Condividi:        

Help Dialer

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Help Dialer

Postdi Imirik » 24/01/06 13:59

Salve da un po di tempo mi compare questo dialer di nome Internet Private Zone che mi chiede se voglio collegarmi a siti porno .clicco no ma partono automaticamente dei link porno... e questo appare ogni ora circa facendomi cadere la connessione, vi metto i risultati di HijackThis.
Help Plz :cry:



Logfile of HijackThis v1.99.1
Scan saved at 13.56.27, on 24/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\fwnet64.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\sysmon.exe
C:\WINDOWS\System32\MSLs32.exe
C:\WINDOWS\System32\MSPs32.exe
C:\bm22.exe
C:\programmi\180search assistant\180sa.exe
C:\WINDOWS\System32\MsJ32.exe
C:\WINDOWS\System32\MSFW2.exe
C:\WINDOWS\System32\Rundll.exe
C:\WINDOWS\gyfwsg.exe
C:\Programmi\ISTsvc\istsvc.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Clod\Desktop\Internet\Sacred pg\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Clod\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 81.208.96.113 L2authd.lineage2.com #utopia
O1 - Hosts: 81.208.96.113 l2testauthd.lineage2.com #utopia
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programmi\180search assistant\180sahook.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programmi\SideFind\sfbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msls] C:\WINDOWS\System32\MSLs32.exe
O4 - HKLM\..\Run: [msps] C:\WINDOWS\System32\MSPs32.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] c:\bmp22.exe
O4 - HKLM\..\Run: [180sa] c:\programmi\180search assistant\180sa.exe
O4 - HKLM\..\Run: [nqpsf] C:\WINDOWS\nqpsf.exe
O4 - HKLM\..\Run: [navautoprotect] C:\WINDOWS\System32\MsJ32.exe
O4 - HKLM\..\Run: [MSFireWall2] C:\WINDOWS\System32\MSFW2.exe
O4 - HKLM\..\Run: [lsass] C:\p2.exe
O4 - HKLM\..\Run: [Rundll] Rundll.exe
O4 - HKLM\..\Run: [msp32] C:\WINDOWS\System32\msp32.exe
O4 - HKLM\..\Run: [pathname] C:\WINDOWS\System32\pathname.exe
O4 - HKLM\..\Run: [ntx32] C:\WINDOWS\System32\ntx32.exe
O4 - HKLM\..\Run: [wlsass] C:\WINDOWS\System32\wlsass.exe
O4 - HKLM\..\Run: [win32] C:\WINDOWS\System32\win32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmi\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [XGgAnM] C:\WINDOWS\gyfwsg.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programmi\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Programmi\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [ppl32] C:\WINDOWS\System32\ppl32.exe
O4 - HKLM\..\Run: [Ocvywjj] C:\Program Files\Nvrm\Zqlx.exe
O4 - HKLM\..\Run: [cc32] C:\WINDOWS\System32\cc32.exe
O4 - HKLM\..\Run: [lss] C:\WINDOWS\System32\lss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programmi\SideFind\sidefind.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.linkautomatici.com
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/180solu ... ge-c24.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C7435F7-D97A-4CAE-BA6D-D269506062D9}: NameServer = 212.247.156.66 212.247.156.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe
Imirik
Newbie
 
Post: 5
Iscritto il: 24/01/06 13:52

Sponsor
 

Postdi patrix966 » 24/01/06 14:09

Allora di seguito ti posto le voci sconosciute e quelle sospette!Controlla prima di proseguire per vedere se sono applicazioni da te conosciute!

Anzi..fai così..vai direttamente sul link..è una tragedia a riscriverlo tutto! :D
http://hijackthis.de/index.php#anl

Su quel link incolli il tuo log!Dopo fai analizza!e poi...Buon lavoro!ma mi raccomando attenzione! ;)
Avatar utente
patrix966
Moderatore
 
Post: 2470
Iscritto il: 05/10/05 20:36
Località: Teramo

Postdi Dylan666 » 24/01/06 14:20

sposto nella sezione giusta ;)
Se hai dubbi suall'analisi del log che ti farà il sito indicato da patrix966 allora postaceli ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Imirik » 24/01/06 14:26

Grazie mille :)
Imirik
Newbie
 
Post: 5
Iscritto il: 24/01/06 13:52

Postdi Imirik » 24/01/06 14:29

Ho cancellato un po di roba che ne ero certo che erano dannosi poi questi non so ditemi voi, non sono un esperto in ste cose ;)

http://hijackthis.de/index.php#anl
Imirik
Newbie
 
Post: 5
Iscritto il: 24/01/06 13:52

Postdi patrix966 » 24/01/06 14:31

Ciao purtoppo il sito non memorizza i log..quindi dovresti rfare un'analisi e reincollare il nuovo log! ;)
Avatar utente
patrix966
Moderatore
 
Post: 2470
Iscritto il: 05/10/05 20:36
Località: Teramo

Postdi Imirik » 24/01/06 14:36

Imirik ha scritto:Ho cancellato un po di roba che ne ero certo che erano dannosi poi questi non so ditemi voi, non sono un esperto in ste cose ;)

http://hijackthis.de/index.php#anl


Non compaiono i dati ve li scrivo qua sotto ;)

Sono tutti sconosciuti questi

C:\WINDOWS\fwnet64.exe
C:\bm22.exe
C:\WINDOWS\System32\MSFW2.exe
C:\WINDOWS\gyfwsg.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKLM\..\Run: [nqpsf] C:\WINDOWS\nqpsf.exe
O4 - HKLM\..\Run: [MSFireWall2] C:\WINDOWS\System32\MSFW2.exe
O4 - HKLM\..\Run: [lsass] C:\p2.exe
O4 - HKLM\..\Run: [msp32] C:\WINDOWS\System32\msp32.exe
O4 - HKLM\..\Run: [pathname] C:\WINDOWS\System32\pathname.exe
O4 - HKLM\..\Run: [ntx32] C:\WINDOWS\System32\ntx32.exe
O4 - HKLM\..\Run: [wlsass] C:\WINDOWS\System32\wlsass.exe
O4 - HKLM\..\Run: [XGgAnM] C:\WINDOWS\gyfwsg.exe
O4 - HKLM\..\Run: [ppl32] C:\WINDOWS\System32\ppl32.exe
O4 - HKLM\..\Run: [Ocvywjj] C:\Program Files\Nvrm\Zqlx.exe
O4 - HKLM\..\Run: [cc32] C:\WINDOWS\System32\cc32.exe
O4 - HKLM\..\Run: [lss] C:\WINDOWS\System32\lss.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C7435F7-D97A-4CAE-BA6D-D269506062D9}: NameServer = 212.247.156.66 212.247.156.70
O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe
Imirik
Newbie
 
Post: 5
Iscritto il: 24/01/06 13:52

Postdi Imirik » 24/01/06 14:39

e questi sono sospetti

C:\Programmi\ISTsvc\istsvc.exe
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programmi\180search assistant\180sahook.dll
2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programmi\SideFind\sfbho.dll
O4 - HKLM\..\Run: [Rundll] Rundll.exe
O4 - HKLM\..\Run: [win32] C:\WINDOWS\System32\win32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmi\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programmi\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Programmi\Power Scan\powerscan.exe
Imirik
Newbie
 
Post: 5
Iscritto il: 24/01/06 13:52

Postdi Dylan666 » 24/01/06 15:02

patrix966 ha scritto:Ciao purtoppo il sito non memorizza i log...


Li memorizza e come (c'è il link apposito a fine pagina) ma solo per tre giorni:
http://hijackthis.de/logfiles/00dede134 ... 48c0d.html

A occhio li eliminerei tutti, sia i gialli che i rossi, tranne la chiave O17.
Se i sintomi scompaiono poi a mano cancella pure i relativi file.
Infine aggiorna Internet Explorer.
PS: questa è una guida del programma che hai usato:
http://www.pc-facile.com/guida_hijackthis_t148946/
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 24/01/06 15:28

Ciao, mi sembra che hai un bel campionario. Intanto fai una scansione on line qui:
http://www.kaspersky.com/downloads/kws/kavwebscan.html
Scarica poi Ewido Security Suite http://www.ewido.net/en/download/
e installalo.
Lancia ewido, doppio click sull'icona con una grande E sul desktop.
Il programma chiederà di fare l'update, click su OK
Apparirà la schermata principale del programma dove è necessario
aggiornare ewido alle ultime definizioni delle firme dei virus.
Sulla parte sinistra della schermata principale click su update
Click su Start
L' update partirà ed una barra mostrerà la progressione dell'aggiornamento.
Una volta che l'aggiornamento sarà completato :
riavvia in Modalità provvisoria
Avvia Ewido.
Click su scanner
Assicurati che le seguenti caselle siano spuntate:
Binder
Crypter
Archives
Click su Start Scan
Attendi la conclusione della scansione
Mentre la scansione è attiva può presentarsi la richiesta di fare il clean del primo file infetto che trova. Scegli "clean"
e spunta la casella "Perform action on all infections" nell'angolo a sinistra della finestra in modo da far effettuare da Ewido
automaticamente l'operazione ad ogni file infetto, Click su ok.
Una volta terminata la scansione click sul pulsante in basso sulla finestra "Save report"
Salva il report sul desktop .
Cancella i file temporanei di windows (temp e tmp), quelli di IE, cookies, svuota il cestino. Controlla da pannello di controllo, installazioni\applicazioni che non via siano programmi non installati da te. In caso affermativo eliminali. Allega poi un altro log di hijackthis
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 24/01/06 15:54

Ma perché fare tutto questo casotto con uno shareware quale è Ewido (a quanto ho capito dal sito ufficiale) quando esistono ottime alternative freeware e comunque ormai abbiabmo risolto?
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 24/01/06 16:54

Ewido è un programma shareware, ma una volta scaricato , dopo 14 gg., perde solamente la protezione in real time e può essere aggiornato manualmente. Con ewido si tolgono anche varianti di Look2me a cui hijackthis non fa nemmeno il solletico. Gliel'ho consigliato perchè ha una situazione altamente incasinata con processi molto sospetti in esecuzione e perchè non sembra tanto esperto nell'uso di hijackthis, con il quale potremo intervenire dopo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 24/01/06 18:48

Ciao Patrick, scusa se intervengo ancora. Siccome il consiglio che ti ho dato di usare ewido (programma share ware-freeware), è stato, penso con cognizione di causa, contestato volevo solo aggiungere che nel mio post ho inserito le modalità di uso solo per agevolare chi magari lo usa per la prima volta, ma il programma come altri antimalware è facile e intuitivo per fare scansioni del computer, e sicuramente molto efficace. Inoltre nel tuo caso, se intendi usare solamente hijackthis devi procedere anche alla cancellazione perlomeno delle seguenti cartelle :180 search assistant, Surf Accuracy, ISTVC oltre a cancellare i relativi programmi infidi da pannello di controllo, installazioni\applicazioni. Magari dopo il lavoro di ripulitura, con qualsiasi mezzo ritieni opportuno farlo, riallega un log di hijackthis affinchè la comunità possa valutarlo per ulteriori consigli ;)
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 24/01/06 20:31

Luke57 ha scritto:Con ewido si tolgono anche varianti di Look2me a cui hijackthis non fa nemmeno il solletico.


Pora miseria non me lo ricordare, quanto dare per capire come ci si infetta e studiare come eliminare quel maledetto O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\l04q0ah5ed4.dll
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 25/01/06 09:06

Ciao Dylan, qui un esempo dell'ottomo lavoro compiuto da Ewido nei confronti del Look2me.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 25/01/06 11:42

lo so lo so, ma mi interessava trovare il metodo di rimozione manuale ;)
Come dire, mi piace capire COME funzionano le cose
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46


Torna a Sicurezza e Privacy


Topic correlati a "Help Dialer":

Dialer, virus vari
Autore: zena
Forum: Sicurezza e Privacy
Risposte: 4
Probabile dialer
Autore: prof2000
Forum: Sicurezza e Privacy
Risposte: 5

Chi c’è in linea

Visitano il forum: Nessuno e 19 ospiti