Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Non riesco a eliminare un dialer!!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Non riesco a eliminare un dialer!!

Postdi mgerva626 » 25/07/06 18:51

Ciao a tutti, sono un nuovo utente, e spero che possiate aiutarmi a risolvere un grande problema! Da un paio di settimane un dialer è entrato nel mio computer. Ho provato a eliminarlo con spybot, ewido e CWShredder, ma questi programmi non hanno risolto nulla. Ho fatto una scansione con antivir che non ha trovato virus; inoltre ho istallato stopdialers 3.1 e dialerspy 1.2 ma entrambi i programmi sembrano non accorgersi di nulla quando si interrompe la connessione a Libero e parte la chiamata del dialer. L'unica segnalazione che ogni tanto arriva da parte di stopdialer è "attenzione, è stato modificato un file di registro di windows". L'unica speranza che mi resta è che qualche esperto tra di voi riesca a "decifrare" il log di hijackthis, poiché io non ne capisco assolutamente nulla. :(

Ringrazio in anticipo chi proverà ad aiuarmi ;) !


Logfile of HijackThis v1.99.1
Scan saved at 19.00.13, on 25/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Labtec\Mouse\2.1\moffice.exe
C:\Programmi\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\Temp\monc2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\DialerSpy\dspy.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Labtec\Mouse\2.1\MOUSE32A.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\HJT\HijackThis.exe
C:\PROGRA~1\DAP\DAP.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {991EA40E-6899-169E-8E23-64B3006A44EA} - C:\WINDOWS\ucnwc1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmi\Labtec\Mouse\2.1\moffice.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programmi\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [monc2.exe] C:\WINDOWS\Temp\monc2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DialerSpy] C:\Programmi\DialerSpy\dspy.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programmi\AutoCAD 2002 Ita\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD 2002 Ita\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002 Ita\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD 2002 Ita\AcPreview.ocx
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
mgerva626
Utente Junior
 
Post: 17
Iscritto il: 25/07/06 18:30

Sponsor
 

Postdi Luke57 » 25/07/06 19:24

Ciao, apri hijackthis, a browser e applicazioni chiuse e disconnesso da internet, premi "open the mis tool section", poi "open process manager", cerchi il seguente processo:
C:\WINDOWS\Temp\monc2.exe
premi kill process

Torni al menu principale con "back", premi "scan", cerchi e spunti le seguenti voci:
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {991EA40E-6899-169E-8E23-64B3006A44EA} - C:\WINDOWS\ucnwc1.dll (file missing)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [monc2.exe] C:\WINDOWS\Temp\monc2.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
premi fix checked

Riavvia in modalità provvisoria
Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

Cerca ed elimina (se ci sono):
CC:\WINDOWS\Temp\monc2.exe
C:\WINDOWS\ucnwc1.dll

Elimina poi tutti i file temporanei di windows temp e tmp (da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)

sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)

Da pannello di controllo.installazioni/applicazioni controlla che non vi siano programmi non installati da te (consigliano di eliminare DAP in quanto apportatore di schifezze)

svuota il cestino.

Fai una scansione con ewido dalla mod.provvisoria
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi mgerva626 » 26/07/06 11:42

Grazie mille per i tuoi preziosi e dettagliati consigli!! Appena vado a casa faccio tutto ciò che mi hai detto! Incrociando le dita ti ringrazio ancora!!
mgerva626
Utente Junior
 
Post: 17
Iscritto il: 25/07/06 18:30

Postdi dolego » 26/07/06 13:53

ti consiglio di fare una scansione online da
http://www.ewido.net/en/onlinescan
è molto efficace!

ciao
stefano
dolego
Utente Junior
 
Post: 68
Iscritto il: 03/03/06 12:06

Postdi mgerva626 » 26/07/06 16:40

Ho fatto tutto quello che mi avevi suggerito!! Per ora è troppo presto per dire di aver risolto ogni problema, dato che a volte il dialer non saltava fuori per un giorno intero. Cmq per il momento grazie!

PS. Tra i file che mi avevi detto di trovare e cancellare non ho trovato C:\WINDOWS\ucnwc1.dll

Inoltre anche dopo aver fatto tutto stopdialers fa aprire ancora ogni tanto la finestra che dice che il registro di windows è stato alterato. Per sicurezza sto anche facendo la scansione on-lne di ewido, ma c metto un po' x via del 56k...

Posto anche il nuovo log di hijackthis, magari ci sono ancora tracce del dialer!

Logfile of HijackThis v1.99.1
Scan saved at 17.39.52, on 26/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\D-Tools\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Labtec\Mouse\2.1\moffice.exe
C:\Programmi\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\DialerSpy\dspy.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Labtec\Mouse\2.1\MOUSE32A.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {991EA40E-6899-169E-8E23-64B3006A44EA} - C:\WINDOWS\ucnwc1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmi\Labtec\Mouse\2.1\moffice.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programmi\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DialerSpy] C:\Programmi\DialerSpy\dspy.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programmi\AutoCAD 2002 Ita\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD 2002 Ita\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002 Ita\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD 2002 Ita\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2F25223-2D37-47B8-A038-F5DBBDDCF571}: NameServer = 193.70.192.25 193.70.152.25
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
mgerva626
Utente Junior
 
Post: 17
Iscritto il: 25/07/06 18:30

Postdi Luke57 » 26/07/06 17:15

Ciao, per eliminare :
O2 - BHO: Class - {991EA40E-6899-169E-8E23-64B3006A44EA} - C:\WINDOWS\ucnwc1.dll (file missing)
prova BHO Demon, da qui:
http://www.definitivesolutions.com/bhodemon.htm
se non va proveremo altro metodo.
Con hijakcthis, elimina:
R3 - Default URLSearchHook is missing
Ho visto che hai Ewido installato, potevi aggiornarlo e fare uno scan completo dalla mod.provvisoria come ti avevo suggerito. Avresti evitato connessione on line che, come dici, è molto lunga a completarsi.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi mgerva626 » 26/07/06 17:29

Ciao Luke! Ho fatto la scansione ewido dalla modalità provvisoria (come hai suggerito) e IN PIU' la sto facendo anche on-line! La cosa interessante è che quella on-line è riuscita a trovare ucnwc1.dll che nella cartella di windows non risulta neanche se abilito la visualizzazione degli oggetti nascosti! Manca poco x la scansione on-line e spero che questa riesca a eliminare quel file. Sto scaricando intanto bho demon, e quando ho fatto tutto riposto il log di hijackthis x vedere se finalmente è tutto pulito.

Grazie infinite per la tua disponibilità e cortesia!

Un'ultima domanda: tra 2 settimane attiverò ALICE flat, quindi abbandonerò la connessione a 56k. Quindi il dialer non dovrebbe dare più problemi, anche se rimanesse, giusto?
mgerva626
Utente Junior
 
Post: 17
Iscritto il: 25/07/06 18:30

Postdi mgerva626 » 26/07/06 17:51

Non riesco a far partire bho demon, mi dice accesso negato. Ho riprovato con hijackyhis a rimuovere il BHO e R3 DEFAULT...

la scansione on-line di ewido aveva trovato il file ucnwc1.dll ma insieme a altri due file, ma quando ho detto "rimuovi" è apparsa una finestra in cui era scritto "non è stato possibile rimuovere tutti i file".

Intanto posto il nuovo log di HJT:

Logfile of HijackThis v1.99.1
Scan saved at 18.46.03, on 26/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\D-Tools\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Labtec\Mouse\2.1\moffice.exe
C:\Programmi\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\DialerSpy\dspy.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Labtec\Mouse\2.1\MOUSE32A.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmi\Labtec\Mouse\2.1\moffice.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programmi\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DialerSpy] C:\Programmi\DialerSpy\dspy.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programmi\BHODemon 2\BHODemon.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programmi\AutoCAD 2002 Ita\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD 2002 Ita\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002 Ita\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD 2002 Ita\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2F25223-2D37-47B8-A038-F5DBBDDCF571}: NameServer = 193.70.192.25 193.70.152.25
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
mgerva626
Utente Junior
 
Post: 17
Iscritto il: 25/07/06 18:30

Postdi mgerva626 » 26/07/06 18:58

Ho lanciato di nuovo hijackthis e sono rispuntate le due voci che non sono riuscito a eliminare, BHO e R3. Saranno quelle che creano problemi?

Logfile of HijackThis v1.99.1
Scan saved at 19.56.22, on 26/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\D-Tools\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Labtec\Mouse\2.1\moffice.exe
C:\Programmi\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\DialerSpy\dspy.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Labtec\Mouse\2.1\MOUSE32A.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {991EA40E-6899-169E-8E23-64B3006A44EA} - C:\WINDOWS\ucnwc1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmi\Labtec\Mouse\2.1\moffice.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programmi\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DialerSpy] C:\Programmi\DialerSpy\dspy.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programmi\BHODemon 2\BHODemon.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programmi\AutoCAD 2002 Ita\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD 2002 Ita\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002 Ita\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD 2002 Ita\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2F25223-2D37-47B8-A038-F5DBBDDCF571}: NameServer = 193.70.192.25 193.70.152.25
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
mgerva626
Utente Junior
 
Post: 17
Iscritto il: 25/07/06 18:30

Postdi Luke57 » 26/07/06 20:44

Ciao, intanto per eliminare la voce
O2 - BHO: Class - {991EA40E-6899-169E-8E23-64B3006A44EA} - C:\WINDOWS\ucnwc1.dll (file missing)
prova ad agire così:
start>esegui>regedt32>OK ( entrare nel registro di sistema con regedt32)
Nel menu che si apre, cliccare su + che appaiono accanto alle singole voci nel seguente percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects,
Trovare la BHO suddetta, click con il dx su di essa, nel menu contestuale che si apre scegliere Autorizzazioni, sulla finestra che si apre premere Avanzate, nel menu andare su Proprietario e impostare la proprietà all'utente del computer>OK. Tornare alla pagina Autorizzazioni e consentire il controllo completo spuntando le relative caselle>OK. Eliminare la voce a questo punto dovrebbe essere facile (click con il tasto dx del mouse e scegliere Elimina).
L'altra voce la fissi con hiajckthis.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi mgerva626 » 27/07/06 12:31

:cry: Ho eliminato il BHO in modo manuale come hai indicato e ho fixato R3 con HJT, ma all'avvio successivo del computer entrambi si sono ripresentati di nuovo! Però fino ad ora dopo avere eliminato il file monc2.exe (due giorni fa) la connessione non è più saltata, né il modem ha cercato di comporre strani numeri..

Forse quei due file che sono rimasti non sono più dannosi? Anche se in realtà l'avviso di stopdialer che qualcosa ha alterato il registro di windows mi appare ancora adesso..

Hai qualche altra idea?? Grazie infinitamente x il tempo che mi hai dedicato fino ad ora! ;)
mgerva626
Utente Junior
 
Post: 17
Iscritto il: 25/07/06 18:30

Postdi Luke57 » 27/07/06 13:03

Ciao, mi è venuto un dubbio, prova a dare questo comando:
start>esegui>control userpaswords2 (lo copi nello spazio)>OK
Verifica quante utenze hai nel computer e se c'è una sospetta.
Poi fai una scansione on line con bitdefender da qui:
http://www.bitdefender.com/scan8/ie.html
è lunga ma efficace
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi mgerva626 » 27/07/06 18:01

Hai proprio ragione credo!! Tra gli utenti c'è un certo YUQzgJBBmt, segnalato come amministratore! X ora non l'ho rimosso, adesso sto iniziando la scansione con bitdefender, è meglio che rimuovo l'utenza sospetta manualmente? Grazie mille x i tuoi consigli!
mgerva626
Utente Junior
 
Post: 17
Iscritto il: 25/07/06 18:30

Postdi mgerva626 » 27/07/06 20:20

Ho finito la scansione con bitdefender, che ha trovato 8 virus.
L'utente sconosciuto che è sotto il nome di YUQzgJBBmt non l'ho ancora rimosso. Sul log di HJT ci sono sempre quelle due voci che non riesco a mandare via. Qui sotto c'è il report dell'analisi con bitdefender.
Cosa mi consigli di fare ora?

BitDefender Online Scanner



Scan report generated at: Thu, Jul 27, 2006 - 21:11:46


Results

Identified Viruses
4

Infected Files
8

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
8




Engines Info

Virus Definitions
417498

Engine build
AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

Scan plugins
13

Archive plugins
39

Unpack plugins
5

E-mail plugins
6

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP241\A0447542.exe
Infected with: Dropped:Backdoor.Webdor.DH

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP241\A0447542.exe
Disinfection failed

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP241\A0447542.exe
Deleted

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP241\A0447543.exe
Infected with: Trojan.Downloader.OU

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP241\A0447543.exe
Disinfection failed

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP241\A0447543.exe
Deleted

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP244\A0457846.dll
Infected with: Trojan.Downloader.Agent.BQ

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP244\A0457846.dll
Disinfection failed

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP244\A0457846.dll
Deleted

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP245\A0458959.dll
Infected with: Trojan.Downloader.Agent.BQ

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP245\A0458959.dll
Disinfection failed

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP245\A0458959.dll
Deleted

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP246\A0459088.dll
Infected with: Trojan.Agent.VP

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP246\A0459088.dll
Disinfection failed

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP246\A0459088.dll
Deleted

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP246\A0459107.dll
Infected with: Trojan.Downloader.Agent.BQ

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP246\A0459107.dll
Disinfection failed

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP246\A0459107.dll
Deleted

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP262\A0459366.dll
Infected with: Trojan.Downloader.Agent.BQ

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP262\A0459366.dll
Disinfection failed

C:\System Volume Information\_restore{0ABECC12-7C22-41F8-BD5D-1BC37C9D1DCE}\RP262\A0459366.dll
Deleted

C:\WINDOWS\2.tmp
Infected with: Trojan.Downloader.Agent.BQ

C:\WINDOWS\2.tmp
Disinfection failed

C:\WINDOWS\2.tmp
Deleted
mgerva626
Utente Junior
 
Post: 17
Iscritto il: 25/07/06 18:30

Postdi Luke57 » 28/07/06 08:07

Ciao, a questo punto devi seguire questa procedura di rimozione:
http://www.suspectfile.com/forum/viewtopic.php?t=156
sembra complessa e lunga, ma in realtà è formulata benissimo.
Via via che la segui non esitare a chiedere qui eventuali delucidazioni.
Sicuramente quella utenza ti ha creato anche una cartella in C:\Programmi con lo stesso nome dell'utenza.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi mgerva626 » 29/07/06 11:46

Sto perdendo la speranza.. :cry:

Ho seguito passo passo la perfetta guida che mi hai segnalato.
Sono riuscito a rimuovere il file ucnwc1.dll, ma non il rootkit, che secondo RKR era in c:\windows\system32:c_8cp.nls

Allora io ho copiato la stringa su avenger, che però nel log ha detto d nn essere riuscito a trovare il file (forse xké dopo system32 ci sono i due punti, ma io l'ho copiato esattamente da RKR; hanno un significato i due punti?)

Tramite la scansione ADS di HJT ho trovato il file c_8cp.nls e l'ho fixato, ma il problema è che, anche se in teoria tutti i malware dovrebbero essere sistemati, a ogni riavvio si ricrea la cartella C:\Documents and Settings\YUQzgJBBmt, anche se avenger l'aveva cancellata.
Inoltre rimangono ancora sul log di HJT quelle due voci R3 e BHO-Class, anche se per quest'ultimo non c'è più alcun riferimento a ucnwc1.dll (quello almeno sembra sistemato).

Dopo aver seguuito tutta la guida, se faccio una scansione con RKR non trovo più neanche c:\windows\system32:c_8cp.nls, ma qualcosa di nocivo cmq nel computer dev'essere rimasto, xké altrimenti come si spiega il continuo rigenerarsi di C:\Documents and Settings\YUQzgJBBmt?
L'unica cosa positiva è che il modem ormai da giorni non tenta più strane connessioni.

A questo punto secondo me ci sono 3 possibiità:

1- Hai in mente qualche altra idea x poter risolvere il problema? Non vorrei però abusare della tua disponibilità, ti sei già adoperato moltissimo per me!

2- Me ne infischio di quella cartella e di quelle stringhe su HJT, dato che non sembrano dare particolari problemi e che tra 2 settimane abbandonerò la connessione 56k :D (ma sarebbe sempre e comunque una presenza sgradita)

3- Ricorro al formattone risolutore, anche se non l'ho mai fatto e non credo di avere tutto il materiale necessario per reinstallare tutti i programmi di cui dispongo ora.

Cosa mi consigli dall'alto della tua esperienza??

Ti ringrazio infinitamente per la tua competenza e cortesia


PS. Ecco l'ultimo log di HJT

Logfile of HijackThis v1.99.1
Scan saved at 12.45.53, on 29/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\D-Tools\daemon.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Labtec\Mouse\2.1\moffice.exe
C:\Programmi\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Labtec\Mouse\2.1\MOUSE32A.EXE
C:\Programmi\DialerSpy\dspy.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\HJT\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {991EA40E-6899-169E-8E23-64B3006A44EA} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmi\Labtec\Mouse\2.1\moffice.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programmi\Labtec\Media Keyboard\V5.0\KbdAp32A.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DialerSpy] C:\Programmi\DialerSpy\dspy.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programmi\AutoCAD 2002 Ita\InstFred.ocx
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD 2002 Ita\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002 Ita\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD 2002 Ita\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2F25223-2D37-47B8-A038-F5DBBDDCF571}: NameServer = 193.70.192.25 193.70.152.25
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: EJJMZFVTTWQ - Sysinternals - http://www.sysinternals.com - C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\EJJMZFVTTWQ.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
mgerva626
Utente Junior
 
Post: 17
Iscritto il: 25/07/06 18:30

Postdi Luke57 » 29/07/06 12:28

Ciao, effettivamente è una rogna infinita. Allora:
start>esegui>control userpasswords2>OK
togli l'utenza malefica dal tuo computer.
Vai in \C:\Documents and Settings\YUQzgJBBmt ed elimini la cartella, svuotando il cestino (noterai che cartella e utenza hanno lo stesso nome)
Poi;
start>esegui>services.msc (lo copi nello spazio)>OK
nella lista dei servizi troverai anche un servizio malefico con nome randon riportato nella colonna Connessione. Prova a disab ilitarlo (non sarà facile) cliccando su di esso con il tasto dx del mouse>Proprietà e impostando su Disabilitato. Se non te lo fa fare, guarda il percorso del file eseguibile.
Vai su risorse del computer ,rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file protetti di sistema (consigliato)
Premi OK
Cerca l'eseguibile del servizio( se c'è), se è verde è un file criptato,allora:
click con il tasto dx del mouse su Proprietà>Protezione>Avanzate>Prprietario selezioni account di Administrators>OK ed esci da Proprietà.Rientri su Proprietà>Protezione>Avanzate>click su Aggiungi da Autorizzazioni e aggiungi l'account di Administrator, poi selezioni da Consenti>Controllo completo>OK. Poi click su Proprietà e togli la spunta a Nascosto e Solo lettura. A quel punto lo cancelli e svuoti il cestino.
Provi a ritogliee la BHO manualmente dal registro di sistema con la solita procedura da regedt32 e a fissare con hijackthis la voce R3.
Fammi sapere.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi mgerva626 » 29/07/06 15:09

Ciao, ho fatto come hai detto fino al punto di "disabilitare" il servizio della connessione random. Quando provo a farlo mi dice "accesso negato".
Il servizio in questione si chiama SecMqe e come descrizione "Attiva il servizio Supporto NetBIOS su TCP/IP (NetBT) e risoluzione nomi NetBIOS." Il percorso dell'eseguibile è "C:\Programmi\File comuni\System\PcN.exe", ma anche permettendo la viosione dei file nascosti, andando in tale cartella il file non è visibile. Ho provato a vedere il contenuto della cartella anche da Dos ,ma il risultato è lo stesso.
In compenso però avendo rimosso manualmente prima la connessione e poi la cartella col nome casuale queste sembrano non ripresentarsi più ad un avvio successivo, anche se l'avviso di stopdialer di modifica dei file di registro di windows rimane, così come il servizio SecMqe.
Possibile che il file PcN.exe non si possa visualizzare?? Grazie mille per il tuo grandissimo aiuto!
mgerva626
Utente Junior
 
Post: 17
Iscritto il: 25/07/06 18:30

Postdi Luke57 » 30/07/06 09:00

Ciao, scusa il ritardo ma non mi sono potuto collegare. Non penso che sia quello il servizio malefico. Il nome random della connessione dovrebbe essere quello della cartella che hai eliminato. Cambia conseguentemente anche il percorso del file eseguibile. Cercalo ancora.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi mgerva626 » 30/07/06 09:56

Non ti devi scusare di nulla! Il servizio cmq è sicuramente quello, xké sotto la casella nome ha SecMqe, ma sotto la casella connessione c'è scritto .\YUQzgJBBmt, ed è l'unico ad avere queste caratteristiche.
Anche oggi dopo aver riavviato la cartella random non è più preente in documents cnd settings, nè fra le connessioni, ma il servizio è rimasto e c'è lo stesso percorso "C:\Programmi\File comuni\System\PcN.exe", anche se questo maledetto PcN.exe non appare! Non riesco acapire come sia possibile!
mgerva626
Utente Junior
 
Post: 17
Iscritto il: 25/07/06 18:30

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Non riesco a eliminare un dialer!!":


Chi c’è in linea

Visitano il forum: Nessuno e 15 ospiti