Home News Guide Hardware Download Forum Glossario

Condividi:        

trojans e i dialer continui

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Regole del forum
Rispondi al post

trojans e i dialer continui

Postdi degiov » 06/12/06 14:56

Ciao,
ho bisogno di aiuto. Ogni volta che apro internet dopo alcuni minuit l'antivirus parte e mi trova un trojan e un idialer che vengon quanratinati e cancellati.
Ho fatto lo scan più volte ma non riesco a trovare nulla. Vi mando il log.
Premetto che ho più volte tolto e messo file "sospetti" seguendo i vostri consigli, ma il risultato è stato nullo. Attendo vostro aiuto


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\basfipm.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Microsoft Firewall Client 2004\FwcAgent.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\Citrix\ICA Client\ssonsvr.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programmi\Digital Line Detect\DLG.exe
C:\Programmi\Microsoft Firewall Client 2004\FwcMgmt.exe
C:\Programmi\Citrix\ICA Client\pnagent.exe
C:\Documents and Settings\Degiov\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portale/default.aspx
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = wpad.italease.it:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programmi\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programmi\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [GCXX-Manager-Class] "C:\Programmi\Sony Ericsson\Wireless Manager\GCXXManager.exe" -startup
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Collegamento a Printkey.lnk = C:\Printkey.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Firewall Client Management.lnk = ?
O4 - Global Startup: Program Neighborhood Agent.lnk = C:\Programmi\Citrix\ICA Client\pnagent.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Salva oggetto con NetXfer - C:\Programmi\Xi\NetXfer\NXAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con NetXfer - C:\Programmi\Xi\NetXfer\NXAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\programmi\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\programmi\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\programmi\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\programmi\microsoft firewall client 2004\fwcwsp.dll
O15 - Trusted Zone: http://asitaca1.italease.it (HKLM)
O15 - Trusted Zone: *.italease.it (HKLM)
O15 - Trusted Zone: *.italease.t (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0156762769
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = italease.it
O17 - HKLM\Software\..\Telephony: DomainName = italease.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{506A056C-328D-4AD5-BD7B-A7178C16D7B7}: NameServer = 80.20.6.36,212.216.112.112
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = italease.it
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Programmi\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: wincnh32 - C:\WINDOWS\SYSTEM32\wincnh32.dll
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
degiov
Newbie
 
Post: 6
Iscritto il: 06/12/06 14:52
Top
Sponsor
 

Postdi Pao1o » 07/12/06 14:27

Sei un po' malandato.
Dici di aver già premuto su fix, te li cancella e ricompaiono, giusto?
Controlla il log qui
http://www.hijackthis.de/it
e prova a rifixarli.
Prima di fixarli, se ti ricompaiono sempre da hijack\open misc tool\open process manager
kill process termini quei processi che sei sicuro dannosi.
poi premi back, torni alla schermata principale e metti lo spunto su fix.

In ogni caso per eliminare file in modo sicuro prova killbox
http://files1.majorgeeks.com/files/a631 ... illbox.exe

fai un buon controllo completo antispyware e antivirus (aggiornali bene, prima)
Fai un bello scandisk approfondito con correzione errori
dai una ripulita al registro con regseeker, regcleaner e ccleaner
http://www.pc-facile.com/download/?cat=54

Fai un controllo antispyware adaware + spybot + ewido (aggiornati)
http://www.pc-facile.com/download/?cat=17
http://www.pc-facile.com/news/ewido_la_ ... otenziata/

Fai una bella deframmentazione.

Usa il tuo antivirus o
http://www.pandasoftware.com/activescan ... ncipal.htm
Immagine
Avatar utente
Pao1o
Utente Senior
 
Post: 1375
Iscritto il: 23/10/05 12:58
Località: non scrivo più su questo forum per divergenze
Top

Postdi degiov » 07/12/06 14:56

No,
forse non mi sono spiegato.
I file che Fixo vengono cancellati regolarmente e non mi si prentano più
Il problema è che ogni volta che mi collego a internet a siti controllati (tipo http://www.corriere.it) l'antivirus mi avvisa di aver trovato un Trojan/idialer e a volte un downloader (che regolarmente mi mette in quarantena)
Non riesco però a trovarne la causa visto che mi vengono rilevati navigando in siti normalissimi.
Proverò comunque a fare quanto mi hai suggerito
Se hai qualche altro suggermiento te ne sarei grato.
Grazie ancora.
degiov
Newbie
 
Post: 6
Iscritto il: 06/12/06 14:52
Top

Postdi Luke57 » 07/12/06 15:30

Ciao, apri hijackthis, premi "do a system scan only", cerca e spunta le seguenti voci:
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O20 - Winlogon Notify: wincnh32 - C:\WINDOWS\SYSTEM32\wincnh32.dll

premi fix checked

Inoltre scarica KILLBOX da qui
http://www.bleepingcomputer.com/files/s ... illBox.zip
- estrailo sul desktop e apri la cartella che lo contiene e quindi avvialo
- Seleziona l'opzione Delete on Reboot . Nello spazio scrivi il percorso del file da eliminare
C:\WINDOWS\SYSTEM32\wincnh32.dll e clicchi sulla crocetta rossa (il computer si riavvierà).
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10
Top

Postdi degiov » 08/12/06 10:26

Grazie LUKE57,
sembra che tutta vada per il meglio. Sto navigando da un'ora e non è successo nulla.
Ora mi faccio una copia del log di HJ e lo controllo setimanalmente.
Sei stato gentilissimo.
Grazie ancora
degiov
Newbie
 
Post: 6
Iscritto il: 06/12/06 14:52
Top
Rispondi al post

Torna a Sicurezza e Privacy


Topic correlati a "trojans e i dialer continui":

blocchi e aggiornamenti continui su noteDELL inspirion 55770
Autore: marco ballotta 		Forum: Software Windows
Risposte: 7
Problemi continui con ingressi frontali USB
Autore: paolodik 		Forum: Sistemi Operativi Windows
Risposte: 3
Continui riavvii dopo un aggiornamento
Autore: Saluti 		Forum: Sistemi Operativi Windows
Risposte: 1
windows 7 blocchi continui
Autore: thecrow90 		Forum: Sistemi Operativi Windows
Risposte: 3
HDD e continui BSOD ?
Autore: miciotta 		Forum: Assistenza Hardware
Risposte: 5

Chi c’è in linea

Visitano il forum: Nessuno e 95 ospiti