Pioggia Di Dialer

brandos

Pioggia Di Dialer

Rieccomi qui con un nuovo problemino niente male. Da alcuni giorni il mio pc è tempestato da dialer: Perchè questo accanimento??? Ho LIBERO ADSL e il modem in alcuni momenti o non riesce proprio a connettersi oppure la connessione dura pochissimo poi cade. Ora il modem é in stato di grazia(pare) quindi colgo l'attimo per sapere cosa ne pensate. Da quando mi avete fatto conoscere Virit Explorer, ho disistallato Avast (violato non poco) e mi sono affidato a quest'ultimo. Altra mia sentinella è a-squared Anti-Dialer e questi sono gli ospiti indesiderati che turbano la quiete del mio pc:
flroxa.exe Infetto da Trojan.Win32.Dialer.IH(è il più seccante: esce dalla porta e rientra dalla finestra):x
ozzbua.exe Infetto da Trojan.Win32.Dialer.IH:x
Dh12.exe Infetto da Trojan.Win32.Dialer.IH:x
becgya.exe:x
Le scansioni le effettuo anche con Spybot e con Lavasoft Ad-Aware ma debbo dire che le magagne me le trova Virit. Attualmente ritengo che Flroxa sia mio ospite indesiderato, ma non lo riesco ad individuare con i suoi labroni rossi! Ritenete ci sia il modo di tenere lontani una volta per tutte questi dannosi intrusi e ridare di nuovo salute e vigore al mio malato modem:?
Ringraziandovi anticipatamente per un vs eventuale aiuto rimango in attesa(ovviamente modem permettendo)
il vs devotissimo Brandos

kru

Ciao, Brandos.

Effettivamente, questo accanimento verso il tuo PC è sospetto.
Avrai mica un trojan downloader installato?

Prova a fare una scansione online con kaspersky e una con hijack.

brandos

Ciao, Kru
Intanto ti invio il log di Hjackthis: per quanto riguarda la scnsione con Kaspersky ho qualche problema poichè ho il modem sotto attacco e la connessione dura circa 20 secondi
Logfile of HijackThis v1.99.1
Scan saved at 0.16.04, on 19/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programmi\Bonjour\mDNSResponder.exe
H:\WINDOWS\eHome\ehRecvr.exe
h:\windows\system32\winlogon.exe
H:\WINDOWS\eHome\ehSched.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\slserv.exe
H:\WINDOWS\system32\svchost.exe
H:\VEXPLITE\viritsvc.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\dllhost.exe
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\ehome\ehtray.exe
H:\WINDOWS\system32\RunDll32.exe
H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
H:\WINDOWS\eHome\ehmsas.exe
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Programmi\a-squared Anti-Dialer\a2adguard.exe
H:\VEXPLITE\MONLITE.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
H:\Programmi\MSN Messenger\MsnMsgr.Exe
H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
H:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
H:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
H:\WINDOWS\system32\slrundll.exe
H:\Programmi\MSN Messenger\usnsvc.exe
H:\Programmi\Internet Explorer\iexplore.exe
H:\Documents and Settings\family\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasalingaideale.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..\Run: [GrooveMonitor] "H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM..\Run: [NeroFilterCheck] H:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM..\Run: [netgapft] "h:\windows\system32\netgapft.exe"
O4 - HKLM..\Run: [QuickTime Task] "H:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM..\Run: [a-squared Anti-Dialer] "H:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM..\Run: [enxfaa.exe] H:\DOCUME~1\family\IMPOST~1\Temp\enxfaa.exe
O4 - HKLM..\Run: [kztfaa.exe] H:\WINDOWS\TEMP\kztfaa.exe
O4 - HKLM..\Run: [VIRIT LITE MONITOR] H:\VEXPLITE\MONLITE.EXE
O4 - HKLM..\Run: [ozzbua.exe] H:\DOCUME~1\family\IMPOST~1\Temp\ozzbua.exe
O4 - HKLM..\Run: [flroxa.exe] H:\DOCUME~1\family\IMPOST~1\Temp\flroxa.exe
O4 - HKLM..\Run: [niopaa.exe] H:\WINDOWS\TEMP\niopaa.exe
O4 - HKCU..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU..\Run: [Uniblue Registry Booster2] H:\Programmi\Uniblue\RegistryBooster2\RegistryBooster.exe /S
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = H:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: h:\programmi\bonjour\mdnsnsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip..{87D86D13-A550-463B-A7CC-CB0129DA6867}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - H:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - H:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - H:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - H:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - H:\VEXPLITE\viritsvc.exe

kru

Ecco quà:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM..\Run: [enxfaa.exe] H:\DOCUME~1\family\IMPOST~1\Temp\enxfaa.exe

O4 - HKLM..\Run: [kztfaa.exe] H:\WINDOWS\TEMP\kztfaa.exe

O4 - HKLM..\Run: [ozzbua.exe] H:\DOCUME~1\family\IMPOST~1\Temp\ozzbua.exe

O4 - HKLM..\Run: [flroxa.exe] H:\DOCUME~1\family\IMPOST~1\Temp\flroxa.exe

O4 - HKLM..\Run: [niopaa.exe] H:\WINDOWS\TEMP\niopaa.exe

Tutte le voci in grassetto sono trojan! Complimenti!!!! Ma la collezione la fai per scopi puramente personali, o poi li rivendi cari?
Scherzo, naturalmente.

Ecco il mio consiglio. Copiati tutto questo elenco su un documento .txt.
Riavvia in modalità provvisoria, lancia Hijack e fixa tutte quelle voci.
Fatto ciò, elimina uno per uno tutti i files indicati nelle voci che ho postato, seguendo i percorsi indicati.
Vedi pure questa quì:

O4 - HKLM..\Run: [netgapft] "h:\windows\system32\netgapft.exe"

Se non conosci questo file di programma, o non ti dice niente, ti consiglio di fixarlo, magari fai fare il backup. Un file exe non di windows nella cartella system32 è sempre da considerarsi ultra sospetto.

Infine, riavvia, rilancia hijack e verifica se sono ancora presenti le voci che hai fixato (oppure riposta il log )

Facci sapere

brandos

Eccomi Kru,ho fatto ciò che mi hai consigliato di fare e questo è il nuovo log:

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programmi\Bonjour\mDNSResponder.exe
H:\WINDOWS\eHome\ehRecvr.exe
H:\WINDOWS\eHome\ehSched.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\slserv.exe
H:\WINDOWS\system32\svchost.exe
H:\VEXPLITE\viritsvc.exe
H:\WINDOWS\system32\dllhost.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\WINDOWS\ehome\ehtray.exe
H:\WINDOWS\eHome\ehmsas.exe
H:\WINDOWS\system32\RunDll32.exe
H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Programmi\a-squared Anti-Dialer\a2adguard.exe
H:\VEXPLITE\MONLITE.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
H:\Programmi\MSN Messenger\MsnMsgr.Exe
H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
H:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
H:\WINDOWS\system32\slrundll.exe
H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
H:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\Documents and Settings\family\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasalingaideale.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..\Run: [GrooveMonitor] "H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM..\Run: [NeroFilterCheck] H:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM..\Run: [QuickTime Task] "H:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM..\Run: [a-squared Anti-Dialer] "H:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM..\Run: [VIRIT LITE MONITOR] H:\VEXPLITE\MONLITE.EXE
O4 - HKCU..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU..\Run: [Uniblue Registry Booster2] H:\Programmi\Uniblue\RegistryBooster2\RegistryBooster.exe /S
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = H:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: h:\programmi\bonjour\mdnsnsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - H:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - H:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - H:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - H:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - H:\VEXPLITE\viritsvc.exe

Però ti debbo dire che il modem è sempre agonizzante

kru

Hai un modem aethra ?

Se si, queste 2 voci:

O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM..\Run: [2kadiras] 2kadiras.exe

dovrebbero essere normali. Altrimenti, puoi provare ad eliminare anche quelle. Spesso i trojan si riconoscono perchè il nome del file è uguale al nome del processo ([9xadiras]).

Ma parli di un modem ADSL o 56k ?

brandos

Ciao, Kru.
Il modem è un Aethra Starmodem ed ho l' adsl flat di Libero. La connessione attualmente è molto evanescente, dopo qualche istante cade:?
Cosa devo fare con i files che mi hai segnalato?

kru

Quei files, allora, non sono dannosi. Fanno parte dei SW del tuo modem. Ho visto però che sembrano inutili.
Comunque non ti risolvono il problema.

Il log mi sembra pulito, però....
dunque, mi viene da pensare che non sia un problema di trojan, nè di dialer (che con l'ADSL non funzionano ).
Ho paura che sia più un problema di Libero, che di virus. Insomma, il tuo PC è Libero da virus, ma affetto da Libero

Facciamo un altro esame.
Riesci a fare un log dei processi in esecuzione (con il task manager) ? Dovrebbe esserci una discussione di qualche settimana fa, in cui Wolf spiega come ottenerlo.

Prova a postare quello...

brandos

Scusami Kru, ma non riesco a trovare questa procedura:bho:

kru

La trovi qui:

Procedura per creare il log da taskmanager

a dopo

brandos

Rieccomi! Ciao Kru.
Purtroppo non sono in grado di loggare i processi di task manager. Se si parla di Dos non sò proprio dove mettere le mani :bho:

kru

Se hai win XP, dal menu di avvio
tutti i programmi > accessori > prompt dei comandi.

Ti appare una finestra, con il cursore che lampeggia.

Scrivi: tasklist -v>log.txt

Fatto

brandos

Eccezionale é bello imparare GRAZIE!!!
Ecco il log:

Nome immagine PID Nome sessione Sessione Utilizzo mem Stato Nome utente Tempo CPU Titolo finestra
========================= ====== ================ ======== ============ =============== ================================================== ============ ========================================================================
System Idle Process 0 Console 0 16 K In esecuzione NT AUTHORITY\SISTEMA 7.51.16 N/D
System 4 Console 0 220 K In esecuzione NT AUTHORITY\SYSTEM 0.00.17 N/D
smss.exe 640 Console 0 372 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
csrss.exe 692 Console 0 3.872 K In esecuzione NT AUTHORITY\SYSTEM 0.00.07 N/D
winlogon.exe 716 Console 0 2.112 K In esecuzione NT AUTHORITY\SYSTEM 0.00.02 N/D
services.exe 764 Console 0 4.256 K In esecuzione NT AUTHORITY\SYSTEM 0.00.03 N/D
lsass.exe 776 Console 0 1.424 K In esecuzione NT AUTHORITY\SYSTEM 0.00.01 N/D
svchost.exe 936 Console 0 4.992 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
svchost.exe 984 Console 0 4.600 K In esecuzione NT AUTHORITY\SERVIZIO DI RETE 0.00.01 N/D
svchost.exe 1024 Console 0 21.452 K In esecuzione NT AUTHORITY\SYSTEM 0.00.10 N/D
svchost.exe 1104 Console 0 3.380 K In esecuzione NT AUTHORITY\SERVIZIO DI RETE 0.00.00 N/D
svchost.exe 1140 Console 0 4.420 K In esecuzione NT AUTHORITY\SERVIZIO LOCALE 0.00.00 N/D
spoolsv.exe 1324 Console 0 5.272 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
mDNSResponder.exe 1416 Console 0 3.360 K In esecuzione NT AUTHORITY\SYSTEM 0.00.01 N/D
ehRecvr.exe 1440 Console 0 4.208 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
ehSched.exe 1464 Console 0 4.976 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
nvsvc32.exe 1540 Console 0 3.676 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 NVSVCPMMWindowClass
slserv.exe 1604 Console 0 1.016 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
svchost.exe 1624 Console 0 4.028 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
VIRITSVC.EXE 1640 Console 0 1.736 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
explorer.exe 424 Console 0 33.436 K In esecuzione BRANDOS-C1FAD93\family 0.00.35 N/D
dllhost.exe 460 Console 0 6.140 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
alg.exe 532 Console 0 3.532 K In esecuzione NT AUTHORITY\SERVIZIO LOCALE 0.00.00 N/D
wscntfy.exe 592 Console 0 2.564 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
ehtray.exe 2116 Console 0 1.112 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
rundll32.exe 2132 Console 0 4.128 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 Hidden Main Window
ehmsas.exe 2140 Console 0 4.752 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 OleMainThreadWndName
GrooveMonitor.exe 2148 Console 0 5.016 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
rundll32.exe 2200 Console 0 3.632 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 MediaCenter
a2adguard.exe 2216 Console 0 5.344 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 a-squared Anti-Dialer 2.0 - Guard
MONLITE.EXE 2228 Console 0 15.544 K In esecuzione BRANDOS-C1FAD93\family 0.00.25 VirIT Lite Monitor
ctfmon.exe 2244 Console 0 3.544 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
NMBgMonitor.exe 2252 Console 0 9.888 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 CDirectoryChangeWatcherHelperWindow
msnmsgr.exe 2260 Console 0 18.916 K In esecuzione BRANDOS-C1FAD93\family 0.00.11 [EMAIL="[email protected]"][email protected][/EMAIL]
NMIndexingService.exe 2280 Console 0 9.204 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
NMIndexStoreSvr.exe 2348 Console 0 21.752 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 DirectDBListenWndProc
DSLMON.exe 2380 Console 0 3.800 K In esecuzione BRANDOS-C1FAD93\family 0.00.01 StarModem ADSL USB MODEM
slrundll.exe 2728 Console 0 2.648 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 SLLauncher
usnsvc.exe 3956 Console 0 2.556 K In esecuzione NT AUTHORITY\SYSTEM 0.00.01 N/D
IEXPLORE.EXE 1952 Console 0 3.040 K In esecuzione BRANDOS-C1FAD93\family 0.01.01 | virus contro hi-jack-this - Microsoft Internet Explorer
cmd.exe 492 Console 0 3.324 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 Prompt dei comandi - tasklist -v
tasklist.exe 3676 Console 0 5.188 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 OleMainThreadWndName
wmiprvse.exe 3812 Console 0 6.288 K In esecuzione NT AUTHORITY\SERVIZIO DI RETE 0.00.00 N/D

brandos

Nel frattempo, non sò perchè, ma qualche cosa mi ha detto di riaffidarmi ad avast( speriamo bene ) e a Prisma firewall
Comunque il modem è sempre lesso
Potrò mai riavere la mia bella connessione di un tempo
Eppure ho sempre avuto l'Adsl di Libero. Possibile che all'improvviso tale compagnia abbia sclerato Booo.......

kru

Ciao, Brandos.

Ho esaminato il log, ma sembra pulito anche questo.

Io non vedo nessun tipo di minaccia attiva. Inoltre, tieni conto che di solito i virus tendono ad inibire l'utilizzo del taskmanager, degli antivirus e di HijackThis, mentre a te questo non succede. Non penso sia un virus.
Inoltre, hai utilizzato una miriade di SW per effettuare le scansioni, e nessuno ha rilevato niente, salvo i trojan che abbiamo rimosso.

Potrebbe essere il modem che non va più, a questo punto, oppure una minaccia che riesce a mimetizzarsi troppo bene (ma è quasi impossibile...).

Hai la possibilità di testare quel modem, da un amico, per esempio, oppure provare ad utilizzare tu un altro modem per connetterti?

Inoltre vorrei capire una cosa. Dici che dopo un poco cade la connessione. Ma dopo un pò riesci a riconnetterti, oppure una volta caduta non torna più?

brandos

Ciao, Kru.
La mia connessione attualmente funziona così: mi connetto, dopo 15 20 secondi la connessione cade allora mi riconnetto e poi ricade ed io mi riconnetto.......... Credimi non è comodo per nulla :bho:

kru

Sono sempre più convinto che dipenda dal modem o da Libero.

Prova ad andare sul task manager, ed a monitorare l'utilizzo di rete.
Studia quanta banda viene utilizzata istante per istante, poi, osservane i cambiamenti quando "cade" la connessione.

brandos

Rieccomi,Ciao Kru.
Non ero sparito ma ero preso a combattere una nuova guerra
Devo dire che è veramente un periodaccio :bho: :bho:
Ti avevo detto di aver reistallato Avast. Ebbene sia lui che Spybot sono saltati.Ho provato a disistallarli ed a reistallarli ma non vanno. Quando provo a lanciarli il sistema mi dice che non trova l'exe
Che diano fastidio a qualche intruso?
Nel frattempo ho eliminato:
O4 - HKLM..\Run: [zzqeca.exe] H:\DOCUME~1\family\IMPOST~1\Temp\zzqeca.exe e un Wintenes.exe in System32 (Mi mancavano alla collezione vero??).
Quindi che dici devo rassegnarmi e rinunciare a questi due programmi oltre che alla regolarità della connessione oppure ho qualche speranza?
Dimenticavo di dire che il pc non mi permette di riavviare in modalità provvisoria nè di creare un ripristino di configurazione precedente

brandos

Attualmente sprovvisto di protezione. ( festaaaaa)
Non riesco ad istallare nemmeno Avg. Questo è quello che mi comunica il pc:
Local machine: installation failed
Installation:
Error: Action failed for file avgamsvr.exe: creating file....
No such file or directory
C'è un qualche cosa che impedisce la creazione degli exe o di alcuni exe
Sento che la formattazione è vicina:bho: :bho: :bho:

brandos

Mi controlli, per favore, questo log?:?
Logfile of HijackThis v1.99.1
Scan saved at 0.55.49, on 22/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programmi\Bonjour\mDNSResponder.exe
H:\WINDOWS\eHome\ehRecvr.exe
H:\WINDOWS\eHome\ehSched.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\slserv.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\dllhost.exe
H:\WINDOWS\ehome\ehtray.exe
H:\WINDOWS\system32\RunDll32.exe
H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
H:\WINDOWS\eHome\ehmsas.exe
H:\WINDOWS\system32\RUNDLL32.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
H:\Programmi\MSN Messenger\MsnMsgr.Exe
H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
H:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
H:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
H:\WINDOWS\system32\slrundll.exe
H:\Programmi\MSN Messenger\usnsvc.exe
H:\Programmi\Internet Explorer\iexplore.exe
H:\Programmi\Internet Explorer\iexplore.exe
H:\Documents and Settings\family\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasalingaideale.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..\Run: [GrooveMonitor] "H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM..\Run: [NeroFilterCheck] H:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM..\Run: [netgapft] "h:\windows\system32\netgapft.exe"
O4 - HKLM..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM..\Run: [nwiz] nwiz.exe /install
O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM..\Run: [2kadiras] 2kadiras.exe
O4 - HKCU..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = H:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: h:\programmi\bonjour\mdnsnsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - H:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - H:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - H:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - H:\WINDOWS\SYSTEM32\slserv.exe