Dialer maledetto

[stratofortress]

Salve,
nel mio pc è presente un dialer che non riesco in alcun modo a rimuovere, mi compare una finestra in cui mi dice adesso puoi chattare XXX etc.
A quel punto sono costretto a riavviare il pc poichè non riesco a chiudere tale finestra in alcun modo, al riavvio mi appare nella barra degli strumenti, tra i preferiti e sul desktop un collegamento a explorer1 (che se cliccato mi farebbe accedere alla chat sopra citata).

Log File:

Logfile of HijackThis v1.99.1
Scan saved at 10.37.33, on 11/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

(Unable to list running processes)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
O1 - Hosts: <HTML><HEAD>
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts: </HEAD><BODY>
O1 - Hosts: <H1>Not Found</H1>
O1 - Hosts: The requested URL /ad/hosts was not found on this server.<P>
O1 - Hosts: </BODY></HTML>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.1987324.com
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - D:\Programmi\Mtlab7\webserver\bin\win32\matlabserver.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[andorra24]

Metti la spunta nella casellina accanto alle seguenti voci e premi ''fix checked'':

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
O1 - Hosts: <HTML><HEAD>
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts: </HEAD><BODY>
O1 - Hosts: <H1>Not Found</H1>
O1 - Hosts: The requested URL /ad/hosts was not found on this server.<P>
O1 - Hosts: </BODY></HTML>
O15 - Trusted Zone: http://www.1987324.com


Assicurati di eliminare SERVICES.EXE che si trova in C:\WINDOWS

Per eliminarlo usa killbox:
http://www.bleepingcomputer.com/files/killbox.php

Fai anche una scansione con ewido anti-malware:
http://download.ewido.net/ewido-setup.exe

[stratofortress]

Grazie per la risposta tempestiva,
fatto per la prima parte, ma non riesco a trovare SERVICES.EXE

[andorra24]

Visualizza cartelle e file nascosti (da start/risorse del computer/strumenti/opzioni cartella/visualizzazione) e controlla bene in C:\WINDOWS se c'e' SERVICES.EXE e lo elimini.

Fai la scansione con ewido come ti ho consigliato e dopo posta un nuovo log di hijackthis per vedere se e' tutto risolto.

[stratofortress]

L'opzione di visualizzare i file nascosti era già selezionata, ma proprio non trovo SERVICES.EXE

Nuovo log file:

Logfile of HijackThis v1.99.1
Scan saved at 11.07.22, on 11/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

(Unable to list running processes)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - D:\Programmi\Mtlab7\webserver\bin\win32\matlabserver.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[andorra24]

Devi fixare questa voce:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE

Fai anche la scansione con ewido come ti ho detto:
http://download.ewido.net/ewido-setup.exe

[stratofortress]

Non riesco a fixare:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE

[andorra24]

Fai la scansione che ti avevo detto.

[Luke57]

Ciao, per eliminare quella voce dei andare nel registro di sistema:
start>esegui>regedit (lo scrivi nello spazio)>OK
Per sicurezza fai una copia del registro di sistema così:
sull’editor del registro che si apre scegli File>Esporta, assicurati che nella nuova finestra sia selezionata la voce Tutto o tutti i file nell’Intervallo di esportazione, dai un nome al file .reg, tipo “salvataggio registro” e lo salvi nel disco fisso ( ci vorrà qualche minuto, in quanto è un file di almeno 16 MB). In caso di problemi, con un doppio click su tale file, potrà essere ripristinata la situazione del registro prima delle modifiche.
Poi vai alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
cliccando sui + accanto alle singole voci, doppio click sulla cartella Winlogon
individui nella finestra di destra USERINIT ed devi eliminare la voce:,C:\WINDOWS\SERVICE.EXE
Non eliminare tutta la chiave, altrimenti il computer non si riavvierà.
Per eliminare la voce infetta:
doppio clic su Userinit, nella finestra “Modifica stringa” che si apre, nello spazio Dati valore troverai evidenziata questa voce:
C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
Devi eliminare
,C:\WINDOWS\SERVICES.EXE (virgola compresa).
Selezioni a questo punto solo la voce da eliminare e scegli Canc, poi OK, chiudere il registro.
Allo stesso modo controllare che la voce non sia presente nella chiave SHELL sempre all’interno della cartella Winlogon. Se alla destra di Shell trovi Explorer.exe da solo, va bene.

[stratofortress]

Ciao, per eliminare quella voce dei andare nel registro di sistema:
start>esegui>regedit (lo scrivi nello spazio)>OK
Per sicurezza fai una copia del registro di sistema così:
sull’editor del registro che si apre scegli File>Esporta, assicurati che nella nuova finestra sia selezionata la voce Tutto o tutti i file nell’Intervallo di esportazione, dai un nome al file .reg, tipo “salvataggio registro” e lo salvi nel disco fisso ( ci vorrà qualche minuto, in quanto è un file di almeno 16 MB). In caso di problemi, con un doppio click su tale file, potrà essere ripristinata la situazione del registro prima delle modifiche.
Poi vai alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
cliccando sui + accanto alle singole voci, doppio click sulla cartella Winlogon
individui nella finestra di destra USERINIT ed devi eliminare la voce:,C:\WINDOWS\SERVICE.EXE
Non eliminare tutta la chiave, altrimenti il computer non si riavvierà.
Per eliminare la voce infetta:
doppio clic su Userinit, nella finestra “Modifica stringa” che si apre, nello spazio Dati valore troverai evidenziata questa voce:
C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
Devi eliminare
,C:\WINDOWS\SERVICES.EXE (virgola compresa).
Selezioni a questo punto solo la voce da eliminare e scegli Canc, poi OK, chiudere il registro.
Allo stesso modo controllare che la voce non sia presente nella chiave SHELL sempre all’interno della cartella Winlogon. Se alla destra di Shell trovi Explorer.exe da solo, va bene.

Grazie per la dettagliata risposta,ho seguito alla lettera questa procedura, cancellando ,C:\WINDOWS\SERVICE.EXE, ma se ripeto i passaggi riappare sempre la stringa.

Log file:
Logfile of HijackThis v1.99.1
Scan saved at 16.35.17, on 17/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

(Unable to list running processes)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - D:\Programmi\Mtlab7\webserver\bin\win32\matlabserver.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Luke57]

Ciao, verifica con il task manager (Ctrl+Alt+Canc) i processi che hai in esecuzione. Magari postali nel forum. Nel log di hiajckthis non ti appaiono, anzi verifica nel programma con "open the misc tools section", poi "main", se è spuntata la voce "include list of running processes in logfile". Se questa opzione non è spuntata, la lista dei processi non viene messa nel log che, fra l'altro, ad eccezione dell voce F2 appare pulito, ma si devono osservare i processi prima di esprimere giudizi