|
| Precedente :: Successivo |
| Autore |
Messaggio |
Rex73
Mortale pio
Registrato: 02/04/07 15:05
Messaggi: 23
|
 Inviato: 02 Apr 2007 15:24 Oggetto: Istant Access - Dialer D |
 |
|
Un saluto a tutti...questo è il mio primo post ed ho scoperto questo forum per caso!
Qualche giorno sono stato infettato da questo virus rompiscatole che l'AVG non mi ha rilevato....se poi consideriamo che è stato preso tra i siti di Mediaset e Maria De Filippi da parte di mia moglie, il gioco è fatto!
AVG e Spybot non riuscivano a rilevarlo, l'unico che mi dato risultati concreti è stato VirIt, che ha rimosso gli eseguibili infetti....
Vorrei però che qualcuno mi tranquillizzasse su due aspetti:
1) Al posto della normale connessione Alice avevo una D vicina all'orologio, navigavo tranquillamente ma se cliccavo sulla connessione di accesso remoto di Alice mi diceva che era già attiva un'altra connessione...scopro così il dialer che aveva creato una connessione di accesso remoto ad un numero 3660222 al posto di 8,35 e che aveva una strana spunta su "richiedi numero telefonico"....Io ho AliceFlat ed un router ADSL....da quello che so io, a meno che non si abbia connesso il modem analogico, non ci sono propblemi di dialer con l'ADSL...E' corretto? Come facevo a navigare con un'altra connessione?
2) Anche se non ho ancora reistallato gli eseguibili danneggiati dal virus, le copie.bak, (a proposito, se disistallo e reistallo i programmi ex novo, è la stessa cosa vero?)vorrei che qualcuno guardasse il log di Hijack per veriicare se è tutto ok....per me ci sono un paio di linee sospette....Grazie
Logfile of HijackThis v1.99.1
Scan saved at 15.00.24, on 02/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\Softwin\BitDefender9\bdmcon.exe
C:\programmi\softwin\bitdefender9\bdnagent.exe
C:\programmi\softwin\bitdefender9\bdswitch.exe
C:\VEXPLITE\MONLITE.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
C:\Programmi\Softwin\BitDefender9\vsserv.exe
C:\Programmi\hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programmi\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programmi\Softwin\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk.disabled
O4 - Global Startup: Alice ti aiuta.lnk.disabled
O4 - Global Startup: BlueSoleil.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Office.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CC1933A-AC05-4C2E-9860-FFFF003AEB3A}: NameServer = 85.37.17.46 85.38.28.84
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programmi\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) |
|
| Top |
|
 |
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 02 Apr 2007 16:05 Oggetto: |
|
|
ciao, benvenuto nel forum Rex73 
se vuoi presentarti agli altri utenti del forum fai un salto al Caffe
andiamo in ordine:
il log è pulito. Ci sono solo un paio di elementi disattivati che puoi fissare tranquillamente (sono i resti di scansione on-line)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
| Citazione: | | a meno che non si abbia connesso il modem analogico, non ci sono propblemi di dialer con l'ADSL...E' corretto? |
si esatto. al massimo che riescono a fare è farti cadere la connessione
| Citazione: | | se disistallo e reistallo i programmi ex novo |
anche questo è vero.
pero la via più semplice è quella di copiare il file Bak e incollarlo nella cartella con il file leggittimo (in questa maniera si sovrascrive il file originale, eliminando Bak)
| Citazione: | è stato preso tra i siti di
Maria De Filippi |
a questo virus ancora non è stato trovato un antidoto.. 
se vuoi essere sicuro di esserti liberato da Instant Access, scarica questo tool
clicca sull'eseguibile, si aprirà una finestra dos
premi "invio" e attendi l'apertura di una pagina del blocco notes
copia il suo contenuto e riportalo qui
metti anche un firewall migliore di quello di Windows  |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 02 Apr 2007 16:27 Oggetto: Re: Istant Access - Dialer D |
|
|
| Rex73 ha scritto: | | Un saluto a tutti...questo è il mio primo post |
ciao Rex73, benvenuto!
| Rex73 ha scritto: | | ed ho scoperto questo forum per caso! |
Molto lusinghiero devo dire 
Presentati in questa discussione agli utenti del forum, e vedrai che non è un forum "a caso".
(magari dopo aver risolto con questo malaware se ora non hai tempo)
| Rex73 ha scritto: | Qualche giorno sono stato infettato da questo virus rompiscatole che l'AVG non mi ha rilevato....
AVG e Spybot non riuscivano a rilevarlo, l'unico che mi dato risultati concreti è stato VirIt, che ha rimosso gli eseguibili infetti.... |
VirIt l'ha rilevato come "Istant Access - Dialer D" ?
| Rex73 ha scritto: | | .se poi consideriamo che è stato preso tra i siti di Mediaset e Maria De Filippi da parte di mia moglie, il gioco è fatto! |
Non ho capito questa parte , ma penso non sia importante
| Rex73 ha scritto: | | 1) Al posto della normale connessione Alice avevo una D vicina all'orologio, |
Nell'area di notifica, in basso a destra, vicino all'orologio, itnendi?
| Rex73 ha scritto: | | navigavo tranquillamente ma se cliccavo sulla connessione di accesso remoto di Alice mi diceva che era già attiva un'altra connessione...scopro così il dialer che aveva creato una connessione di accesso remoto ad un numero 3660222 al posto di 8,35 e che aveva una strana spunta su "richiedi numero telefonico"....Io ho AliceFlat ed un router ADSL....da quello che so io, a meno che non si abbia connesso il modem analogico, non ci sono propblemi di dialer con l'ADSL...E' corretto? Come facevo a navigare con un'altra connessione? |
Tu hai (anche) un modem anaologico (esterno o interno nel PC)? E' collegato alla linea telefonica?
| Rex73 ha scritto: | | 2) Anche se non ho ancora reistallato gli eseguibili danneggiati dal virus, le copie.bak, (a proposito, se disistallo e reistallo i programmi ex novo, è la stessa cosa vero?)vorrei che qualcuno |
Non ho capito questo punto,
chi ha creato quei file .bak?
| Rex73 ha scritto: | | guardasse il log di Hijack per veriicare se è tutto ok....per me ci sono un paio di linee sospette....Grazie |
Ora guardo.
Tu di quali sospetti?
EDIT: ops, non avevo potuto rispondere subito e Orange mi ha preceduto.
Meglio |
|
| Top |
|
|
Rex73
Mortale pio
Registrato: 02/04/07 15:05
Messaggi: 23
|
| Inviato: 02 Apr 2007 16:33 Oggetto: |
|
|
Ok....provvedo al più presto a presentarmi....
Innanzitutto ringrazio per l'aiuto e per la rapida risposta....
A me insospettivano molto le linee 017 e 021....sono pulite? Mi riferisco soprattutto alla 021 SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
Ora corro a presentarmi....cmq....mi scuso per "il caso".... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 02 Apr 2007 16:52 Oggetto: |
|
|
| Rex73 ha scritto: | | A me insospettivano molto le linee 017 e 021....sono pulite? Mi riferisco soprattutto alla 021 SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll |
Windows Portable Device Shell Service Object (quasiasi cosa essa sia )
mentere la 17 contiene un indirizzo IP di Telecom Italia (che presumo sia il tuo provider d'accesso ad internet, nonché il tuo DNS)
| Rex73 ha scritto: | | Ora corro a presentarmi....cmq....mi scuso per "il caso".... |
Sarò il .... caso!
 |
|
| Top |
|
|
Rex73
Mortale pio
Registrato: 02/04/07 15:05
Messaggi: 23
|
| Inviato: 02 Apr 2007 16:53 Oggetto: Re: Istant Access - Dialer D |
|
|
| chemicalbit ha scritto: | | Rex73 ha scritto: | Qualche giorno sono stato infettato da questo virus rompiscatole che l'AVG non mi ha rilevato....
AVG e Spybot non riuscivano a rilevarlo, l'unico che mi dato risultati concreti è stato VirIt, che ha rimosso gli eseguibili infetti.... |
VirIt l'ha rilevato come "Istant Access - Dialer D" ?
No...è stato rilevato così:
C:\Programmi\File comuni\Real\Update_OB\realsched.exe Infetto da Trojan.Win32.Agent.ART
* * * RIMOSSO * * *
C:\Programmi\Grisoft\AVG Free\avgcc.exe Infetto da Trojan.Win32.Agent.ART
* * * RIMOSSO * * *
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe Infetto da Trojan.Win32.Agent.ART
* * * RIMOSSO * * *
C:\Programmi\VoipStunt.com\VoipStunt\voipstunt.exe Infetto da Trojan.Win32.Agent.ART
* * * RIMOSSO * * *
| Rex73 ha scritto: | | .se poi consideriamo che è stato preso tra i siti di Mediaset e Maria De Filippi da parte di mia moglie, il gioco è fatto! |
Non ho capito questa parte , ma penso non sia importante
Infatti non lo è....ma avrei voluto sopprimerle entrambe!
| Rex73 ha scritto: | | 1) Al posto della normale connessione Alice avevo una D vicina all'orologio, |
Nell'area di notifica, in basso a destra, vicino all'orologio, itnendi?
Esatto
| Rex73 ha scritto: | | navigavo tranquillamente ma se cliccavo sulla connessione di accesso remoto di Alice mi diceva che era già attiva un'altra connessione...scopro così il dialer che aveva creato una connessione di accesso remoto ad un numero 3660222 al posto di 8,35 e che aveva una strana spunta su "richiedi numero telefonico"....Io ho AliceFlat ed un router ADSL....da quello che so io, a meno che non si abbia connesso il modem analogico, non ci sono propblemi di dialer con l'ADSL...E' corretto? Come facevo a navigare con un'altra connessione? |
Tu hai (anche) un modem anaologico (esterno o interno nel PC)? E' collegato alla linea telefonica?
Ho solo un router ADSL!
| Rex73 ha scritto: | | 2) Anche se non ho ancora reistallato gli eseguibili danneggiati dal virus, le copie.bak, (a proposito, se disistallo e reistallo i programmi ex novo, è la stessa cosa vero?)vorrei che qualcuno |
Non ho capito questo punto,
chi ha creato quei file .bak?
Ok...ho sbagliato....sono copie di eseguibili, non so se naturali o se create dal virus, che si trovano all'interno di cartelle BAK, forse create dl virus
copio il log del AWF
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E04A-6ED0
Directory di C:\PROGRA~1\SPYBOT~1\BAK
31/05/2005 01.04 1.415.824 TeaTimer.exe
1 File 1.415.824 byte
2 Directory 473.018.368 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E04A-6ED0
Directory di C:\PROGRA~1\GRISOFT\AVGFRE~1\BAK
15/02/2007 09.48 411.648 avgcc.exe
1 File 411.648 byte
2 Directory 473.018.368 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E04A-6ED0
Directory di C:\PROGRA~1\VOIPST~1.COM\VOIPST~1\BAK
18/12/2006 20.45 7.513.656 voipstunt.exe
1 File 7.513.656 byte
2 Directory 473.018.368 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E04A-6ED0
Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK
18/12/2006 02.40 180.269 realsched.exe
1 File 180.269 byte
2 Directory 473.018.368 byte disponibili
| Rex73 ha scritto: | | guardasse il log di Hijack per veriicare se è tutto ok....per me ci sono un paio di linee sospette....Grazie |
Ora guardo.
Tu di quali sospetti?
EDIT: ops, non avevo potuto rispondere subito e Orange mi ha preceduto.
Meglio |
|
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 02 Apr 2007 17:36 Oggetto: |
|
|
ciao
non mi sembra completo il log.... 
sotto quello che hai riportato dovrebbe essere
....Duplicate files of bak directory contents ...
e/o .....end of report....
potresti rifarlo e ripostarlo? |
|
| Top |
|
|
Rex73
Mortale pio
Registrato: 02/04/07 15:05
Messaggi: 23
|
| Inviato: 02 Apr 2007 21:01 Oggetto: |
|
|
| Orange ha scritto: | ciao
non mi sembra completo il log....
sotto quello che hai riportato dovrebbe essere
....Duplicate files of bak directory contents ...
e/o .....end of report....
potresti rifarlo e ripostarlo? |
Grazie lo stesso Orange ma ho preferito drasticamente disistallare e reistallare il tutto.... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 02 Apr 2007 22:17 Oggetto: |
|
|
| Rex73 ha scritto: | | Grazie lo stesso Orange ma ho preferito drasticamente disistallare e reistallare il tutto.... |
Ma noooo 
Vabbe', come si sul dire, il PC è tuo, a te la scelta.
Ci si risente in qualche altra discussione, meno ... disinfettosa, allora. |
|
| Top |
|
|
Rex73
Mortale pio
Registrato: 02/04/07 15:05
Messaggi: 23
|
| Inviato: 03 Apr 2007 10:20 Oggetto: |
 |
|
| chemicalbit ha scritto: | | Rex73 ha scritto: | | Grazie lo stesso Orange ma ho preferito drasticamente disistallare e reistallare il tutto.... |
Ma noooo
Vabbe', come si sul dire, il PC è tuo, a te la scelta.
Ci si risente in qualche altra discussione, meno ... disinfettosa, allora. |
Vabbè su erano quattro programmi.... |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
