Condividi:        

Dialer pornomane

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Dialer pornomane

Postdi sadian » 27/02/07 19:17

Help me

Il mio pc è stato contaggiato da un fastidiosissimo dialer, di seguito
vi posso postare quello che ho ottenuto con una scansione di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 8.21.49, on 27/02/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\Programmi\RDS\RsiSvc.exe
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\Programmi\RDS\srscandr.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\RDS\ddsschednt.exe
C:\WINNT\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINNT\system32\sysmon.exe
C:\WINNT\system32\internat.exe
C:\Programmi\RDS\PLDlnk.exe
C:\Programmi\Microsoft Office\Office\OSA.EXE
C:\Programmi\RDS\dds.exe
C:\Programmi\RDS\PLTBar.exe
C:\Programmi\Logitech\SetPoint\KEM.exe
C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE
A:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.extremeaccess.info/?rid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [JobHisInit] C:\Programmi\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programmi\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [buud1.exe] C:\WINNT\TEMP\buud1.exe
O4 - HKLM\..\Run: [Systems] C:\WINNT\system32\sysmon.exe
O4 - HKLM\..\Run: [euoai] C:\Documents and Settings\StefaniaPassuti\Dati applicazioni\faretoraci\sysvmtrs.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Auto Document Link.lnk = C:\Programmi\RDS\PLDlnk.exe
O4 - Global Startup: Avvia servizi di consegna.lnk = C:\Programmi\RDS\DdsLaunch.exe
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Function Palette.lnk = C:\Programmi\RDS\PLTBar.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.contentdiscount.info
O15 - Trusted Zone: http://www.extremeaccess.info
O15 - Trusted Zone: http://www.softlab.name
O15 - Trusted Zone: *.ÒÝâÙÓâØÍÜÖÒäã⢗×ÔÕËÓîîô
O15 - Trusted Zone: *.Ýìæ×ÒÒÆÄÆÈØæ¡—×ÔÕËÓîîô
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8343628773
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://192.168.1.1/Remote/msrdp.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.extremeaccess.info/dialers/2/AUTO_2N.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = meliconipastore.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = meliconipastore.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = meliconipastore.local
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Dds Scheduler Deamon (DdsSched) - RICOH Company Ltd. - C:\Programmi\RDS\ddsschednt.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Ridoc Server Information Service (RsiSvc) - RICOH Company Ltd. - C:\Programmi\RDS\RsiSvc.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: ScanRouterDriverV2 - Ricoh Co.,Ltd. - C:\Programmi\RDS\srscandr.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SOption - RICOH Company Ltd. - C:\Programmi\RDS\SOption.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe

Qualcuno di buon cuore mi ci da un occhio e mi consiglia sul da farsi?

Vi ringrazio sin da ora!
sadian
Newbie
 
Post: 3
Iscritto il: 27/02/07 19:12

Sponsor
 

Postdi sadian » 01/03/07 18:20

Grazie lo stesso...
sadian
Newbie
 
Post: 3
Iscritto il: 27/02/07 19:12

Postdi IlCi » 01/03/07 19:05

Ciao,copia il log di hijack in questo sito:
http://www.hijackthis.de/en
vedrai ke hai diverse voci da fixare.Poi fai una bella pulizia e una scansione con antivirus.
IlCi
Utente Senior
 
Post: 129
Iscritto il: 17/06/05 16:21
Località: Zena

Postdi aurelio37 » 01/03/07 19:25

oppure su
http://www.hijackthis.de/it
in italiano
Avatar utente
aurelio37
Moderatore
 
Post: 2736
Iscritto il: 07/02/07 11:36
Località: Milano

Postdi Luke57 » 01/03/07 20:14

Ciao, Scarica ATF cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
(per eliminare i file temporanei)
Poi scarica scarica DelDomains.inf da qui --> http://www.mvps.org/winhelp2002/DelDomains.inf
e mettilo sul desktop.

Apri hijackthis.exe, premi "open the misc tools section", poi "open process manager", cerca il seguente processo e se lo trovi evidenzialo:
C:\WINNT\system32\sysmon.exe
premi kill process.
Torna al menu principale con back, premi scan, cerca e spunta le voci seguenti:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.extremeaccess.info/?rid=2
O4 - HKLM\..\Run: [buud1.exe] C:\WINNT\TEMP\buud1.exe
O4 - HKLM\..\Run: [Systems] C:\WINNT\system32\sysmon.exe
O4 - HKLM\..\Run: [euoai] C:\Documents and Settings\StefaniaPassuti\Dati applicazioni\faretoraci\sysvmtrs.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
TUTTE LE VOCI 015
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - https://192.168.1.1/Remote/msrdp.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.extremeaccess.info/dialers/2/AUTO_2N.exe

premi fix checked.

Riavvia in modalità provvisoria
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file protetti di sistema (consigliato)
Premi OK

Cerca ed elimina,se ci sono, i seguenti file:
C:\WINNT\system32\sysmon.exe
C:\Documents and Settings\StefaniaPassuti\Dati applicazioni\faretoraci----- > la cartella
C:\WINNT\TEMP\buud1.exe

Poi avvia ATFCleaner. Clicca sul menu main e poi seleziona la casella Select All. Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!.

Esegui deldomains con click tasto dx sul file .inf e scegli Installa.

Da pannello di controllo disistalla programmi sospetti non installati da te

Fai una scansione cona antivirus aggiornato.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi sadian » 02/03/07 21:00

Siete stati veramente gentili, e vi ringrazio..
Avevo già approcciato alla materia guardando tutti i vostri post
su questo fastidioso problema. Ma i vostri ultimi, mi hanno
dato ulteriori spunti assai interessanti. Il problema è già
parzialmente risolto, seguirò i vostri preziosi consigli per ultimare
il lavoro.

Grazie ancora, ed a presto rileggerci...
;-)
sadian
Newbie
 
Post: 3
Iscritto il: 27/02/07 19:12


Torna a Sicurezza e Privacy


Topic correlati a "Dialer pornomane":

Dialer, virus vari
Autore: zena
Forum: Sicurezza e Privacy
Risposte: 4
Probabile dialer
Autore: prof2000
Forum: Sicurezza e Privacy
Risposte: 5

Chi c’è in linea

Visitano il forum: Nessuno e 34 ospiti