Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Fastidioso dialer

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Fastidioso dialer

Postdi Obice » 04/02/07 12:22

Buon giorno,sono appena iscritto e ho un problema con un dialer
posto subito un log di hijackthis sperando che qualcuno mi aiuti.
Premetto che per poter effettuare una scansione e quindi salvare il log ho dovuto terminare il processo samsungsensor.exe dal task;
ecco il log
Logfile of HijackThis v1.99.1
Scan saved at 11.53.40, on 04/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Web Accelerator\slipcore.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Widcomm\Bluetooth Software\BTTray.exe
C:\Programmi\Web Accelerator\slipgui.exe
C:\Programmi\Widcomm\Bluetooth Software\BTStackServer.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\GIANMICHELE\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\samsungsensor.exe",
O1 - Hosts: 205.238.40.52 http://www.winmx.com err.winmx.com
O1 - Hosts: 205.238.40.1 cache0.winmx.com test3201.winmx.com test3205.winmx.com
O1 - Hosts: 205.238.40.2 cache1.winmx.com test3202.winmx.com test3206.winmx.com
O1 - Hosts: 82.43.224.20 cache2.winmx.com test3203.winmx.com test3207.winmx.com
O1 - Hosts: 82.204.21.111 cache3.winmx.com test3204.winmx.com test3208.winmx.com
O1 - Hosts: 205.238.40.1 c3310.z1301.winmx.com c3310.z1302.winmx.com c3310.z1303.winmx.com c3310.z1304.winmx.com

c3310.z1305.winmx.com c3310.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3311.z1301.winmx.com c3311.z1302.winmx.com c3311.z1303.winmx.com c3311.z1304.winmx.com

c3311.z1305.winmx.com c3311.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3312.z1301.winmx.com c3312.z1302.winmx.com c3312.z1303.winmx.com c3312.z1304.winmx.com

c3312.z1305.winmx.com c3312.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3313.z1301.winmx.com c3313.z1302.winmx.com c3313.z1303.winmx.com c3313.z1304.winmx.com

c3313.z1305.winmx.com c3313.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3314.z1301.winmx.com c3314.z1302.winmx.com c3314.z1303.winmx.com c3314.z1304.winmx.com

c3314.z1305.winmx.com c3314.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1301.winmx.com c3315.z1302.winmx.com c3315.z1303.winmx.com c3315.z1304.winmx.com

c3315.z1305.winmx.com c3315.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3316.z1301.winmx.com c3316.z1302.winmx.com c3316.z1303.winmx.com c3316.z1304.winmx.com

c3316.z1305.winmx.com c3316.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1301.winmx.com c3317.z1302.winmx.com c3317.z1303.winmx.com c3317.z1304.winmx.com

c3317.z1305.winmx.com c3317.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3318.z1301.winmx.com c3318.z1302.winmx.com c3318.z1303.winmx.com c3318.z1304.winmx.com

c3318.z1305.winmx.com c3318.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3319.z1301.winmx.com c3319.z1302.winmx.com c3319.z1303.winmx.com c3319.z1304.winmx.com

c3319.z1305.winmx.com c3319.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3520.z1301.winmx.com c3520.z1302.winmx.com c3520.z1303.winmx.com c3520.z1304.winmx.com

c3520.z1305.winmx.com c3520.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3521.z1301.winmx.com c3521.z1302.winmx.com c3521.z1303.winmx.com c3521.z1304.winmx.com

c3521.z1305.winmx.com c3521.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3522.z1301.winmx.com c3522.z1302.winmx.com c3522.z1303.winmx.com c3522.z1304.winmx.com

c3522.z1305.winmx.com c3522.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3523.z1301.winmx.com c3523.z1302.winmx.com c3523.z1303.winmx.com c3523.z1304.winmx.com

c3523.z1305.winmx.com c3523.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3524.z1301.winmx.com c3524.z1302.winmx.com c3524.z1303.winmx.com c3524.z1304.winmx.com

c3524.z1305.winmx.com c3524.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3525.z1301.winmx.com c3525.z1302.winmx.com c3525.z1303.winmx.com c3525.z1304.winmx.com

c3525.z1305.winmx.com c3525.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3526.z1301.winmx.com c3526.z1302.winmx.com c3526.z1303.winmx.com c3526.z1304.winmx.com

c3526.z1305.winmx.com c3526.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3527.z1301.winmx.com c3527.z1302.winmx.com c3527.z1303.winmx.com c3527.z1304.winmx.com

c3527.z1305.winmx.com c3527.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3528.z1301.winmx.com c3528.z1302.winmx.com c3528.z1303.winmx.com c3528.z1304.winmx.com

c3528.z1305.winmx.com c3528.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3529.z1301.winmx.com c3529.z1302.winmx.com c3529.z1303.winmx.com c3529.z1304.winmx.com

c3529.z1305.winmx.com c3529.z1306.winmx.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\Web Accelerator\PBHelper.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Programmi\Web Accelerator\components\NOWImaging.dll
O2 - BHO: Class - {D1B2E0E2-754C-05D5-F31F-9E4C3D745A65} - C:\WINDOWS\oawya1.dll (file missing)
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll (file missing)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\Web Accelerator\slipgui.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

Saluti
Obice
Newbie
 
Post: 6
Iscritto il: 04/02/07 12:12

Sponsor
 

Postdi Luke57 » 04/02/07 15:27

Ciao, scarica Avgpfix da qui:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
E tienilo da parte.

Apri hijackthis, premi “do a system scan only”, cerca e spunta le vocii seguenti:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\samsungsensor.exe",
O2 - BHO: Class - {D1B2E0E2-754C-05D5-F31F-9E4C3D745A65} - C:\WINDOWS\oawya1.dll (file missing)
Premi fix checked.

Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file protetti di sistema (consigliato)
Premi OK

Avvii AVgpfix ed elimini il file seguente:
c:\windows\system32\samsungsensor.exe
(basta lanciarlo, premere Start, individuare il file e premere OK)

Poi, scarica questi due tools:

http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://smallbiz.symantec.com/security_r ... 16-4153-99

Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene completata la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)

Posta i due report delle scansioni.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Obice » 04/02/07 18:55

Gazie per la risposta
ecco i log:

Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\lpt8.dns
\\?\C:\WINDOWS\lpt8.dns
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\System\CIta.exe
Removing protected file: C:\Programmi\File comuni\System\GYDJfo.exe
Removing protected file: C:\Programmi\File comuni\System\kvK.exe
Removing protected file: C:\Programmi\File comuni\System\MaO.exe
Removing protected file: C:\Programmi\File comuni\System\pVM.exe
Removing protected file: C:\Programmi\File comuni\System\vuhDS.exe
Removing protected file: C:\Programmi\File comuni\System\xtjg.exe
Removing protected file: C:\Programmi\File comuni\System\YwHI.exe
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\2.tmp
Removed!
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\D.tmp
Removed!


Trojan.Gromozon Removed!

----------------------------------------------------------------------------------

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group

Trojan.Linkoptimizer has not been found on your computer.

Il sistema dovrebbe essere pulito.

Avevo comunque temporaneamente "tamponato" eseguendo questo trucchetto di windows:

1) Aprire Esplora risorse (Start / Tutti i programmi / Accessori / Esplora risorse)

2) nel menù di Esplora Risorse: Strumenti / Opzioni Cartella / Visualizzazione /
selezionare l'opzione: Cartelle e file nascosti: Visualizza cartelle e file nascosti

3) andare poi qui:
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Connections\Pbk

tasto destro del mouse sul file: rasphone.pbk
Proprietà

Spuntare la dicitura: "solo lettura"

premere poi OK

con questa procedura ho disabilitato la creazione di nuove connessioni remote ;)
Obice
Newbie
 
Post: 6
Iscritto il: 04/02/07 12:12

Postdi Luke57 » 04/02/07 19:12

Ciao, non è detto che l’infezione sia stata debellata del tutto, gromozon spesso lascia strascichi ulteriori.

Scarica system scan da qui:
http://www.suspectfile.com/systemscan

spunta tutte le caselle e premi su scan now
Il log viene salvato con il nome di report.txt nella cartella c:/suspectfile

Siccome il log è troppo lungo per essere incollato sul forum, mettilo su
http://www.easy-share.com
(clicchi su browse (sfoglia), selezioni il file di testo con il report e premi upload) e poi ricopi in un post il link che ti verrà fornito per scaricarlo.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Obice » 04/02/07 21:32

questa è la risposta sull'upload del file report:

Your download url: file url: http://w12.easy-share.com/850672.html

html code <a target="_blank" href="http://w12.easy-share.com/850672.html">download</a>

bb code download

Use this url to delete this file: http://w12.easy-share.com/850672/del_jj064yrkmxug73qo


Cosa devo fare?
Obice
Newbie
 
Post: 6
Iscritto il: 04/02/07 12:12

Postdi Luke57 » 05/02/07 09:13

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SwPrv
HKLM\SYSTEM\CurrentControlSet\Services\UpdTpb

Registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | ebY


Files to delete:
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR10.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR11.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR12.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR13.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR14.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR15.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR16.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXRF.tmp
C:\Programmi\File comuni\System\IDj.exe
C:\WINDOWS\system32\dllhost.exe



Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.


2) apri hijackthis, premi “open the misc tools section”, open uninstall manager”, se tra le applicazioni individui qualcuna delle seguenti
LinkOptimizer
-ConnectionService
-Power Verify
-StrongestGuard
-ConnectionKnight
-StrongestOptimizer
-SecurityOptimizer
-InternetOptimizer
-StrongestPaladin
-SecurityGuard
-InternerGuard
-InternetShield
La evidenzi e premi il tasto “delete this entry

3)Lanci questo comando:
start>esegui>lusrmgr.msc (lo digiti nello spazio)>OK
Nella finestra che si apre, click sulla cartella Users, se trovi l’utenza
ebY
clik tasto dx e scegli Elimina.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 05/02/07 09:42

@ Obice

Ciao, restando buone tutte le altre indicazioni nel post precedente, lo script corretto da inserire in avenger è questo:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\UpdTpb

Registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | ebY


Files to delete:
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR10.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR11.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR12.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR13.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR14.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR15.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR16.tmp
C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXRF.tmp
C:\Programmi\File comuni\System\IDj.exe
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Obice » 05/02/07 18:35

ecoo il log di avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nmebewap

*******************

Script file located at: \??\C:\fhwnrokc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\SYSTEM\CurrentControlSet\Services\UpdTpb deleted successfully.
File C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR10.tmp deleted successfully.
File C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR11.tmp deleted successfully.
File C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR12.tmp deleted successfully.
File C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR13.tmp deleted successfully.
File C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR14.tmp deleted successfully.
File C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR15.tmp deleted successfully.
File C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXR16.tmp deleted successfully.
File C:\Documents and Settings\GIANMICHELE\Impostazioni locali\Temp\PXRF.tmp deleted successfully.
File C:\Programmi\File comuni\System\IDj.exe deleted successfully.


Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|ebY deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

su hijackthis ho trovato solo un'applicazione ed esattamente Connectionservices ( N.B. con la S finale): è la stessa che mi hai scritto tu?
Aspetto una tua conferma prima di eliminarla

Ciao
Obice
Newbie
 
Post: 6
Iscritto il: 04/02/07 12:12

Postdi Luke57 » 05/02/07 18:59

Ciao, sì, eliminala al volo con hijackthis, come suggerito. Adesso dovresti essere a posto.
Ah, non mi ricordo una cosa: controlla in
C:\documents and settings che non sia presente la cartella ebY
Se fosse presente, elimini al volo anch'essa.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Obice » 05/02/07 19:09

ok eseguito
eliminata anche la cartella eby
ah... su hijackthis ho trovato l'applicazione Powerservices devo eliminare anche questa?
Obice
Newbie
 
Post: 6
Iscritto il: 04/02/07 12:12

Postdi Luke57 » 05/02/07 19:45

Ciao, sì.
Nella cartella Users hai trovato l'utenza ebY?
Devi eliminarla, se c'è, altrimenti si riforma anche la cartella in C:\documents and settings.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Obice » 05/02/07 21:53

L'utenza eby era presente nella cartella users e l'ho già eliminata precedentemente.
Dovrei essere a posto ora.

Ti ringrazio tanto, sei stato di grande aiuto
Ciao
Obice
Newbie
 
Post: 6
Iscritto il: 04/02/07 12:12


Torna a Sicurezza e Privacy


Topic correlati a "Fastidioso dialer":

Virus fastidioso
Autore: ranza64
Forum: Sicurezza e Privacy
Risposte: 6
Dialer, virus vari
Autore: zena
Forum: Sicurezza e Privacy
Risposte: 4

Chi c’è in linea

Visitano il forum: Nessuno e 11 ospiti