Olimpo Informatico

[cucciolo83]

premetto che sono abbastanza ignorante a livello informatico.. ma provero ad essere chiaro inoltre spero di non fare errori..sono nuovo del forum..
il problema è nel pc di un mio amico ovvero lui ha la connessione 56 k e quando si connette dopo un po gli si sconnette e gli compare una conessione oltra lla sua di libero che sia chiama service che tenta di connettersi e lui ovviamente stacca il tutto. a questo punto lui era sprovvisto di antivirus e io gli ho dato nod32 che gli ha trovato un sacco di cavallidi troia che abbiamo eliminato. inoltre nelle opzione di rete abbiamo spuntato la scelta usa connessioni prefefinite mettendo come connessione predefinita la sua di libero..
la mia domanda è: i cavalli di troia che abbiamo trovato potevano essere loro la causa della connessione service? nod 32 è un buon anti-dialer??

grazie..scusate per il messaggio troppo lungo..

[Smjert]

[cucciolo83]

guarda come ti ho detto l'uniche cose che so è che il nome della connessione era service.. i nomi dei trojan non li ho presi giu..forse è stato un errore.. ieri sera è stato connesso senza problemi..ma non vorrei che fosse solo grazie al fatto che ha cambiato impostazione nelle opzioni di rete mettendo l'opzione usa solo connessione predefinita..
e la mia paura che il dialer/trojan ci sia ancora ma non si metta in moto per l'opzione scelta..

[Smjert]

Allora diamo un'occhiata più da vicino:

Scarica HijackThis, decomprimilo in una cartella tutta sua non temporanea (ad esempio mettilo in C:\HijackThis).
Avvialo e premi Do a system scan and save a log file, ti si aprirà una finestra di notepad con il risultato della scansione, copia e incolla qua il suo contenuto.

[cucciolo83]

come ti ho detto il pc non è il mio.. adesso appena posso lo faro.. e poi scrivero qui..
grazie per la pazienza..

[cucciolo83]

un'altra cosa.. il pc del mio amico è lento perchè vecchio.. è molto lenta e pesante la scansione??

[Smjert]

Tranquillo, è un programma leggero.
Percaso tu per operare devi andare a casa del tuo amico tutte le volte? perchè se troviamo qualcosa forse si può togliere in 1 volta sola o forse no.. quindi dovresti farti più giri.
(quindi o mi dici un momento in cui sei dal tuo amico per un po' così ti aiuto, oppure ti porti a casa il pc).

[cucciolo83]

io adesso vado da lui..quindi se tutto va bene fra una mezz'oretta mettero il responso del programma che mi hai ocnsigliato..
grazie

[cucciolo83]

Logfile of HijackThis v1.99.1
Scan saved at 21.13.47, on 04/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\winsys.exe
C:\WINDOWS\system32\sm56hlpr.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.livescore.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\marco\1319359.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Digisoft AntiDialer.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe



grazie a chiunque mi aiuti..

[cucciolo83]

ho letto in un 3d che una persona ti ha scritto il log prima con l'antivirus inserito poi l'ha disinserito.. quindi per sicurezza te li metto tutte e due visto che non so cosa cambia.. quello sopra è con l'antivirus inserito..questo sotto con l'antivirus disinserito..

[cucciolo83]

Logfile of HijackThis v1.99.1
Scan saved at 21.41.01, on 04/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\winsys.exe
C:\WINDOWS\system32\sm56hlpr.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.livescore.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\marco\1319359.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Digisoft AntiDialer.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{14A3FB3A-4B2F-4FDA-AD9B-99CDBF465B5B}: NameServer = 193.70.192.25 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{14A3FB3A-4B2F-4FDA-AD9B-99CDBF465B5B}: NameServer = 193.70.192.25 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

[Smjert]

Sembra che tu ti sia preso il Trojan Clicker.

Prima di tutto scarica GMER da qui, decomprimilo e avvia l'exe.
Selezione il tab con >>> e poi Rootkit, premi Scan e lasciagli fare la scansione.
Se trova il file lzx32.sys, selezione la voce, clicca con il destro e premi delete file.
Vai poi sul tab Services e vedi se c'è il servizio PE386, se c'è eliminalo (click destro e poi Delete).

Riavvia il pc in Modalità Provvisoria

[cucciolo83]

scusa l'ignoranza ma è tanto che non uso la modalita provvisoria..come si fa ad andarci??
e poi quando sono li cerco tutti i file uno per uno??
grazie ancora appeno ho fatto posto il nuovo log..

[Smjert]

Scusa.. di solito lo metto il procedimento per andare in Modalità Provvisoria.. me ne sono dimenticato!

Eccolo:
Riavvia il pc in Modalità Provvisoria (quando ti fa il calcolo della memoria, ti segna gli hd collegati ecc premi continuamente F8 finchè non appare un menu, da lì scegli con le freccie la modalità)

[cucciolo83]

piccolo problema.. quando lancio il programma che mi ha dato da scaricare (gmer) si riavvia il pc e dopo mi dice che c'è stato un errore grave.. help!!!

[Smjert]

Eccomi! (ieri sono stato tutto il giorno senza connessione )
Molto strano! il riavvio del pc potrebbe essere causato dai malware ma l'errore dopo... qual'è? mi puoi riportare esattamente che dice?

[cucciolo83]

sembra l'errore che ti da quando il pc ti va in crash.. non esiste un altro programma per trovare quel file .exe??


ps: non ti preoccupare per ieri..gia ti devo molto..

[Smjert]

Sì ma non è normale che dia errore! (è un blue screen?)

[cucciolo83]

scusa l'ignpranza..cosa è un blue screen??

[Smjert]

blue screen = schermo blu

Sono quegli errori gravi di Windows (ti appare una schermata blu con l'errore scritto in bianco) causati di solito da hardware/driver ma anche software.