Condividi:        

Possibile dialer

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Possibile dialer

Postdi zena » 10/04/07 10:16

ciao a tutti, sono due giorni che ho un problema con la connessione, dopo una decina di minuti che sono connesso mi stacca automaticamente e prova a riconnettermi con un altra connessione che si crea da sola e la chiama "stxnp" ma non riesco a cancellarla. ho provato ad utilizzare hijack ma non me lo fa nemmeno aprire, me lo chiude subito automaticamente.
vi scrivo i processi che ho attualmente in uso per sapere se ho qualcosa che non va:

msnmsgr.exe
EXPLORER.EXE
ATI"EVXX.EXE
ALG.EXE
IEXPLORE.EXE
SAgent2.exe
SPOOLSV.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
ATI2EVXX.EXE
LSASS.EXE
SERVICES.EXE
WINLOGON.EXE
CSRSS.EXE
SMSS.EXE
taskmgr.exe
NMBgMonitor.exe
SM56HLPR.EXE
System
Ciclo idle del sistema

spero che mi possiate dare una mano. grazie mille. ciao
zena
Utente Junior
 
Post: 80
Iscritto il: 18/10/05 18:58

Sponsor
 

Postdi Luke57 » 10/04/07 11:07

Ciao, dai processi non si capisce, fai questo controllo.
apri il registro di sistema:
per farlo
start---> esegui digita regedit
Aperto l'editor del registro, muovendoti con i "+"
segui questo percorso
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Image file execution options
controlla se nell'elenco a discesa delle varie voci sotto quella indicata in neretto, è presente explorer.exe
Se sì, ci clicchi e riporti che cosa trovi al suo interno.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi zena » 10/04/07 13:37

ciao, ho fatto ciò che mi hai indicato e nella cartella explorer.exe ci sono queste due voci:

Nome: (predefinito) Tipo: RGZ_SZ Dati: (valore non impostato)
Nome: Debugger Tipo: RGZ_SZ Dati: "c:\windows\system32\ihomdrci.ver"

attendo istruzioni. grazie mille. ciao
zena
Utente Junior
 
Post: 80
Iscritto il: 18/10/05 18:58

Postdi Luke57 » 10/04/07 15:13

Ciao, prova questa operazione, magari stampa la pagina.
Accedi al task manager (ctrl+alt+canc),premi il tab Processi e termina il processo explorer.exe. Tutte le icone spariranno, non ti preoccupare. A questo punto, sempre nella finestra del taskmanager ,vai su File, nuova operazione e scrivi iexplore.exe. Una volta aperta la finestra di Internet Explorer, accedi a questo sito: http://www.sendmefiles.com/avenger_exe63
e scarica nella cartella Documenti il file.
Una volta scaricato, chiudi la finestra di Internet Explorer, tornando al task manager. Adesso, dal task manager, vai su file, nuova operazione, vai nella cartella documenti premendo sfoglia ed apri il file appena scaricato. Una volta aperto il programma, seleziona "input script manually", premi la lente di ingrandimento, copia e incolla (ctrl+V) la scritta in neretto:


Files to delete:
c:\windows\system32\ihomdrci.ver

Registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image file execution options\explorer.exe


adesso premi Done e poi premi sul semaforo verde
Rispondi yes due volte.
Il computer si riavvierà; al riavvio comparirà un report in C:\avenger.txt. copiane il contenuto e postalo qui.
Se hai difficoltà, fai sapere.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi zena » 10/04/07 17:03

ciao, ho fatto tutto quello che mi hai detto, non ho avuto problemi per fortuna e questo è il contenuto del report:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\udofcnmp

*******************

Script file located at: \??\C:\WINDOWS\dvaonkfa.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\windows\system32\ihomdrci.ver deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image file execution options\explorer.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


ti ringrazio nuovamente e attendo ulteriori istruzioni. ciao
zena
Utente Junior
 
Post: 80
Iscritto il: 18/10/05 18:58

Postdi Luke57 » 10/04/07 19:17

Ciao, complinenti, prova a utilizzare hijackhis e posta un log.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi zena » 10/04/07 21:34

ciao, benissimo, ora hijack me lo apre normalmente...ecco il log:

Logfile of HijackThis v1.99.1
Scan saved at 22.33.33, on 10/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Fedo\IMPOST~1\Temp\Rar$EX02.734\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{716F82CC-0AC0-42FF-B946-16F4D35AC5F3}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe


grazie di tutto! spero sia tutto in ordine. ciao
zena
Utente Junior
 
Post: 80
Iscritto il: 18/10/05 18:58

Postdi Luke57 » 11/04/07 07:17

Ciao, pare proprio di sì.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "Possibile dialer":

Possibile Virus???
Autore: danibi60
Forum: Sicurezza e Privacy
Risposte: 3

Chi c’è in linea

Visitano il forum: Nessuno e 24 ospiti