Nonostante i vari programmi che ho nel mio pc (C-cleaner, Norton Antivirus, Spybot, Ad-aware) mi sono ritrovata questa mattina con un fastidiosissimo dialer.
Praticamente mi si è staccata la connessione del mio adsl, e subito c'è stata una richiesta di connessione da parte di "Axfreeporn", e sul mio desktop è apparso un collegamento "istant access"sotto forma di icona con i seni.
Dopo il primo shock, ho cercato e ho cancellato l'icona, sono andata nella cartella preftech ed ho cancellato il # di riferimento, ho eliminato la connessione da "opzioni internet", ho cancellato l'altra icona su impostazioni locali\temp, poi ho messo come connessione remota predefinita il mio fastrate ed ho eseguito tutti i programmi sopra citati ed è sembrato andare tutto ok...ma dopo un ora si è ripresentato di nuovo il problema .
Ho cercato e trovato sul sito Symantec il mio caso "instant access dialer" ma nel registro del sistema non ho trovato niente che era scritto in quel caso.
Disperata (ho pc di nuovo da appena 10 giorni) ho anche eseguito il ripristino di una configurazione precedente, ma niente.
Potete aiutarmi per favore? .
Logfile of HijackThis v1.99.1
Scan saved at 20.20.57, on 08/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [etMonitor] C:\WINDOWS\etMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [PCPitstop Registration Reminder] C:\Programmi\PCPitstop\Exterminate\Reminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://pcpitstop.com/pcpitstop/PCPitStop.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{8824EEA7-9AF6-4320-A930-4 F1312E2D5F1}: NameServer = 85.37.17.17 85.38.28.72
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
come primo intervento , se hai un modem analogico oltre a quello ADSL, disattivalo al più presto
Vai su Pannello di controllo-->Sistema-->Hardware-->Gestione periferiche...
...individua la voce MODEM, quindi espandila e seleziona il tuo modem specifico....clicca col tasto destro sopra di esso e scegli DISATTIVA
A quel punto non avendo più cio' che ti fa la chiamata ad un 'altro numero , cioè quello del dialer, stai sicura che non riceverai spiacevoli sorprese
Poi risolveremo anche il problema della sua eliminazione
Fatti una scansione da qui intanto
http://www.ewido.net/en/onlinescan/
Non hai trovato niente perchè dovevi cercare Axfreeporn e non Istant Access
Buongiorno,
X Lucas.
Ho un modem analogico, ma l'ho disattivato*. Quando si crea la nuova connessione è indirizzata credo a "Axfreeporn"; tra le proprietà ho solo visto il # telefonico, con il quale tenta di connettersi....3660222.
Comunque non lo usavo, non era nemmeno collegato al telefono, credo sia un modem integrato con il pc, io sto usando il modem Alice Fastrate USB 100 ADSL.
X Raven...
*Ho disattivato il modem come mi hai detto, ma dopo un pò si è verificato di nuovo il problema, ma questa volta nella finestra mi si ricordava che il mio modem non era funzionante e non poteva collegarsi!!!! poverino
Comunque ha sempre creato l'icona, una nuova connessione, la sua presenza nelle varie cartelle...ho proceduto come ho spiegato nel mio primo post ed adesso sto aspettado la prossima .
Ho eseguito ewido ed ha rilevato 13 trojan, ma io non mi sono fidata a cancellarli perchè volevo prima sapere da voi se era il caso di farlo o no...>>>>
__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________
Name: Trojan.Obfuscated.dr
Path: [1152] C:\Programmi\File comuni\Symantec Shared\ccApp.exe
Risk: High
Name: Trojan.ClassLoader.f
Path: C:\Documents and Settings\xp\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdc ghcn.jar-6148173-4feb0b91.zip/VaaaaaaaBaa.class
Risk: High
Name: Trojan.ClassLoader.g
Path: C:\Documents and Settings\xp\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdc ghcn.jar-6148173-4feb0b91.zip/Dex.class
Risk: High
Name: Trojan.ClassLoader.g
Path: C:\Documents and Settings\xp\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdc ghcn.jar-6148173-4feb0b91.zip/Dix.class
Risk: High
Name: Trojan.ClassLoader.g
Path: C:\Documents and Settings\xp\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdc ghcn.jar-6148173-4feb0b91.zip/Dux.class
Risk: High
Name: Trojan.Obfuscated.dr
Path: C:\Programmi\Ahead\InCD\InCD.exe
Risk: High
Name: Trojan.Obfuscated.dr
Path: C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
Risk: High
Name: Trojan.Obfuscated.dr
Path: C:\Programmi\File comuni\Symantec Shared\ccApp.exe
Risk: High
Name: Trojan.Obfuscated.dr
Path: C:\Programmi\SymNetDrv\SNDMon.exe
Risk: High
Name: Trojan.Obfuscated.dr
Path: C:\System Volume Information\_restore{17F996F8-42C9-4014-AF20-3F206227EB16}\R P32\A0001552.exe
Risk: High
Name: Trojan.Obfuscated.dr
Path: C:\System Volume Information\_restore{17F996F8-42C9-4014-AF20-3F206227EB16}\R P33\A0001622.exe
Risk: High
Name: Trojan.Obfuscated.dr
Path: C:\WINDOWS\etMon.exe
Risk: High
Name: Trojan.Obfuscated.dr
Path: C:\WINDOWS\system32\NeroCheck.exe
Risk: High
Cosa devo fare? Grazie
Ho notato che appena entro in internet tra la cronologia c'è sempre per primo un indirizzo IP (88.80.5.21 )ed ho scoperto essere svedese...potrebbe essere questa la causa? L'unico programma svedese che ho è Lavasoft adaware, potrebbe essere lui?...*sigh*
Questo è quello che appare quando ci clicco sopra>>>>>
156&fw=2048&&v=82&m=1&vm=0
Update on me...
Ancora ho il problema in oggetto, ma con il passare dei giorni ho notato una cosa...
Il problema con "Axfreeporn" si sta verificando ciclicamente....ogni 24 ore...praticamente alle stesse ore di ieri e l'altro ieri, oggi si è verificato di nuovo, ora sto aspettando per la terza volta che accada intorno alle 14:30...
E' questa una caratteristica dei dialer o è solo un caso?
In attesa che qualcosa accada durante la prossima ora....vi ringrazio in anticipo
Ciao , ho eseguito quello che hai richiesto, questo è il risultato (spero funzioni) :
http://www.virustotal.com/vt/en/resultadof?e19d96fc77b06f6a5 ba60cf5f865157a
Grazie.
Ciao
Ecco cosa c'era scritto:
">
">
Posso eventualmente cancellare tutti i file (14) che ha trovato ewido e AVG?
Grazie