Precisazioni sui dialer

[tutmosi3]

Ciao amici
Al lavoro siamo in una rete P2P ,niente server, di circa 15 PC; tutti sono sotto ad un router ADSL (che funge ovviamente anche da switch).
Ieri sera un mio collega si è beccato un dialer.
L'ho prontamente rimosso ma ho 2 dubbi.

1
Il PC in questione è un notebook, sul quale avevo personalmente disabilitato il modem 56 K interno, visto che non sarebbe stato utilizzato. Dopo l'arrivo del dialer, il modem era attivo. Lo ha attivato il dialer?

2
Quando sono entrato nelle Connessioni di rete ho trovato la nuova connessione creata dal dialer e con sommo stupore l'ho trovata attiva. Il modem risultava connesso anche se esso non è fisicamente collegato a nessun cavo.
Cosa è successo?

Ciao e grazie

[m0rph3us]

e successo che il dialer ti ha cresto una nuova connessione.
per evitare questo fai cosi:
fai una cosa vai nella cartella windows>system32>drivers>etc ed apri con blocco note il file hosts e se li trovi oltre agli esempi e localhost 127.0.0.1 anche altri indirizzi cancellali poi vai in proprieta del file hosts e spunta solo in lettura ed in questo modo impedirai che si creino connessioni a tua insaputa pero ricordati che se poi vorrai tu creare nuove connessioni dovrai rimetterlo come prima.

[tutmosi3]

Grazie, lo farò. Però restano fermi i punti 1 e 2 che non ho capito.
Come ha fatto a riabilitare il modem e come faceva a dirmi connesso se inveca non c'è nessun filo nel modem.

Ciao e grazie

[tutmosi3]

Up.

[m0rph3us]

pero il punto e :
se tu hai dialer che ti creano connessioni e tu le cancelli e magari gli impedisci di crearne di nuove non significa che hai eliminato i dialer.
quindi magari ti consiglio di fare qualche scansione online:
qua http://www.pandasoftware.com/activescan/
e qua http://www.trendmicro.com/spyware-scan/
vedere che ti trovano e poi postare un logo di hijacthis x vedere che c'e rimasto.
ciao

[tutmosi3]

Il fatto è che quel PC non è mio.
Quello che ci opera è il figlio del padrone e non sembra particolarmente interssato alla pestilenza che si è trascinato dentro.
Se non si preoccupa lui ... Io farò di meno.

Non è una questione di dialer installati a questo punto. Inoltre con l'ADSL dovremmo essre potretti da queste minacce. Poi se non fossimo connessi all'ADSL di Tin.it ma avessimo la connessione a 3 €/min andremmo molto più piano, invece, facendo un download poco fa ho visto che la velocità è sempre tra i 150 ed i 180 kb/sec.

In vita mia ho visto molti dialer, ma questo è il primo in grado di abilitare una periferica che io stesso ho disabilitato. Ed in più non ho mai visto una connessione risultare attiva via modem interno anche se il modem non ha il cavo attaccato.

Ciao

[m0rph3us]

be in effetti e molto strano.
vabbe.
ciao

[tutmosi3]

Non ho potuto fare la scansione on-line però provo a postare il log.

Logfile of HijackThis v1.99.1
Scan saved at 15.22.31, on 22/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Arcade\PCMService.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\UTPORTATILE\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\UTPORTATILE\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9DAFB9F-4227-4B05-BB66-5002A429172B}: NameServer = 212.216.172.62,212.216.112.112
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

[tutmosi3]

Vi do le ultime news.
Venerdì ero riuscito a convincere il figlio del padrone a fare una scansine con Hijack. Ma non ero riuscito a fargli fixare alcune voci platealmente nocive, per esempio: O15 - Trusted Zone: www.archiviosex.net

Oltretutto, il ragazzo, aveva anche buttato via la cartella del programma. Tuttavia ero fiducioso che la mia opera di convincimento potesse continuare oggi facendogli fare una scansione on line nel sito della Trend.

Ebbene il PC è spento, il ragazzo è a Rodi e le scansioni aspetteranno fino alla prossima settimana, fino a quel momento lascerò andare nel dimenticatoio del forum questa discussione, magari la riesumerò al momento opportuno.

Ciao

[Androsterone]

Quote:

Originariamente inviato da m0rph3us

e successo che il dialer ti ha cresto una nuova connessione.
per evitare questo fai cosi:
fai una cosa vai nella cartella windows>system32>drivers>etc ed apri con blocco note il file hosts e se li trovi oltre agli esempi e localhost 127.0.0.1 anche altri indirizzi cancellali poi vai in proprieta del file hosts e spunta solo in lettura ed in questo modo impedirai che si creino connessioni a tua insaputa pero ricordati che se poi vorrai tu creare nuove connessioni dovrai rimetterlo come prima.

Ciao Morpheus, ho fatto quello che tu hai scritto e poi ho provato a creare una nuova connessione, e ci sono riuscito
se non ho capito male non dovevo riuscirci vero? o sbaglio?
Grazie
Androsterone

[FOXYLADY]

Quote:

Originariamente inviato da Androsterone

Ciao Morpheus, ho fatto quello che tu hai scritto e poi ho provato a creare una nuova connessione, e ci sono riuscito
se non ho capito male non dovevo riuscirci vero? o sbaglio?
Grazie
Androsterone

E' vero, se tenti di creare una nuova connessione inspiegabilmente il file di host perde la proprietà di sola lettura.
Non so da cosa dipenda, forse dal fatto che sei amministratore del PC.

[m0rph3us]

e lo sai che dopo ciavevo provato anchio e pur'io c'ero riuscito.
io l'avevo letto come tips ma non so se serve ad impedire che si creino nuove connessioni o impedisca che i dialer scrivano nel file hosts altri indirizzi.
credo che dovresti farti un giro su google x vedere qual'e la reale funzione del file hosts.
io una cosa che so e che quando interviene un dialer e la che va a scrivere i nuovi indirizzi pero non so di preciso cosa questo comporta.
magari se scopri qualcosa postalo a vantaggio di tutti.

[m0rph3us]

se e cosi prova ad andare in pannello di controllo>account utente e prova a creare un nuvo account.
poi loggati con quello e ripeti la procedura di bloccare il file host e di creare una nuova connessione.
io ora non lo posso fare ma ci provo stasera.

[FOXYLADY]

In ogni caso, andando il file di host può esere sfruttato per impedire la visualizzazione di banner o siti indesiderabili da parte del nostro PC.
Per farlo sarà sufficente aggiungere in fondo al nostro file di host una riga che inizi per 127.0.0.1, seguita (dopo lo spazio o dalla tabulazione) dal nome e dominio del sito in questione, scritto senza http:// e senza nient'altro, quindi salvare il file HOSTS. L'effetto sarà immediato.

Esempio
vogliamo impedire l'accesso al sito www.ragazzeconpasserabagnata.com
(è inutile che cliccate, non esiste)
bisogna aggiungere questa riga
127.0.0.1 www.ragazzeconpasserabagnata.com

Esempio n°2: nel proprio sito preferito http://www.pippoluppo.it ci sono 3 enormi banner a sfondo erotico e non si vuole che i propri bambini rischino di vederli. Cliccando col tasto destro su tali banner e chiedendone le proprietà si vede che l'indirizzo dell'immagine in questione è http://www.adsxx.net/banner/001.jpg
Aggiungendo al file HOSTS un'ulteriore riga:
127.0.0.1 www.adsxx.net
(senza http:// nè cartelle nè nome file nè altro, solo il nome e dominio!)
il sito www.pippoluppo.it verrà visualizzato privo di qualsiasi immagine contenuta nel sito www.adsxx.net (quindi, senza i banner fastidiosi).


Esempio n°3: abbiamo saputo che il sito www.1234asdff.com è in odore di spyware e non vogliamo averci niente a che fare, sia volontariamente che non; aggiungendo la riga
127.0.0.1 www.1234asdff.com qualsiasi programma del PC non potrà connettersi (nè visibilmente nè silenziosamente) a quel sito.

Che fatica direte, devo stare ad inserire ogni sito manualmente?
Beh... in rete esistono liste sempre aggiornate di migliaia di siti in odore di spyware o di attività nocive alla privacy (o semplicemente, di società pubblicitarie e banner).
Una la trovate qui
http://www.mvps.org/winhelp2002/hosts.htm
basta sostituire il file di host originale con quello scaricato ed il gioco è fatto.

Il sistema, purtroppo, funziona solo con indirizzi testuali (nomi dns), cioè con siti/server identificati da nomi come per esempio www.tiscali.it, www.altavista.com e così via. Infatti, non funziona se vengono usati direttamente IP numerici (come per esempio, 66.102.9.141 ).

[MrOZ]

Il dialer è questo IE4321.exe e viene scaricato dai siti w*w.archiviosex.net w*w.redfunny.com w*w.skymasters.biz

[Androsterone]

Quote:

Originariamente inviato da MrOZ

Il dialer è questo IE4321.exe e viene scaricato dai siti w*w.archiviosex.net w*w.redfunny.com w*w.skymasters.biz

Ciao, una domanda.
E' un sistema sicuro controllare il numero a cui uno si collega ???(attraverso la finestra che si apre cliccando sull'icona dei due monitor che si illuminano in basso a dx) oppure i dialer possono falsarlo nel senso, vedi che c'è scritto un numero in realtà ne stai usando un'altro?

Grazie
Saluti

[m0rph3us]

secondo me se tu non hai un abbonamento a banda larga altrimenti non ti preoccuperesti dei dialer ti conviene chiamare il tuo operatore e fargli bloccare le chiamate verso i numeri a pagamento.
pero calcola che i dialer di nuova generazione si connettono anche ai cell e alle interurbane.
pero meglio che 144...

[Androsterone]

Quote:

Originariamente inviato da m0rph3us

secondo me se tu non hai un abbonamento a banda larga altrimenti non ti preoccuperesti dei dialer ti conviene chiamare il tuo operatore e fargli bloccare le chiamate verso i numeri a pagamento.
pero calcola che i dialer di nuova generazione si connettono anche ai cell e alle interurbane.
pero meglio che 144...

ottima la firma ma non mi hai risposto alla domanda

[m0rph3us]

be si credo che sia sicuro xo che fai ogni tanto clikki li x vedere se ci sono altre connessioni.
chiama il tuo isp e digli come ti ho detto e secondo me ti levi il pensiero e magari blocca anche il file hosts come scritto sopra.
hai provato a creare una nuova connessione da utente ordinario?
se non ci riesci mettiti una password come root e credo che hai risolto.
fammi sapere.

[Androsterone]

---