• User

    Non riesco a rimuovere Dialer.GYI e zhrgza.exe

    Salve a tutti, è il mio primo post e spero che qualcuno possa darmi una mano.

    Da ieri mi capita una cosa strana (uso Firefox 2.0.0.11), in pratica mi "scadono" le sessioni di Gmail perchè nella finestra "Strumenti, Opzioni, Privacy" di Firefox scompaiono misteriosamente i segni di spunta su tutte le opzioni tranne che per l'ultima voce "Chiedi prima di eliminare i dati personali".

    Io rimetto tutti i segni di spunta, chiudo il pannello opzioni, uso Firefox per un po, poi di nuovo, mentre magari invio un'email o apro un'altra pagina/servizio di Google, mi appare il messaggio "La funzione cookie del browser è disattivata. Attivare l'uso dei cookie."

    Sempre ieri, AVG mi ha rimosso questo zhrgza.exe identificandolo nella finestra di scansione del controllo completo giornaliero come Potentially harmful program Dialer.GYI.

    Lo ha rimosso, ma adesso me lo ritrovo nuovamente nella scansione di oggi, sempre in C:\WINDOWS\Temp\zhrgza.exe

    Ho fatto una ricerca con Google per questo zhrgza.exe ma non ho trovato nulla.

    Forse è nuovo nuovo, appena scodellato (e me lo sono beccato io :giggle:)

    Ho provato a cancellare i cookie e svuotare la cache ma il tab della privacy si "pulisce" sempre da solo, il dialer non mi preoccupa, ho l'ADSL, ma disturba perecchio e non so cos'altro provare :arrabbiato:


  • Consiglio Direttivo

    Ciao EffeKappa e benvenuto nel Forum GT! 🙂

    posta pure un log con hijackthis!


  • User

    Ciao Wolf e grazie del tuo link, adesso vado a nanna, ma domattina mi leggo per bene il post e carico il log


  • User

    ... eccomi, ho creato e caricato il log di hijackthis, dalle voci che vi sono elencate le uniche che non riesco a "riconoscere" sono quelle relative a java.


  • User

    ...sempre per il problema dei cookie non mi ha caricato il log, credo, allora lo ricarico


  • User

    ...non riesco a caricarlo, abilito i cookie ma come mi si apre la finestra di upload o subito dopo mi appare sempre la finestra "Non sei collegato o non possiedi i permessi necessari per visualizzare questa pagina." e mi devo riloggare :bho:


  • Consiglio Direttivo

    Ciao EffeKappa,

    @EffeKappa said:

    ...non riesco a caricarlo

    effettua un copia/incolla! 😉


  • User

    ...giusto, non ci avevo pensato...
    Logfile of HijackThis v1.99.1
    Scan saved at 8.40.10, on 23/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\windows\system32\services.exe
    C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\PROGRA~1\CACHEM~1\CachemanXP.exe
    C:\Programmi\EpsonNet\common\bin\ensrvmgr.exe
    C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Programmi\EpsonNet\common\bin\emwchsrv.exe
    C:\Programmi\File comuni\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Pen_Tablet.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
    C:\WINDOWS\system32\Pen_Tablet.exe
    C:\Programmi\Analog Devices\Core\smax4pnp.exe
    C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
    C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
    C:\Programmi\HP\HP Software Update\HPWuSchd.exe
    C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
    C:\Programmi\HP\HP Officejet Pro K550 Series\Toolbox\HPWUTBX.exe
    C:\Programmi\ADSL USB Modem\CnxDslTb.exe
    C:\Programmi\Webroot\Washer\wwDisp.exe
    C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
    C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe
    C:\Programmi\SysSense\SysSense.exe
    C:\Programmi\Google\Google Updater\GoogleUpdater.exe
    C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programmi\File comuni\Nikon\Monitor\NkMonitor.exe
    C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
    C:\Programmi\EpsonNet\EpsonNet SOAP Server\bin\emsoaprr.exe
    C:\Programmi\EpsonNet\EpsonNet Web Pages Service\bin\ewpsrr.exe
    C:\Programmi\EpsonNet\common\bin\emalmmon.exe
    C:\Programmi\EpsonNet\EpsonNet HTTP Server\bin\apache.exe
    C:\Programmi\EpsonNet\EpsonNet HTTP Server\bin\apache.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programmi\Mozilla Firefox\firefox.exe
    C:\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
    O4 - HKLM..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
    O4 - HKLM..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -startup
    O4 - HKLM..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
    O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
    O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd.exe"
    O4 - HKLM..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM..\Run: [AYPaste] "C:\Programmi\AY Paste\AYPaste.exe" -SYSTEM
    O4 - HKLM..\Run: [HPWUTOOLBOX] C:\Programmi\HP\HP Officejet Pro K550 Series\Toolbox\HPWUTBX.exe "-i"
    O4 - HKLM..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM..\Run: [Skype Recorder] C:\Programmi\Skype Recorder\Skype Recorder.exe
    O4 - HKLM..\Run: [CnxDslTaskBar] "C:\Programmi\ADSL USB Modem\CnxDslTb.exe"
    O4 - HKLM..\Run: [XeroxRegistation] "C:\DOCUME~1\User\IMPOST~1\Temp\Xerox\EReg\opbreg.exe" /Startup
    O4 - HKCU..\Run: [Window Washer] C:\Programmi\Webroot\Washer\wwDisp.exe
    O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
    O4 - HKCU..\Run: [LightScribe Control Panel] C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe -hidden
    O4 - HKCU..\Run: [SysSense] C:\Programmi\SysSense\SysSense.exe
    O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Startup: Nikon Monitor.lnk = C:\Programmi\File comuni\Nikon\Monitor\NkMonitor.exe
    O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip..{FA65CF45-4328-47F3-BB97-D823D264BDCF}: NameServer = 213.205.32.70 213.205.36.70
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: acaptuser32.dll C:\PROGRA~1\Google\GO333C~1\GOEC62~1.DLL
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: CachemanXP (CachemanXPService) - Outertech - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
    O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
    O23 - Service: EpsonNet Primitive Service (EpsonNet_Primitive_Service) - Unknown owner - C:\Programmi\EpsonNet\common\bin\ensrvmgr.exe
    O23 - Service: GoogleDesktopManager - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
    O23 - Service: Washer AutoComplete (wwSecSvc) - Unknown owner - C:\WINDOWS\system32\wwSecure.exe
    (file missing)


  • Consiglio Direttivo

    Ciao EffeKappa,

    fixa questa chiave:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
    Fatto questo effettua un controllo con: SuperAntiSpyware e Ad-Aware "aggiornati"!

    :ciauz:

    installa un buon firewall!


  • User

    Grazie Wolf, fixato la voce che mi hai segnalato e adesso sto scaricando in due progr, poi li lancio e vedo che succede.


  • User

    Dopo le due lunghe scansioni complete, a parte qualche coockie (tra cui tradedubler), non è risultato nulla, :bho: ma dopo l'antivirus ha di nuovo trovato un file pericoloso nella cartella temp di win, solo che aveva una altro nome astruso, ma sempre identificato come Dialer.GYI

    Ri-allego il log di HijackThis dove vedo anche messenger, che io non ho mai usato, parte in automatico con Win?


  • Consiglio Direttivo

    Ciao EffeKappa,

    qualche novita'? :mmm:


  • User

    Ciao Wolf, purtroppo nessuna, ogni giorno lo fixo con HijackThis oppure con SuperAntiSpyware, Ad-Aware non lo rileva, ma lui puntuale riappare la sera successiva, e cambia sempre nome, ma è facile individuarlo dall'icona, che sono sempre le due labbra...

    Il bacio di Giuda :giggle:


  • Consiglio Direttivo

    Ciao EffeKappa,

    effettua uno scan con prevx! 😉

    @EffeKappa said:

    Lo ha rimosso, ma adesso me lo ritrovo nuovamente nella scansione di oggi, sempre in C:\WINDOWS\Temp\zhrgza.exe

    **zhrgza.exe **è sempre in C:\WINDOWS\Temp\ ??? :mmm:


  • User

    Ciao Wolf, si il file "al bacio" è sempre in C:\WINDOWS\Temp, anche se cambia spesso nome, oggi per esempio si chiama tzybta.exe

    Ho installato prevx e dalla scansione mi ha trovato il tzybta.exe, ma ha anche trovato altro che non era stato rilevato da HijackThis, SuperAntiSpyware e Ad-Aware.
    😮
    Ha trovato 2 Rootkit in C:\WINDOWS\System32
    il primo è csrulwrm.exe e l'altro è wwSecure.exe


  • Consiglio Direttivo

    Ciao EffeKappa,

    @EffeKappa said:

    Ha trovato 2 Rootkit in C:\WINDOWS\System32
    il primo è csrulwrm.exe e l'altro è wwSecure.exe

    prevx ha rimosso qualcosa? :mmm:

    @EffeKappa said:

    si il file "al bacio" è sempre in C:\WINDOWS\Temp, anche se cambia spesso nome, oggi per esempio si chiama tzybta.exe

    Scarica the avenger:

    Apri avenger e seleziona la voce: **Input Script Manually **clicca poi la lente sulla destra ed effettua un copia incolla di questo script:

    Files to delete:
    C:\WINDOWS\Temp\zhrgza.exe
    C:\WINDOWS\Temp\tzybta.execlicca su done e poi sul semaforo verde; dai conferma delle domande e il pc verra' riavviato!

    Posta il log di avenger qui nel forum! :ciauz:


  • User

    Ciao Wolf, no, prevx non ha rimosso nulla perchè mi chiedeva di acquistare la licenza per proseguire.

    Adesso finisco un lavoro, poi provo subito a seguire i tuoi ultimi suggerimenti, grazie ancora Wolf


  • Consiglio Direttivo

    @EffeKappa said:

    Ciao Wolf, no, prevx non ha rimosso nulla perchè mi chiedeva di acquistare la licenza per proseguire.

    Adesso finisco un lavoro, poi provo subito a seguire i tuoi ultimi suggerimenti, grazie ancora Wolf

    Scarica avg anti-rootkit free; intanto effettua i passaggi elencati prima con avenger!

    :ciauz:


  • User

    ...grazie, il prossimo anno, quando mi verrà di nuovo l'influnza non chiamo più il mio medico...

    sei avvisato 😉


  • Consiglio Direttivo

    @EffeKappa said:

    ...grazie, il prossimo anno, quando mi verrà di nuovo l'influnza non chiamo più il mio medico...

    sei avvisato 😉

    :giggle: