Condividi:        

infezione dialer instantAccess

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

infezione dialer instantAccess

Postdi antonella07 » 29/05/07 11:27

Ciao...mi chiamo antonella e sono 4 giorni che il mio pc è infetto da un virus il cui nome è instant access. Ho letto un pò su vari forum che è quasi impossibile da eliminare con l'antivirus (io ho AVG) ho scaricato anche uno di quei programmi per eliminare i dialer (a-squared 2) il risultato è stato che la tipica icona di questo dialer (la D verde) si è trasformata ma è rimasta lì, presa dalla disperazione l'ho cestinata ma il pc continua a crearmi delle connessioni fasulle (del tipo...local internet o addirittura una nominata instant access). Ho anche provato a cercare il virus seguendo il percorso che mi indicava il file, risultava essere nella cartella temp impostazioni locali...ma nn c'è...o magari sono io incapace di trovarla(per inciso sono alquanto ignorante in materia, dunque è una cosa probabilissima). ho anche provato a scaricare quel file "awf " riuscendo ad ottenerlo, ma quando cerco di scaricare " avenger " mi chiude internet explorer, ho anche provato a farlo scaricare ed inviare da un amico, ma appena lo apre si chiude tutto. Se potete darmi una mano vi sarei tanto grata.
antonella07
Utente Junior
 
Post: 25
Iscritto il: 29/05/07 11:01
Località: salerno

Sponsor
 

Postdi Luke57 » 29/05/07 12:13

Ciao, quel file "awf" che hai scaricato eseguilo e posta il report della scansione.
Inoltre, pUoi fare questi due controlli?
Apri il registro di sistema (start>esegui>nello spazio digiti regedit>OK)
Aperto l'editor del registro, clicchi sul segno + accanto alle singole voci (in pratica espandi le varie voci in una specie di menu ad albero):
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Image file execution options,
dopo il click sul segno + di quest'ultima voce, controlla se tra le varie sottovoci è presente
explorer.exe
se presente, click sulla voce e riporta che cosa trovi al suo interno

Inoltre, verifica anche questa voce:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Winlogon
click su quest'ultima voce e tra le varie voci all'interno portati su
userinit
e riporta che cosa è scritto sulla parte destra di tale voce (normalmente si trova: C:\Windows\system32\userinit.exe,).
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi antonella07 » 29/05/07 13:11

Ho cercato di fare tutto ciò che mi hai chiesto...spero nel modo giusto :-)



Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\BEARSH~1\BAK

0 File 0 byte
2 Directory 1.057.947.648 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\D-TOOLS\BAK

22/08/2004 17.05 81.920 daemon.exe
1 File 81.920 byte
2 Directory 1.057.947.648 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\ITUNES\BAK

02/01/2004 12.31 229.376 iTunesHelper.exe
26/05/2007 13.45 102 iTunesHelperAppLog.txt
2 File 229.478 byte
2 Directory 1.057.943.552 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\QUICKT~1\BAK

0 File 0 byte
2 Directory 1.057.943.552 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\WINAMP\BAK

13/02/2007 20.29 35.328 winampa.exe
1 File 35.328 byte
2 Directory 1.057.943.552 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
05/07/2006 12.56 9.915 lsacbtmb.exe
09/07/2001 12.50 155.648 NeroCheck.exe
3 File 180.923 byte
2 Directory 1.057.943.552 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\GRISOFT\AVG7\BAK

21/04/2007 17.42 416.256 avgcc.exe
1 File 416.256 byte
2 Directory 1.057.943.552 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\THOMSON\SPEEDT~1\BAK

26/01/2004 11.38 866.816 Dragdiag.exe
1 File 866.816 byte
2 Directory 1.057.943.552 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\DOCUME~1\ANTONE~2\IMPOST~1\TEMP\BAK

05/07/2006 12.56 6.144 1198078.exe
1 File 6.144 byte
2 Directory 1.057.943.552 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\IPM\ADSL\DATAWAY\BAK

01/04/2003 11.32 299.008 dslstat.exe
1 File 299.008 byte
2 Directory 1.057.943.552 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\JAVA\JRE15~2.0_0\BIN\BAK

12/10/2006 04.10 49.263 jusched.exe
1 File 49.263 byte
2 Directory 1.057.943.552 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

Questo è il file awf (però l'ho fatto ieri, spero sia lo stesso, anche perchè dovendolo fare nuovamente avrei bisogno dell'indirizzo (infatti ieri l'ho fatto tramite un link trovato nel forum)


Delle altre cose che mi hai chiesto, il risultato del primo è:

(Predefinito) REG_SZ (valore non impostato)
Debugger REG_SZ "f:\windows\system32\vrqhjnm.dat"

_ IL risultato del secondo è:


Userinit REG_SZ F:WINDOWS\system32\userinit.exe,


Spero di aver fatto tutto correttamente...perchè sono molto inesperta

Grazie per l'aiuto...Antonella
antonella07
Utente Junior
 
Post: 25
Iscritto il: 29/05/07 11:01
Località: salerno

Postdi Luke57 » 29/05/07 14:37

Ciao, segui questa procedura, magari stampa la pagina.
Scarica AVGPfix da qui (è un cleaner puro):
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
(mettilo sul desktop)


2)apri il taskmanager (ctrl+alt+canc), premi il tab.Processi, evidenzia explorer.exe, premi Termina processo. A questo punto il desktop scomparirà, sempre dal taskmanager vai su file>nuova operazione, scrivi regedt32>OK, si apre il registro di sistema, vai alla voce explorer.exe cliccando sul segno + accanto alle singole voci del seguente percorso:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
explorer.exe

click tasto dx su di essa>Autorizzazioni>Avanzate>premi il tab.Proprietario>autorizza l'Utente del computer>OK. Torni alla pagina principale, metti la spunta a Controllo completo e In lettura>OK. A questo punto, click tasto dx sulla voce e scegli Elimina.
Chiudi il registro

3)Sempre dal task manager , vai su file>nuova operazione e scrivi explorer.exe >OK per ripristinare il desktop.

verifica di aver effettivamente tolto la voce explorer.exe, riavviando il computer e controllando nel registro.

4)avvii Avgpfix
(premi start, individui il file:
f:\windows\system32\vrqhjnm.dat
premi OK per eliminare il file).

Questo è il link per finawf:
http://www.alground.com/site/modules/my ... id=3&lid=6
posta nuovo report
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Infezione instantAccess 2

Postdi antonella07 » 29/05/07 16:44

Ciao...sono sempre io antonella...ho seguito la procedurada te dettatami fino alla scansione con AGVPFIX....però purtroppo non sono capace di trovare il file f:\windows\system32\vrqhjnm.dat
Ho fatto la scansione mi si è aperta una finestra con varie voci...io sono entrata nel disco F poi cartella WINDOWS e poi in system32...purtroppo nulla. Dove ho sbagliato? dovevo seguire un altro percorso?
Ciao e... scusa l'ignoranza!
antonella07
Utente Junior
 
Post: 25
Iscritto il: 29/05/07 11:01
Località: salerno

Re: Infezione instantAccess 2

Postdi Luke57 » 29/05/07 18:06

antonella07 ha scritto:Ciao...sono sempre io antonella...ho seguito la procedurada te dettatami fino alla scansione con AGVPFIX....però purtroppo non sono capace di trovare il file f:\windows\system32\vrqhjnm.dat
Ho fatto la scansione mi si è aperta una finestra con varie voci...io sono entrata nel disco F poi cartella WINDOWS e poi in system32...purtroppo nulla. Dove ho sbagliato? dovevo seguire un altro percorso?
Ciao e... scusa l'ignoranza!

Ciao, la chiave di registro explorer.exe l'hai cancellata?
Prova a visualizzare i file nascosti:
apri risorse del computer>strumenti>opzioni cartella>visualizzazione>metti la spunta a visualizza file e cartelle nascosti e di sistema, la togli a "nascondi file protetti e di sistema (consigliato)>OK
A questo punto riprova con avpfix.
Inoltre prova a scaricare Avenger.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi antonella07 » 29/05/07 22:35

Ciao, lo so sono una vera tragedia ...ho fatto tutto ciò che mi hai detto rendendo visibile sul pc quasi l'impossibile...ma questo file f:\windows\system32\vrqhjnm.dat purtroppo nn lo riesco a trovare...ho seguito questa procedura:
fatto partire agvpfix cliccato sul segno + del Disco Locale (F:) poi su WINDOWS ho trovato system32 cliccato sul + nuovamente ma il file non lo trovo. Forse non è questo il percorso da seguire ma io non so arrivarci altrimenti.

***Comunque se è necessario eliminare questo file e non dovessi riuscire da sola lo farò fare domani a qualcuno che abbia maggiore competenza di me al computer, magari sono io incapace di trovarlo!


In compenso sono finalmente riuscita a scaricare Avenger cosa che prima mi era impossibile fare.
Ho rifatto AWF...non so se può essere utile....grazie...ciao


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\BEARSH~1\BAK

0 File 0 byte
2 Directory 1.392.091.136 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\D-TOOLS\BAK

22/08/2004 17.05 81.920 daemon.exe
1 File 81.920 byte
2 Directory 1.392.091.136 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\ITUNES\BAK

02/01/2004 12.31 229.376 iTunesHelper.exe
29/05/2007 16.08 204 iTunesHelperAppLog.txt
2 File 229.580 byte
2 Directory 1.392.087.040 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\QUICKT~1\BAK

0 File 0 byte
2 Directory 1.392.087.040 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\WINAMP\BAK

13/02/2007 20.29 35.328 winampa.exe
1 File 35.328 byte
2 Directory 1.392.087.040 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
05/07/2006 12.56 9.915 lsacbtmb.exe
09/07/2001 12.50 155.648 NeroCheck.exe
3 File 180.923 byte
2 Directory 1.392.087.040 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\GRISOFT\AVG7\BAK

21/04/2007 17.42 416.256 avgcc.exe
1 File 416.256 byte
2 Directory 1.392.087.040 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\THOMSON\SPEEDT~1\BAK

26/01/2004 11.38 866.816 Dragdiag.exe
1 File 866.816 byte
2 Directory 1.392.087.040 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\DOCUME~1\ANTONE~2\IMPOST~1\TEMP\BAK

05/07/2006 12.56 6.144 1198078.exe
1 File 6.144 byte
2 Directory 1.392.087.040 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\IPM\ADSL\DATAWAY\BAK

01/04/2003 11.32 299.008 dslstat.exe
1 File 299.008 byte
2 Directory 1.392.087.040 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\JAVA\JRE15~2.0_0\BIN\BAK

12/10/2006 04.10 49.263 jusched.exe
1 File 49.263 byte
2 Directory 1.392.087.040 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

23568 25 May 2007 F:\PROGRA~1\D-TOOLS\DAEMON.EXE
81920 22 Aug 2004 F:\PROGRA~1\D-TOOLS\BAK\DAEMON.EXE
23568 25 May 2007 F:\PROGRA~1\ITUNES\ITUNES~1.EXE
229376 2 Jan 2004 F:\PROGRA~1\ITUNES\BAK\ITUNES~1.EXE
204 29 May 2007 F:\PROGRA~1\ITUNES\BAK\ITUNES~1.TXT
23568 25 May 2007 F:\PROGRA~1\WINAMP\WINAMPA.EXE
35328 13 Feb 2007 F:\PROGRA~1\WINAMP\BAK\WINAMPA.EXE
13312 9 Sep 2002 F:\WINDOWS\$NTSER~1\CTFMON.EXE
15360 19 Aug 2004 F:\WINDOWS\SYSTEM32\CTFMON.EXE
15360 19 Aug 2004 F:\WINDOWS\SYSTEM32\BAK\CTFMON.EXE
23568 25 May 2007 F:\WINDOWS\SYSTEM32\LSACBTMB.EXE
9915 5 Jul 2006 F:\WINDOWS\SYSTEM32\BAK\LSACBTMB.EXE
23568 25 May 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE
155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE
23568 25 May 2007 F:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE
416256 21 Apr 2007 F:\PROGRA~1\GRISOFT\AVG7\BAK\AVGCC.EXE
23568 25 May 2007 F:\PROGRA~1\THOMSON\SPEEDT~1\DRAGDIAG.EXE
866816 26 Jan 2004 F:\PROGRA~1\THOMSON\SPEEDT~1\BAK\DRAGDIAG.EXE
23568 25 May 2007 F:\DOCUME~1\ANTONE~2\IMPOST~1\TEMP\1198078.EXE
6144 5 Jul 2006 F:\DOCUME~1\ANTONE~2\IMPOST~1\TEMP\BAK\1198078.EXE
23568 25 May 2007 F:\PROGRA~1\IPM\ADSL\DATAWAY\DSLSTAT.EXE
299008 1 Apr 2003 F:\PROGRA~1\IPM\ADSL\DATAWAY\BAK\DSLSTAT.EXE
36975 10 Nov 2005 F:\PROGRA~1\JAVA\JRE15~1.0_0\BIN\JUSCHED.EXE
23568 25 May 2007 F:\PROGRA~1\JAVA\JRE15~2.0_0\BIN\JUSCHED.EXE
49263 12 Oct 2006 F:\PROGRA~1\JAVA\JRE15~2.0_0\BIN\BAK\JUSCHED.EXE


end of report
antonella07
Utente Junior
 
Post: 25
Iscritto il: 29/05/07 11:01
Località: salerno

Postdi Luke57 » 30/05/07 07:38

Ciao, devo vedere ancora alcune cose, vai qui:
http://www.suspectfile.com/forum/viewtopic.php?t=466
scarica systemscan .
Dopo averlo scaricato , decomprimilo sul desktop (nel senso che estrai il file seguibile), chiudi le applicazioni e programmi aperti e utilizzalo come spiegato (spunta tutte le opzioni e premi scan now).
Al termine della scansione sarà rilasciato il file report.txt nella cartella C:\suspectfile.
E' troppo lungo per copiarlo e incollarlo in un post, per cui vai su :
http://www.easy-share.com/
premi sfoglia, individui il file report.tx, premi Upload e carica il file sul sito.
Incolla, in un successivo post, il link per poterlo vedere (sarà il primo di quelli che ti saranno forniti).
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi antonella07 » 30/05/07 18:39

Ciao...oggi non ho avuto molto tempo per stare al computer e quel programma suspect file nn mi riusciva di aprirlo assolutamente!
Presa dalla disperazione ho messo il pc in modalità provvisoria e ho eliminato i file infetti in tal modo. Non sono certa di non aver combinato guai...pazienza se ho combinato pasticci lo faccio formattare da qualcuno con maggiore esperienza. Ti posto il log Awf dopo questa mia azzardata operazione...mi dai consiglio per favore...grazie.




Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\BEARSH~1\BAK

0 File 0 byte
2 Directory 2.682.171.392 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\D-TOOLS\BAK

0 File 0 byte
2 Directory 2.682.171.392 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\ITUNES\BAK

0 File 0 byte
2 Directory 2.682.167.296 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\QUICKT~1\BAK

0 File 0 byte
2 Directory 2.682.167.296 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\WINAMP\BAK

0 File 0 byte
2 Directory 2.682.167.296 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 2.682.167.296 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\GRISOFT\AVG7\BAK

0 File 0 byte
2 Directory 2.682.167.296 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\THOMSON\SPEEDT~1\BAK

0 File 0 byte
2 Directory 2.682.167.296 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\DOCUME~1\ANTONE~2\IMPOST~1\TEMP\BAK

0 File 0 byte
2 Directory 2.682.167.296 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\IPM\ADSL\DATAWAY\BAK

0 File 0 byte
2 Directory 2.682.167.296 byte disponibili
Il volume nell'unit… F non ha etichetta.
Numero di serie del volume: B8C1-846D

Directory di F:\PROGRA~1\JAVA\JRE15~2.0_0\BIN\BAK

0 File 0 byte
2 Directory 2.682.167.296 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report
antonella07
Utente Junior
 
Post: 25
Iscritto il: 29/05/07 11:01
Località: salerno

Postdi antonella07 » 30/05/07 18:40

Scusa ho dimenticato di dirti che ho messo tutto ciò che ho eliminato nel cestino...che faccio elimino tutto definitivamente?
antonella07
Utente Junior
 
Post: 25
Iscritto il: 29/05/07 11:01
Località: salerno

Postdi Luke57 » 30/05/07 19:24

antonella07 ha scritto:Scusa ho dimenticato di dirti che ho messo tutto ciò che ho eliminato nel cestino...che faccio elimino tutto definitivamente?

Ciao, le cartelle bak sono vuote, ma hai copiato i file nelle cartelle bak, che sono quelli buoni, e l'hai incollati al posto di quelli infetti?
per esempio:
taglia F:\PROGRA~1\D-TOOLS\BAK\DAEMON.EXE
incollalo (sovrascrivendolo) nella cartella F:\PROGRA~1\D-TOOLS

taglia F:\PROGRA~1\ITUNES\BAK\ITUNES~1.EXE
incollalo (sovrascrivendolo) nella cartella F:\PROGRA~1\ITUNES

e via continuando per tutti i duplicati indicati dal report di findawf
se hai fatto così hai fatto bene...
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi antonella07 » 30/05/07 21:42

Si, ho fatto questa operazione grazie ad un amico che mi suggeriva al telefono come fare...solo che l'esecutrice ero io non lui perciò non mi fido...mi chiedo "avrò fatto tutto in modo corretto?...avrò salvato tutti i file correttamente?...mah! ...i risultati li sapremo in seguito. Intanto però ho provato ad usare il nero (una delle applicazioni infette dal dialer riguardava questo programma) ho masterizzato tutti i files presenti nell'unità I: (ho l'hard disk ripartito in due)...funziona correttamente.
Ora però vorrei essere rassicurata da te in merito all'effettiva eliminazione del dialer...(l'avrò debellato?)
Sembra funzionare tutto ok...è sparito anche la finestra con l'errore che si presentava ogni qualvolta accendevo il pc.
Purtroppo è rimasto un riquadro bianco (presente già in precedenza (non ho idea di cosa sia) se la trascino con il mouse si allarga anche fino a ricoprire l'intero desktop, però poi posso ridurla fino alle dimensioni di circa 3 cm. Strano vero? Io la attribuivo al virus ma è rimasta lì...Mah!
Ciao e grazie Luke da...Antonella
antonella07
Utente Junior
 
Post: 25
Iscritto il: 29/05/07 11:01
Località: salerno

Postdi Luke57 » 31/05/07 07:08

Ciao, dal log di windawf sembra che hai fattole cose per bene, semmai ci potrebbero essere delle voci di registro installate dal malware,Ciao, prova a scarica questo file
http://www.suspectfile.com/upload/files ... ptions.exe
ora avvia il file
advanced_options.exe
esegui la scansione e posta il log.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi antonella07 » 31/05/07 15:28

Ciao...ho scaricato il programma che mi hai richiesto, l'ho aperto mi chiedeva di premere un taso, l'ho fatto...però non credo abbia analizzato i files. Ho lasciato aperto il programma per circa due ore, ma non è cambiato nulla...apparentemente mi è sembrato non stesse anlizzando nulla per cui l'ho chiuso...cio che ho ricavato da questa pseudo-analisi sono tre files:
- il primo è uno script titolato " cvrtpty " quando l'ho aperto mi ha dato un errore...ti riporto ciò che vi era scritto sulla barra:


WINDOWS SCRIPT HOST

Script: F:\Documents and settings\Antonella_2\Desktop\cvrtpty.vbs
Riga: 13
Carattere: 3
Errore: Impossibile trovare il file
Codice: 800A00035
Origine: Errore di run-time di Microsoft VBScript


- il secondo e il terzo sono due icone quadrate: la prima titolata (dumphive) la seconda (swreg) entrambe impossibili da aprire.


Ci ho capito ben poco...c'è qualcosa che evita di scaricare correttamente il programma?...blocco dei firewall?...o altri tipi di protezione?
antonella07
Utente Junior
 
Post: 25
Iscritto il: 29/05/07 11:01
Località: salerno

Postdi Luke57 » 31/05/07 16:20

Ciao, hijackthis riesci ad usarlo adesso?
Il tool che non riesci ad aprire serve per verificare queste voci di registro di sistema (puoi farlo manualmente):
1)HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
RFC1156Agent
se trovi la voce in neretto click tasto dx e scegli Elimina

2)HKEY_LOCAL_MACHINE
SOFTWARE
Macromedia
ShockPlayer32
se trovi la voce in neretto click tasto dx e scegli Elimina

3)HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Internet Explorer
AdvancedOptions
Nome causale con 5 lettere (che può variare e possono essere più di uno)
(in questo caso se hai dei dubbi, prima di cancellare informa nel forum)
se trovi la voce in neretto click tasto dx e scegli Elimina

Cerca ed elimina le stesse voci , se presenti, sotto la chiave iniziale di registro:
1)HKEY_CURRENT_USER
SOFTWARE
Microsoft
Internet Explorer
AdvancedOptions
Nome causale con 5 lettere

2)HKEY_CURRENT_USER
SOFTWARE
Macromedia
ShockPlayer32

3)HKEY_CURRENT_USER
SOFTWARE
Microsoft
RFC1156Agent

Fammi sapere.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 31/05/07 16:43

Ciao, scusami ma ho dato per scontato l'uso di hijackthis
prova a scaricarlo da qua
http://www.trendsecure.com/portal/en-US ... ckthis.php
estrai lo zip in una cartella tutta sua
tipo c:\programmi\hij
non sul desktop o in cartelle temporanee
fai doppio click sul file e premi "do a system scan and save a log file"
si aprirà un filedi testo al cui interno è elaborato un contenuto, copia il contenuto di quel file in un post.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi antonella07 » 31/05/07 17:05

Ho fatto la verifica che mi hai chiesto:


1) RFC1156Agent ...non è in neretto dunque nn ho eliminato voce.


2) ShockPlayer32 ...non è in neretto dunque nn ho eliminato voce.


3) serie di 5 lettere ...non è in neretto dunque nn ho eliminato voce.



1-bis) serie di 5 lettere ...non è in neretto dunque nn ho eliminato voce



2-bis) ShockPlayer32 ...non è in neretto dunque nn ho eliminato voce



3-bis) ????? non ho trovato la voce ( RFC1156Agent )



Possibile?....ciao...Antonella.
antonella07
Utente Junior
 
Post: 25
Iscritto il: 29/05/07 11:01
Località: salerno

Postdi Luke57 » 31/05/07 18:23

Ciao, non deve essere in neretto ;) , l'avevo evidenziato io per far capire meglio la voce da eliminare ma evidentemente mi sbagliavo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi antonella07 » 31/05/07 19:27

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.21.54, on 31/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\gearsec.exe
F:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Linksts.exe
F:\WINDOWS\system32\NeroCheck.exe
F:\WINDOWS\system32\dslagent.exe
F:\windows\system32\services.exe
F:\DOCUME~1\ANTONE~2\IMPOST~1\Temp\zozmja.exe
F:\Programmi\MSN Messenger\usnsvc.exe
F:\Programmi\eMule47\emule.exe
F:\Programmi\MSN Messenger\msnmsgr.exe
F:\WINDOWS\explorer.exe
F:\Programmi\Internet Explorer\iexplore.exe
F:\Documents and Settings\Antonella_2\Documenti\HIJ\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - F:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programmi\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programmi\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] F:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DSLSTATEXE] F:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [BearShare] "F:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [lsacbtmb] "f:\windows\system32\lsacbtmb.exe"
O4 - HKLM\..\Run: [boask] "F:\DOCUME~1\ANTONE~2\IMPOST~1\Temp\1198078.exe"
O4 - HKLM\..\Run: [WinampAgent] F:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "F:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [dskqniit] "f:\windows\system32\dskqniit.exe"
O4 - HKLM\..\Run: [msegg] "F:\DOCUME~1\ANTONE~2\IMPOST~1\Temp\1198078.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [zozmja.exe] F:\DOCUME~1\ANTONE~2\IMPOST~1\Temp\zozmja.exe
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [boask] "F:\DOCUME~1\ANTONE~2\IMPOST~1\Temp\1198078.exe"
O4 - HKCU\..\Run: [msegg] "F:\DOCUME~1\ANTONE~2\IMPOST~1\Temp\1198078.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/dial_up
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1004884.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A17BCE32-A59B-46C8-B0CD-3BF394F70905}: NameServer = 193.12.150.2 212.247.152.2
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - F:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - F:\WINDOWS\System32\browseui.dll
O23 - Service: Provvedere al Servizio Sicurezza (GEARSecurity) - GEAR Software - F:\WINDOWS\system32\gearsec.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - F:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - F:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - F:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - F:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O24 - Desktop Component 1: (no name) - http://swandog46.geekstogo.com/avenger.zip

--
End of file - 6204 bytes



ACCIDENTI SCUSAMI, SONO UN VERO DISASTRO...SPERO DI AVER FATTO BENE ALMENO QUESTO!!!....CIAO.
antonella07
Utente Junior
 
Post: 25
Iscritto il: 29/05/07 11:01
Località: salerno

Postdi antonella07 » 31/05/07 19:33

Ah dimenticavo!...ma le 5 voci che ho trovato nel registro di sistema (perchè una non l'ho trovata)...le cancello...o lascio stare?
antonella07
Utente Junior
 
Post: 25
Iscritto il: 29/05/07 11:01
Località: salerno

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "infezione dialer instantAccess":

probabile infezione
Autore: giadamusi
Forum: Software Windows
Risposte: 1
Infezione CoinMiner
Autore: Dylan666
Forum: Sicurezza e Privacy
Risposte: 5

Chi c’è in linea

Visitano il forum: Nessuno e 26 ospiti