[Risolto]DIALER malefico

[mario g]

Ho un dialer che ogni 3-4 minuti mi stacca dalla connessione Internet e tenta di collegarmi a numeri telefonici strani.
Kaspersky I.S.6 mi manda gli avvisi Anti-Dialer, quindi blocca l’azione del dialer: però non lo vede nella scansione e neppure lo elimina . Se chiedo i Dettagli, si apre la finestra Anti-Spy e nella scheda “Connessioni …nascoste” compare il seguente elenco

25/02/2008 15.23.46 c:\programmi\dap\dap.exe 7020187187 consentita
25/02/2008 15.27.21 c:\windows.0\system32\nerocheck.exe 899373789 bloccata
25/02/2008 15.27.35 c:\programmi\internet explorer\iexplore.exe 7020187187 consentita
25/02/2008 15.31.00 c:\windows.0\system32\nerocheck.exe 899702057 bloccata
25/02/2008 15.32.03 c:\programmi\internet explorer\iexplore.exe 7020187187 consentita
25/02/2008 15.39.18 c:\windows.0\system32\nerocheck.exe 899878711 bloccata
25/02/2008 15.42.47 c:\programmi\internet explorer\iexplore.exe 7020187187 consentita
25/02/2008 15.49.17 c:\windows.0\system32\nerocheck.exe 899399305 bloccata
25/02/2008 16.18.13 c:\programmi\internet explorer\iexplore.exe 7020187187 consentita
25/02/2008 16.23.20 c:\windows.0\system32\nerocheck.exe 899026730 bloccata
25/02/2008 16.28.22 c:\windows.0\system32\nerocheck.exe 899026788 bloccata
25/02/2008 16.31.58 c:\windows.0\system32\nerocheck.exe 899702059 bloccata
25/02/2008 16.22.12 c:\windows.0\system32\nerocheck.exe 899702083 bloccata
25/02/2008 17.04.30 c:\programmi\internet explorer\iexplore.exe 7020187187 consentita
25/02/2008 17.07.55 c:\windows.0\system32\nerocheck.exe 899997012 bloccata

Non so proprio cosa fare? Tenete presente che il dialer mi lascia soltanto 3-4 minuti di connessione a internet per eventuali downloads oppure online-scan.

 

[tecnico24]

Leggi qua:
http://www.tomshw.it/forum/showthread.php?t=75362
e posta il log.

 

[mario g]

Se mi collego a Internet, dopo 3-4 minuti vengo sconnesso e Kaspersky I.S.6 manda l'avviso di dialer in azione, però nella scansione non lo vede e quindi non lo elimina. Se lascio aperto l'avviso senza cliccare su "Nega" e mi riconnetto, tutto sembra funzionare , forse un po' più lento.
Se nella finestra di avviso clicco "Nega", dopo 3-4 minuti ricompare l'avviso ecc.ecc.
Ho eseguito Lavasoft Ad-Aware e anche SuperAntiSpyware aggiornati a oggi, ma non è cambiato nulla.
Allego logfile
Quali files devo fixare

 

[tecnico24]

Avvia hijackthis,spunta a sinistra su queste voci e sotto su Fix checked:

O24 - Desktop Component 0: (no name) - http://www.infopets.it/home/cucciolo_cane.jpg

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVIZIO LOCALE')

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://italian.eazel.com/index.php?rvs=hompag

Poi fai una scansione online con Bit Defender:
www.bitdefender.com/scan8/ie.html
e posta qui il risultato.

 

[mario g]

Bitdefender dice che non ci sono virus. Però il dialer è ancora presente, come prima.
Ho rifatto uno scan con HijackThis.
Allego il risultato di Bitdefender: di seguito ho incollato anche lo scan di HijackThis .

 

[tecnico24]

Elimina questa:

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

poi che connessione hai?

 

[mario g]

ho eliminato, ma il dialer c'è ancora come prima, anche dopo aver riavviato il computer.
Ho una linea normale, modem 56k, provider Telecom.

 

[tecnico24]

Fai così:
Assicurati di visualizzare i files nascosti, entra nel pannello di controllo, vai su opzioni cartella, poi nella scheda Visualizzazione, e spunta la voce "Visualizza cartelle e files nascosti".
A questo punto portati a questo percorso:

C:/Documents and Setting/All Users/Dati
applicazioni/Microsoft/Network/Connections/Pbk

Fai clic destro sul file rasphone.pbk, poi su proprietà, a questo punto metti il segno di spunta sulla voce "Sola lettura",riavvia il pc e vedi come va.

 

[faenil]

Ho un dialer che ogni 3-4 minuti mi stacca dalla connessione Internet e tenta di collegarmi a numeri telefonici strani.
Kaspersky I.S.6 mi manda gli avvisi Anti-Dialer, quindi blocca l’azione del dialer: però non lo vede nella scansione e neppure lo elimina . Se chiedo i Dettagli, si apre la finestra Anti-Spy e nella scheda “Connessioni …nascoste” compare il seguente elenco

25/02/2008 15.23.46 c:\programmi\dap\dap.exe 7020187187 consentita
25/02/2008 15.27.21 c:\windows.0\system32\nerocheck.exe 899373789 bloccata
25/02/2008 15.27.35 c:\programmi\internet explorer\iexplore.exe 7020187187 consentita
25/02/2008 15.31.00 c:\windows.0\system32\nerocheck.exe 899702057 bloccata
25/02/2008 15.32.03 c:\programmi\internet explorer\iexplore.exe 7020187187 consentita
25/02/2008 15.39.18 c:\windows.0\system32\nerocheck.exe 899878711 bloccata
25/02/2008 15.42.47 c:\programmi\internet explorer\iexplore.exe 7020187187 consentita
25/02/2008 15.49.17 c:\windows.0\system32\nerocheck.exe 899399305 bloccata
25/02/2008 16.18.13 c:\programmi\internet explorer\iexplore.exe 7020187187 consentita
25/02/2008 16.23.20 c:\windows.0\system32\nerocheck.exe 899026730 bloccata
25/02/2008 16.28.22 c:\windows.0\system32\nerocheck.exe 899026788 bloccata
25/02/2008 16.31.58 c:\windows.0\system32\nerocheck.exe 899702059 bloccata
25/02/2008 16.22.12 c:\windows.0\system32\nerocheck.exe 899702083 bloccata
25/02/2008 17.04.30 c:\programmi\internet explorer\iexplore.exe 7020187187 consentita
25/02/2008 17.07.55 c:\windows.0\system32\nerocheck.exe 899997012 bloccata

Non so proprio cosa fare? Tenete presente che il dialer mi lascia soltanto 3-4 minuti di connessione a internet per eventuali downloads oppure online-scan.

c:\windows.0 :skept: controlla cosa c'è dentro ;)

 

[mario g]

Tecnico24 : fatto come consigliato, riavviato, il dialer c'è ancora come prima.

 

[mario g]

Faenil : windows.0 è una cartella di file nascosti "per il corretto funzionamento del sistema: Non modificarne il contenuto".
Li ho visualizzati, ce n'è una marea tra cartelle e files singoli, non saprei proprio cosa eliminare .... In particolare c'è la cartella System32 di file nascosti, fra i quali nerocheck.exe . Elimino solo questo ??

 

[faenil]

hai qualche antispyware?

cerca di scaricare questo http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe

e fai una scansione ;)
scaricalo su un altro pc e portalo sul tuo se tu nn ce la fai ^^

ps ma kav non te lo dice il nome del dialer?

 

[mario g]

L'avevo già fatto l'altroieri senza successo. Stamattina ho aggiornato SuperAntiSpyware, poi nello scan ha trovato soltanto 4 Adware.Tracking Cookie e li ha eliminati. MA IL DIALER c'è ancora come prima.
Kaspersky I.S.6 mi avvisa solo che un dialer software "sta tentando di comporre il numero 899026730" (però il numero non è sempre lo stesso). Mi dice che il "processo in esecuzione è c:\windows.0\system32\nerocheck.exe" e nient'altro. Nello scan non rileva nulla.

 

[faenil]

http://swandog46.geekstogo.com/avenger.zip

aprilo, vai su Input script manually, poi sulla lente d'ingrandimento
e scrivi nella casella

Files to delete:
c:\windows.0\system32\nerocheck.exe

-Clicca su Done
-Clicca sul semaforo verde e due volte Yes
-Riavvia il pc e al ritorno posta il relativo log di avenger(c:\avenger.txt)

Penso il file si ricreerà e bisognerà agire su altro...ma provare non nuoce ;)

 

[mario g]

dopo il primo YES, mi dà il messaggio ERROR contenuto nel Log