PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Help: devo togliere un dialer.

Altre pagine della discussione:




Spfx
Apprendista Apprendista
Spfx
Apprendista Apprendista
Spfx
Apprendista
Apprendista

Avatar


Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729
Riporta il testo di: Spfx Rispondibullet Topic: Post n° 78.284 - Postato: 26/Gennaio/2008 alle 20:27


Avvia HijackThis
Questa volta premi il tasto "Do a system scan only" (...in questo modo non viene generato il file di LOG)
Sulla lista che ti viene mostrata selezioni la riga che ti ho indicato, in modo che si veda un segno di spunta sul quadrettino a sinistra della riga stessa
Quindi premi il tasto "Fix checked" (...cioè lo FIXiamo ...Wink)


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 78.295 - Postato: 26/Gennaio/2008 alle 22:51


Ciao... Smile
Ragazzi... ci siamo... Big%20smile
Senti... scarica FindAWF, ... fai fare uno scan e posta il log... purtroppo... i
file infetti... (se è quello che sospetto... e lo è... Big%20smile) sono ben camuffati...
Ciao


Modificato da prgn - 26/Gennaio/2008 alle 23:16



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



gionnix
Senior Senior
gionnix
Senior Senior
gionnix
Senior
Senior

Avatar


Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575
Riporta il testo di: gionnix Rispondibullet Topic: Post n° 78.296 - Postato: 26/Gennaio/2008 alle 22:54


Ho fixato con hiJack, eseguit CCleaner, controllato il file nwprovau.dll su virustotal e che non ha rilevato nulla, ho scansionato anche con quel tool e infine ho ripetuto l'operazione con CCleaner, ma non è stato rilevato nulla di particolare.
 
Scusate, ma il dialer non potrebbe essere legato a qualche prog. taroccato di "nero burnig room" che ho istallato sul pc?


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 78.298 - Postato: 26/Gennaio/2008 alle 23:05


non toccare nulla... fai il log che ti ho detto e postalo... 



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



gionnix
Senior Senior
gionnix
Senior Senior
gionnix
Senior
Senior

Avatar


Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575
Riporta il testo di: gionnix Rispondibullet Topic: Post n° 78.299 - Postato: 26/Gennaio/2008 alle 23:18


La scansione l'ho fata in mid. normale ecco il Log:
  Find AWF report by noahdfear ©2006

...

  Duplicate files of bak directory contents

  ~~~~~~~~~~~~~~~~~~~~~~~

    949376 11 Jan 2008 "C:\Programmi\Eset\nod32kui.exe"
    949376  3 May 2007 "C:\Programmi\Eset\bak\nod32kui.exe"
     15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
     15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
     14348 31 Dec 2007 "C:\WINDOWS\system32\NeroCheck.exe"
    155648  9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
     32768  2 Nov 2004 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
    406016  5 Apr 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
     14348 31 Dec 2007 "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe"
    313472 30 Mar 2006 "C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe"
     83608 14 Mar 2007 "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
    132496 12 Jul 2007 "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
     14348 31 Dec 2007 "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
    132496 25 Sep 2007 "C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe"


  end of report

*********************************************
Ho editato il log... togliendo le cose ripetute
(parte iniziale inutile)

*********************************************



Modificato da prgn - 27/Gennaio/2008 alle 00:19


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 78.300 - Postato: 26/Gennaio/2008 alle 23:27


Ciao... come sospettavo (cvd)... adesso scarica avenger decomprimilo e
mettilo in una cartella... io... intanto... se ho tempo ti faccio lo script per la
rimozione... altrimenti... visto che il pc è a rischio dialer... disconnettiti...
e domani mattina... troverai tutte le istruzioni...
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 78.301 - Postato: 27/Gennaio/2008 alle 00:05


Adesso con Avenger... segui queste istruzioni:

-   lo decomprimi (se ancora non lo hai fatto) e lo inserisci in una cartella...;

-   fai partire Avenger, e quando ti si è aperto... seleziona Input Script Manually
    dopo di che... clicca sulla lente di ingrandimento sul pulsante...
    e incolla il seguente script (che ti ho indicato di seguito) nella finestra
    che ti si è aperta: (per incollarlo... selezionalo, premi CTRL+C e clicca nella
    finestra che ti si è aperta e premi CTRL+V
)
Segue del testo riportato...


Files to delete:
C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe

Files to move:
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe |  C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe


Fine testo riportato...

...bisogna cliccare su Done e poi cliccare sull'icona del semaforo...
il pc ripartirà... per eseguire lo script...
(avenger produce un log..  postalo... e poi provvederò io a cancellarlo...)

Adesso... fai partire ccleaner... ed imposta la cancellazione dei temporanei
togliere il segno di spunta in  "Cancella file temp solo se più vecchi di 48 ore".
Inoltre... seleziona anche la cancellazione dei files di prefetch.

Scarica il seguente file:

   
http://www.mvps.org/winhelp2002/DelDomains.inf

cliccaci con il tasto destro del mouse sopra... e scegli installa...

Adesso... scarica GMER 1.0.14.14116 fallo partire... (dovrebbe partire
dalla sezione rootkit...) appena parte... clicca su scan... e vedi se
ti rivela delle voci in rosso... dovute ad attività rootkit (facci sapere
le voci in rosso che ti rivela... se ci sono)
Ciao


Modificato da prgn - 27/Gennaio/2008 alle 00:08



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



gionnix
Senior Senior
gionnix
Senior Senior
gionnix
Senior
Senior

Avatar


Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575
Riporta il testo di: gionnix Rispondibullet Topic: Post n° 78.360 - Postato: 27/Gennaio/2008 alle 17:24


Dunque,
questo è il log di Avenger:

Logfile of The Avenger version 1, by Swandog46

Beginning to process script file: 

File C:\WINDOWS\system32\NeroCheck.exe deleted successfully.

File C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe deleted successfully.

File C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe deleted successfully.

File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe completed successfully.

File move operation C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe|C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe completed successfully.

File move operation C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe|C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe completed successfully.

********************************
Ho editato il log... lasciando le voci utili
********************************

Con Gmer non ho trovato nessun file inn rosso.... ha rilevato solo due file col punto interrogativo:

?          jewddlyr.sys                        Impossibile trovare il file specificato. !

?          C:\WINDOWS\system32\Drivers\mchInjDrv.sys Impossibile trovare il file specificato. !

Non so se posso essere d'aiuto per capire il problema..aspetto info...comunque grazie per la consulenza che mi state facendo.

Ciao


Modificato da prgn - 30/Gennaio/2008 alle 02:15


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 78.374 - Postato: 27/Gennaio/2008 alle 22:07


Senti... dovresti stare tranquillo con quello che hai fatto...
Ciò non toglie... che se visiti lo stesso sito che ti ha veicolato il trojan... con
Iexplorer con protezioni medie... potresti essere reinfettato...
Un indice di ciò... lo hai se in cronologia... ti risulterà il seguente ip 85.17.221.2
(Attenzione all'IP 85.17.221.2) oppure il vecchio... 88.80.5.21 , anzi... sarebbe
opportuno  che andassi in  Proprietà internet -> Protezione -> siti con restrizioni...
poi... clicca su siti... ed in "aggiungi il sito web all'area"... scrivi prima un ip
e clicca su aggiungi... e poi l'altro ... e clicca su aggiungi...
Poi... clicca su Ok... Applica... ed avrai inserito i due ip nella zona con restrizioni...
Inoltre... ti conviene controllare il file RasPhone.pbk... infatti è quello che
contiene le indicazioni di rubrica... per le connessioni remote... (ogni
connessione remota viene indicata in questo file...) dopo aver verificato che
le uniche connessioni indicate siano quelle legittime... potresti provvedere
ad impostare la protezione da scrittura ... inoltre... nel registro di windows...
potresti inibire alle applicazioni la capacità di creare connessioni dialup...

Il RasPhone lo trovi in questa cartella... (imposta la visione dei file nascosti
e di sistema):

C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Connections\Pbk

Trova RasPhone.pbk e se non ha connessioni con numeri telefonici strani...
impostalo come solo lettura...

(ricordati di togliere la protezione... nel caso vuoi creare nuove connessioni)

Inoltre... segui le indicazioni che trovi a questa discussione:

http://www.pcprimipassi.it/servizifree/forum/foru........

e con precisione... quello che dico nel 5° post... riguardo le impostazioni
da fare nel registro...
In questo modo... non è che impedisci ai dialer di installarsi... ma limiti
la loro libertà... ed in molti casi potresti salvarti da bollette salate...

Inoltre... fai queste ultime due cose...
Vai in start -> esegui... e digita la seguente stringa:

%temp%

E premi invio per far accettare...
Controlla se è presente nella cartella il file con nome abc123 ,  se c'è ... è brutto segno...
cancellalo... e fai ripartire... e controlla ancora... se è ancora la...
bisogna rifare il log di FindAWF...
...
Comunque... inizia a fare questo... che ti do altre indicazioni...
Ciao

PS: dimenticavo... controlla anche la presenza o meno del seguente file:

C:\WINDOWS\system32\lsasss.exe

indicato in rosso... (ricordati di impostare la visione dei file di sistema e
nascosti... e non usare la funzione cerca... cercalo manualmente...)

Se c'è... passalo a www.virustotal.com/it/ , se te lo da come infetto...
cambiagli nome... e con Shift+Canc cerca di eliminarlo...
altrimenti... rinominalo come era prima... fai partire avenger e usa il
il seguente script:
Segue del testo riportato...


Files to delete:
C:\WINDOWS\system32\lsasss.exe


Fine testo riportato...



Modificato da prgn - 27/Gennaio/2008 alle 22:45



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



gionnix
Senior Senior
gionnix
Senior Senior
gionnix
Senior
Senior

Avatar


Iscritto dal : 02/Agosto/2007
Status: Offline
Posts: 575
Riporta il testo di: gionnix Rispondibullet Topic: Post n° 78.378 - Postato: 27/Gennaio/2008 alle 22:56


Prgn,
grazie mille...domani farò tutto quello che mia hai suggerito.
 
Ciao.


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,043 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni