanza informato Le altre voci mi sembrano regolari... Ah, dando un occhiata in giro sugli altri forum dove discutono di CHECK.exe ho visto che qualcuno forse ha trovato qualcosa di strano in una cartella temporanea dentro document and settings. Prova a fare una ricerca start->cerca->file e cartelle e inserisci temp e tmp. Vedi se c'è qualche cartella che contiene un .exe sconosciuto __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

06-06-2004, 13:19	#13
caccia Member Iscritto dal: Mar 2003 Messaggi: 73	Tra l'altro è un problema che si verifica solo con explorer, se usi firefox nessun problema (guarda caso). A proposito, Il file da me è cidaemon.exe in winnt/system32 (non nascosto) Ultima modifica di caccia : 06-06-2004 alle 13:21.

30-05-2004, 17:40	#2
MrOZ Senior Member Iscritto dal: Jun 2003 Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002 Messaggi: 4426	Prova a fare uno scan con spybot 1.3 aggiornato (le definiz. di oggi contengono una lunga lista di riconoscimento di dialer) oppure con a2.

30-05-2004, 23:52	#5
gu3st76 Junior Member Iscritto dal: May 2004 Messaggi: 11	Ho provato tutti i tipi di programmini possibili dal norton al reg clener passando per i vari spybot, spyware ecc.. ma niente di niene per loro sono pulito!!! Per scrivere questo messaggio ho dovuto connettermi già tre volte Help me please!!!

31-05-2004, 11:21	#7
gu3st76 Junior Member Iscritto dal: May 2004 Messaggi: 11	Ok entro il pomeriggio inserirò il log di hijackthis sul forum sperando che qualche testa trovi la soluzione purtroppo anche io ho notato che il problema si sta diffondendo ma forse è una fortuna così la soluzione sarà piu facile da trovare ciao

31-05-2004, 12:53	#8
gu3st76 Junior Member Iscritto dal: May 2004 Messaggi: 11	Eco qui il log: Logfile of HijackThis v1.97.7 Scan saved at 13.53.04, on 31/05/2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\Ati2evxx.exe C:\Programmi\ISS\BlackICE\blackd.exe C:\WINNT\system32\CTsvcCDA.EXE C:\WINNT\System32\svchost.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINNT\System32\mnmsrvc.exe C:\Programmi\Norton AntiVirus\navapsvc.exe C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\Programmi\Norton AntiVirus\SAVScan.exe C:\WINNT\system32\MSTask.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINNT\Explorer.EXE C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programmi\File comuni\Symantec Shared\SymTray.exe C:\WINNT\system32\MsPMSPSv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\devldr32.exe C:\Programmi\Creative\ShareDLL\CtNotify.exe C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe C:\WINNT\system32\GSICON.EXE C:\WINNT\system32\dslagent.exe C:\Programmi\Creative\ShareDLL\MediaDet.Exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\WINNT\deamon.exe C:\Programmi\ISS\BlackICE\blackice.exe C:\Programmi\Digisoft AntiDialer\AntiDialer.exe C:\Programmi\Outlook Express\msimn.exe C:\Programmi\Norton AntiVirus\OPScan.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Desktop\pulitori\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://it.msn.com/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtray.exe SetReg O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Messanger] C:\WINNT\deamon.exe /i O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtrdr.exe O4 - Global Startup: BlackICE PC Protection.lnk = C:\Programmi\ISS\BlackICE\blackice.exe O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Ricerche (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://www.webcamnow.net/broadcast/ActiveXWebCam.cab O16 - DPF: {BB95299D-B65B-47E0-8DDB-697A66298C3A} (UniVoiceX Control) - http://www.anywebcam.com/awc/html/voice/voice.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A780423C-E968-4391-A79D-AFA67379991D}: NameServer = 217.141.253.201 151.99.125.1 Speriamo qualcuno noti qualcosa di strano... Bye

31-05-2004, 13:23	#9
gu3st76 Junior Member Iscritto dal: May 2004 Messaggi: 11	Logfile of HijackThis v1.97.7 Scan saved at 14.21.04, on 31/05/2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\Ati2evxx.exe C:\Programmi\ISS\BlackICE\blackd.exe C:\WINNT\system32\CTsvcCDA.EXE C:\WINNT\System32\svchost.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINNT\System32\mnmsrvc.exe C:\Programmi\Norton AntiVirus\navapsvc.exe C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\Programmi\Norton AntiVirus\SAVScan.exe C:\WINNT\system32\MSTask.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINNT\Explorer.EXE C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programmi\File comuni\Symantec Shared\SymTray.exe C:\WINNT\system32\MsPMSPSv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\devldr32.exe C:\Programmi\Creative\ShareDLL\CtNotify.exe C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe C:\WINNT\system32\GSICON.EXE C:\WINNT\system32\dslagent.exe C:\Programmi\Creative\ShareDLL\MediaDet.Exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\WINNT\deamon.exe C:\Programmi\ISS\BlackICE\blackice.exe C:\Programmi\Digisoft AntiDialer\AntiDialer.exe C:\Programmi\Internet Explorer\iexplore.exe C:\WINNT\msn24.exe C:\WINNT\system32\ShellExt\check.EXE C:\Documents and Settings\Administrator\Desktop\pulitori\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://it.msn.com/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtray.exe SetReg O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Messanger] C:\WINNT\deamon.exe /i O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtrdr.exe O4 - Global Startup: BlackICE PC Protection.lnk = C:\Programmi\ISS\BlackICE\blackice.exe O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Ricerche (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} - http://www.webcamnow.net/broadcast/ActiveXWebCam.cab O16 - DPF: {BB95299D-B65B-47E0-8DDB-697A66298C3A} (UniVoiceX Control) - http://www.anywebcam.com/awc/html/voice/voice.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab Ecco il log col dialer in esecuzione forse potrebbe essere utile confrontare i due log Bye

01-06-2004, 15:29	#11
gu3st76 Junior Member Iscritto dal: May 2004 Messaggi: 11	ottima osservazione, ma purtroppo non credo che sia la soluzione al problema e ancor peggio, visitando altri forum vedo che nessuno abbia ancora trovato una soluzione al problema. BYE

05-06-2004, 15:09	#12
gu3st76 Junior Member Iscritto dal: May 2004 Messaggi: 11	Forse ho trovato la soluzione su un altro forum, allora: 1) cancellare in C:\WINNT\system32\ShellExt il file Check.exe (è un file nascosto) 2)cancellare in C:\WINNT il file daemon.exe (altro file nascosto) 3)riavviare il pc... Sono collegato da 30 minuti e sembra che di check non si abbiano più notizie.... speriamo Bye

Strumenti
Mostra una versione stampabile Invia questa pagina per email