Condividi:        

Dialer autorigeneranti

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Dialer autorigeneranti

Postdi vanbasten75 » 03/10/04 10:54

Ciao ragazzi sono nuovo di questo forum e vi scrivo perchè ho un grosso problema che mi affligge da diversi giorni. Premetto che sono un neofita della materia dunque potrei anche scrivere delle cose per voi scontate!
Allora veniamo al problema. Ho installato Norton professional al quale faccio fare regolarmente (tutti i giorni!) l'update.
Nonostante tutto mi sono beccato due virus che Il nostro amico Norton rileva, elimina ma che poi, non si sa bene come ritornano sempre.
O meglio a volte li elimina lui a volte li mette in quarantena e poi vado io ad eliminarli manualmente.
Di sicuro comunque dopo ogni scansione e seguente eliminazione questi due virus ritornano.
In pratica è come se autorigenerassero!! :(
I file sono i seguenti:

124506[1].exe Norton lo rielva come DIALERWEBVIEW

124506[1].exe Norton lo rileva come DIALER.WSV

Questi sono i due file infetti.
Volete sapere cosa fanno?
Allora prima di tutto mi impediscono di impostare la pagina iniziale che voglio io. Nonostante io vada a modificarla si mette sempre come pagina iniziale quella: about.blank
Poi ogni volta che apro una pagina nuova vengo anche infestato dall'apertura di altre 3 o 4 pagine che si aprono contemporaneamente!!
Infine dopo circa mezz'ora che sono al computer la connessione mi cade (ho la linea adsl), e mi appare tra l'altro una finestrella che mi dice "please select your country".
In pratica cerca di farmi collegare ad un dialer che si chiama Best Porn ( o qualcosa del genere).
Insomma sono disperato.
Qualcuno di voi può aiutarmi?
Grazie.
Saluti
vanbasten75
Utente Junior
 
Post: 26
Iscritto il: 03/10/04 10:34

Sponsor
 

Postdi dado » 03/10/04 12:37

Contro dialer e spyware tutti gli antivirus, nortno compreso, possono fare ben poco. Proprio x questo ad ogni riavvio (o anche prima) ti ritrovi tutte quelle porcherie e quegli odiosi effetti collaterali... ;)

Quello che devi fare è tutto spiegato in questo topic.

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi vanbasten75 » 03/10/04 23:43

Grazie mille per la risposta innanzitutto!
Allora ho seguito alla lettera i tuoi consigli. Con i programmi che mi hai elencato tu nella guida non sono riuscito ad eliminarli.
A questo punto ho installato HiJackthis e gli ho fatto fare la scansione del registro di sistema alla ricerca di file sospetti.
Ti allego quello che mi è uscito fuori:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\DSB\DSB.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\twink64.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINDOWS\System32\qxgthb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Progra~1\WinMX\WinMX.exe
C:\Documents and Settings\Andrea\Dati applicazioni\ntoo.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\TinMessenger\TinMessenger.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\File comuni\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\WINDOWS\regedit.exe
C:\Documents and Settings\Andrea\Impostazioni locali\Temp\HijackThis.exe
C:\WINDOWS\System32\lpt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Andrea\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Andrea\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Andrea\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Andrea\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Andrea\IMPOST~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Andrea\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7A8FD0FE-42C3-42E5-AEF3-012BA6CCFA2A} - C:\WINDOWS\System32\ifj.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programmi\SideFind\sfbho.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [IncredimailDownloader] C:\Documents and Settings\Andrea\Desktop\incredimail.exe
O4 - HKLM\..\Run: [svckernell] c:\windows\svckernell.com
O4 - HKLM\..\Run: [taskmanager] c:\windows\taskmgr.com
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [helpw] "helpw.exe"
O4 - HKLM\..\Run: [DSB] C:\Programmi\DSB\DSB.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [dludikyrvvc] C:\WINDOWS\System32\qxgthb.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programmi\Power Scan\powerscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WinMX] C:\Progra~1\WinMX\WinMX.exe -m
O4 - HKCU\..\Run: [Bcoe] C:\Documents and Settings\Andrea\Dati applicazioni\ntoo.exe
O4 - Startup: C6 Client.LNK = C:\TinMessenger\TinMessenger.exe
O4 - Global Startup: LG Sync Manager.lnk = ?
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programmi\SideFind\sidefind.dll (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: http://www.yeak.net
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 0889783bc3
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8276E2C6-1F6B-4C6D-8517-7CA89254C666} (Iris Available Tables Control) - http://www.casinowebcam.com/welcome/LiveCasino.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/gampr-it/itp/games3.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://195.225.176.5/d/gbqnzdm/thhwrte/ ... ainter.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7328E992-792A-4FBE-B67D-BB5E8562C5FB}: NameServer = 195.130.224.18 195.130.225.129
O18 - Filter: text/html - {7C6CEA4F-6389-4A52-9FB7-5B3894CF7DBD} - C:\WINDOWS\System32\ifj.dll
O18 - Filter: text/plain - {7C6CEA4F-6389-4A52-9FB7-5B3894CF7DBD} - C:\WINDOWS\System32\ifj.dll

Quali dovrei eliminare secondo voi?
Grazie mille ancora per l'aiuto
Saluti
vanbasten75
Utente Junior
 
Post: 26
Iscritto il: 03/10/04 10:34

Postdi piercing » 03/10/04 23:52

ma da quant'è che non fai un win update??? :eeh:

farei prima a dirti cosa lasciare....

comincia con ad-aware e spybot...

e vediamo cosa resta...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi vanbasten75 » 04/10/04 00:03

Con Ad-aware mi da tre file e cioè:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain
:(
vanbasten75
Utente Junior
 
Post: 26
Iscritto il: 03/10/04 10:34

Postdi piercing » 04/10/04 00:08

l'hai aggiornato prima di usarlo??? scaricando le ultime definizioni???

cmq cancella tutto quello che ti danno entrambi i programmi... sempre DOPO averli aggiornati...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Dylan666 » 04/10/04 00:11

ORA posso dirlo, leggi la NUOVA guida:
http://www.pc-facile.com/guide.php?t=148946

:D
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vanbasten75 » 04/10/04 00:11

Non ho aggiornato Ad-aware....non saprei neanche come si fa! :(
vanbasten75
Utente Junior
 
Post: 26
Iscritto il: 03/10/04 10:34

aggiornare AD-Aware

Postdi Dylan666 » 04/10/04 00:15

L'icona col mappamondo...
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vanbasten75 » 04/10/04 00:18

In Ad-aware 6.0 non c'è l'icona del mappamondo...non è che devo scaricare un altra versione?
vanbasten75
Utente Junior
 
Post: 26
Iscritto il: 03/10/04 10:34

Postdi Dylan666 » 04/10/04 00:22

Io pure ho la sei, e l'icona in alto a destra la vedo bene!

Immagine
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vanbasten75 » 04/10/04 00:34

EhEHEH! Avevi ragione! Allora gli fatto fare l'update e poi una nuova scansione dalla quale ha beccato 67 nuovi elementi che ho eliminato...Alcuni però non li ha eliminati senza dirmi quali...
Ora che devo fare?
vanbasten75
Utente Junior
 
Post: 26
Iscritto il: 03/10/04 10:34

Postdi Dylan666 » 04/10/04 00:36

Resetta riusa AD-aware e vedi se i file che nomini all'inizio in questo discorso o comune altri vengono ricreati
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vanbasten75 » 04/10/04 00:44

Dunque ho rifatto la scansione con Ad-Aware non mi elenca più i file i di prima e cioè:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain

Questi tre file sono spariti. Forse li ha eliminati?

In compenso da questa nuova scansione adesso c'è un nuovo file che non riesce ad eliminare che si chiama: "Coolwebsearch" appartenente alla cateogria malware ed il suo percorso è c:\windows\system32\ifjd.lll
:undecided:
vanbasten75
Utente Junior
 
Post: 26
Iscritto il: 03/10/04 10:34

Postdi Dylan666 » 04/10/04 08:30

Se si ricrea ogni volta devi usare Hijackthis
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vanbasten75 » 04/10/04 11:04

Allora sono riuscito ad elimare anche quel file con il programma specifico suggerito da questo sito CWShredder 1.59.1 per eliminare i coolwebsearch. :)
Adesso rieleva solo un cookie che però vado ad eliminare.
Il problema è che esiste secondo me un dialer che spesso mi fa cadere la connessione che si chiama avp.exe ( l'icona è quella di due televisorini accesi ) e inoltre ogni tanto mi appare sempre una finestra che mi dice select your country e infine mi fa cadere la connessione.
Nè norton nè ad aware rilevano questo dialer :(
vanbasten75
Utente Junior
 
Post: 26
Iscritto il: 03/10/04 10:34

Postdi Dylan666 » 04/10/04 11:10

Norton non serve in questi casi, quello NON È un virus!
3° volta che te lo dico: lo elimini con Hijackthis
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vanbasten75 » 04/10/04 11:26

Se gli faccio fare la scansione mi appaiono decine di file ma non trovo questo avp.exe che serve a me...
come faccio a beccarlo?posso postare quello che mi esce dalla nuova scansione con Hijackthis?oppure che fare?
vanbasten75
Utente Junior
 
Post: 26
Iscritto il: 03/10/04 10:34

Postdi Dylan666 » 04/10/04 11:38

Avp.exe hai provato a farlo cercare a Windows?
Che ne sai che il nome del dialer sia quello?
Usi il Kaspersky Anti-Virus Personal?
Se il tuo antivirus è aggiornato come Windows e AD-aware stiamo freschi.. Provvedi all'update e ri-scandisci
Comunque potrebbe darsi che il file NON venga chiamato direttamente ma attraverso una DLL o altra roba. Nella guida c'è scritto di andare a tentativi e di accarivare la lista il più possibile. Provvedi, ma prima fai quando tutto sopra.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vanbasten75 » 04/10/04 11:50

Allora adesso sono diventati due!
1) avpx.exe icona con due televisorini l'ho fatto cercare in windows e ha trovato due file uno è l'icona e l'altro lo trova inAVPX.EXE-1A379E2B.PF

2) 124506.exe (icona con un telefono) anche quin windows trova due file, uno l'icona e l'altro lo trova in 124506.EXE-2C87EE20.pf

Non ho il Kaspersky Anti-Virus Personal devo installarlo?
vanbasten75
Utente Junior
 
Post: 26
Iscritto il: 03/10/04 10:34

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Dialer autorigeneranti":

Dialer, virus vari
Autore: zena
Forum: Sicurezza e Privacy
Risposte: 4
Probabile dialer
Autore: prof2000
Forum: Sicurezza e Privacy
Risposte: 5

Chi c’è in linea

Visitano il forum: Nessuno e 41 ospiti