PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Axfreeporn dialer

Altre pagine della discussione:




Aurora
Principiante Principiante
Aurora
Principiante Principiante
Aurora
Principiante
Principiante

Avatar


Iscritto dal : 08/Marzo/2007
Status: Offline
Posts: 46
Riporta il testo di: Aurora Rispondibullet Topic: Post n° 66.801 - Postato: 08/Marzo/2007 alle 20:51


 Nonostante i vari programmi che ho nel mio pc (C-cleaner, Norton Antivirus, Spybot, Ad-aware) mi sono ritrovata questa mattina con un fastidiosissimo dialer.

Praticamente mi si è staccata  la connessione del mio adsl, e subito c'è stata una richiesta di connessione da parte di "Axfreeporn", e sul mio desktop è apparso un collegamento "istant access"sotto forma di icona con i seni.

Dopo il primo shock, ho cercato e ho cancellato l'icona, sono andata nella cartella preftech ed ho cancellato il # di riferimento, ho eliminato la connessione da "opzioni internet", ho cancellato l'altra icona su impostazioni locali\temp, poi ho messo come connessione remota predefinita il mio fastrate ed ho eseguito tutti i programmi sopra citati ed è sembrato andare tutto ok...ma dopo un ora si è ripresentato di nuovo il problema .

Ho cercato e trovato sul sito Symantec il mio caso "instant access dialer" ma nel registro del sistema non ho trovato niente che era scritto in quel caso.

Disperata (ho pc di nuovo da appena 10 giorni) ho anche eseguito il ripristino di una configurazione precedente, ma niente.

Potete aiutarmi per favore? .

 

Logfile of HijackThis v1.99.1
Scan saved at 20.20.57, on 08/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [etMonitor] C:\WINDOWS\etMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [PCPitstop Registration Reminder] C:\Programmi\PCPitstop\Exterminate\Reminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://pcpitstop.com/pcpitstop/PCPitStop.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{8824EEA7-9AF6-4320-A930-4 F1312E2D5F1}: NameServer = 85.37.17.17 85.38.28.72
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

 




RAVEN
Moderatore Moderatore
RAVEN
Moderatore Moderatore
RAVEN
Moderatore
Moderatore

Avatar


Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.197
Riporta il testo di: RAVEN Rispondibullet Topic: Post n° 66.804 - Postato: 09/Marzo/2007 alle 06:57


come primo intervento , se hai un modem analogico oltre a quello ADSL, disattivalo al più presto

Vai su Pannello di controllo-->Sistema-->Hardware-->Gestione periferiche...

...individua la voce MODEM, quindi espandila e seleziona il tuo modem specifico....clicca col tasto destro sopra di esso e scegli DISATTIVA

A quel punto non avendo più cio' che ti fa la chiamata ad un 'altro numero , cioè quello del dialer, stai sicura che non riceverai spiacevoli sorprese

Poi risolveremo anche il problema della sua eliminazione

Fatti una scansione da qui intanto

http://www.ewido.net/en/onlinescan/

Non hai trovato niente perchè dovevi cercare Axfreeporn e non Istant Access

 



Modificato da RAVEN



Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI



lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 66.805 - Postato: 09/Marzo/2007 alle 10:34


Ciao una solo domanda, dato che è un problema riscontrato da molti ultimamente, hai attivo il modem analogico? poi qual'è il sito specifico dove si conette?

Grazie

Ciao


Aurora
Principiante Principiante
Aurora
Principiante Principiante
Aurora
Principiante
Principiante

Avatar


Iscritto dal : 08/Marzo/2007
Status: Offline
Posts: 46
Riporta il testo di: Aurora Rispondibullet Topic: Post n° 66.810 - Postato: 09/Marzo/2007 alle 11:42


Buongiorno,

X Lucas.

Ho un modem analogico, ma l'ho disattivato*. Quando si crea la nuova connessione è indirizzata credo a "Axfreeporn";  tra le proprietà ho solo visto il # telefonico, con il quale tenta di connettersi....3660222.

Comunque non lo usavo, non era nemmeno collegato al telefono, credo sia un modem integrato con il pc, io sto usando il modem Alice Fastrate USB 100 ADSL.

X Raven...

*Ho disattivato il modem come mi hai detto, ma dopo un pò si è verificato di nuovo il problema, ma questa volta nella finestra mi si ricordava che il mio modem non era funzionante e non poteva collegarsi!!!! poverino

Comunque ha sempre creato l'icona, una nuova connessione, la sua presenza nelle varie cartelle...ho proceduto come ho spiegato nel mio primo post ed adesso sto aspettado la prossima .

Ho eseguito ewido ed ha rilevato 13 trojan, ma io non mi sono fidata a cancellarli perchè volevo prima sapere da voi se era il caso di farlo o no...>>>>
__________________________________________________
ewido anti-spyware online scanner
 http://www.ewido.net
__________________________________________________


Name: Trojan.Obfuscated.dr
Path: [1152] C:\Programmi\File comuni\Symantec Shared\ccApp.exe
Risk: High

Name: Trojan.ClassLoader.f
Path: C:\Documents and Settings\xp\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdc ghcn.jar-6148173-4feb0b91.zip/VaaaaaaaBaa.class
Risk: High

Name: Trojan.ClassLoader.g
Path: C:\Documents and Settings\xp\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdc ghcn.jar-6148173-4feb0b91.zip/Dex.class
Risk: High

Name: Trojan.ClassLoader.g
Path: C:\Documents and Settings\xp\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdc ghcn.jar-6148173-4feb0b91.zip/Dix.class
Risk: High

Name: Trojan.ClassLoader.g
Path: C:\Documents and Settings\xp\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdc ghcn.jar-6148173-4feb0b91.zip/Dux.class
Risk: High

Name: Trojan.Obfuscated.dr
Path: C:\Programmi\Ahead\InCD\InCD.exe
Risk: High

Name: Trojan.Obfuscated.dr
Path: C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
Risk: High

Name: Trojan.Obfuscated.dr
Path: C:\Programmi\File comuni\Symantec Shared\ccApp.exe
Risk: High

Name: Trojan.Obfuscated.dr
Path: C:\Programmi\SymNetDrv\SNDMon.exe
Risk: High

Name: Trojan.Obfuscated.dr
Path: C:\System Volume Information\_restore{17F996F8-42C9-4014-AF20-3F206227EB16}\R P32\A0001552.exe
Risk: High

Name: Trojan.Obfuscated.dr
Path: C:\System Volume Information\_restore{17F996F8-42C9-4014-AF20-3F206227EB16}\R P33\A0001622.exe
Risk: High

Name: Trojan.Obfuscated.dr
Path: C:\WINDOWS\etMon.exe
Risk: High

Name: Trojan.Obfuscated.dr
Path: C:\WINDOWS\system32\NeroCheck.exe
Risk: High

Cosa devo fare? Grazie

Ho notato che appena entro in internet tra la cronologia c'è sempre per primo un indirizzo IP (88.80.5.21 )ed ho scoperto essere svedese...potrebbe essere questa la causa? L'unico programma svedese che ho è Lavasoft adaware, potrebbe essere lui?...*sigh*
Questo è quello che appare quando ci clicco sopra>>>>>

156&fw=2048&&v=82&m=1&vm=0

**** Link infetto e pericoloso eliminato ****
 
Grazie per l'aiuto

 



Modificato da RAVEN - 18/Agosto/2007 alle 11:15






Aurora
Principiante Principiante
Aurora
Principiante Principiante
Aurora
Principiante
Principiante

Avatar


Iscritto dal : 08/Marzo/2007
Status: Offline
Posts: 46
Riporta il testo di: Aurora Rispondibullet Topic: Post n° 66.832 - Postato: 10/Marzo/2007 alle 13:56


Update on me...

Ancora ho il problema in oggetto, ma con il passare dei giorni ho notato una cosa...

Il problema con "Axfreeporn" si sta verificando ciclicamente....ogni 24 ore...praticamente alle stesse ore di ieri e l'altro ieri, oggi si è verificato di nuovo, ora sto aspettando per la terza volta che accada intorno alle 14:30...

E' questa una caratteristica dei dialer o è solo un caso? 

In attesa che qualcosa accada durante la prossima ora....vi ringrazio in anticipo




lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 66.833 - Postato: 10/Marzo/2007 alle 15:21


Ciao, vai su questo sito http://www.virustotal.com/en/indexf.html clicca sul tasto sfoglia, ti si apre una finestra, nello spazio nome file, inserisci questo percorso
C:\WINDOWS\system32\NeroCheck.exe
Clicca sul pulsante Apri
Clicca sul pulsante Send
Attendi che il file venga scansionato a fine scansione, riceverai i risultati, gentilmente, riporta i risultati nella tua risposta

Ciao


Aurora
Principiante Principiante
Aurora
Principiante Principiante
Aurora
Principiante
Principiante

Avatar


Iscritto dal : 08/Marzo/2007
Status: Offline
Posts: 46
Riporta il testo di: Aurora Rispondibullet Topic: Post n° 66.840 - Postato: 10/Marzo/2007 alle 16:56


Ciao , ho eseguito quello che hai richiesto, questo è il risultato (spero funzioni) :

http://www.virustotal.com/vt/en/resultadof?e19d96fc77b06f6a5 ba60cf5f865157a

Grazie.




lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 66.842 - Postato: 10/Marzo/2007 alle 19:41


Purtroppo non funziona, oltre ad ewido altri lo segnalavano come infetto?

Ciao


Aurora
Principiante Principiante
Aurora
Principiante Principiante
Aurora
Principiante
Principiante

Avatar


Iscritto dal : 08/Marzo/2007
Status: Offline
Posts: 46
Riporta il testo di: Aurora Rispondibullet Topic: Post n° 66.843 - Postato: 10/Marzo/2007 alle 22:10


Ciao

Ecco cosa c'era scritto:

">

">

Posso eventualmente cancellare tutti i file (14) che ha trovato ewido e AVG?

Grazie




lucas
Esperto Esperto
lucas
Esperto Esperto
lucas
Esperto
Esperto

Avatar

Security Advisor

Iscritto dal : 14/Aprile/2005
Da: Italy
Status: Offline
Posts: 6.715
Riporta il testo di: lucas Rispondibullet Topic: Post n° 66.844 - Postato: 10/Marzo/2007 alle 23:21


Ciao, il problema è che si sono infettati alcuni files appartenenti a software legittimi quali norton o nero, se non ricordo male(spero di no) questo malware esegue una copia dei files puliti per poi inserire quelli infetti.
Scarica questo file sul desktop
http://noahdfear.geekstogo.com/FindAWF.exe
Esegui il file, si apre una finestra dos, premi invio per continuare, finito tutto si aprirà il block notes, seleziona tutto il contenuto e fai un copia e incolla nella tua risposta

Ciao


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,047 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni