Dialer impossibile...;_;

[federica2]

Siete la mia ultima spiaggia di cancellare un dialer....
Vi prego di aiutarmi perchè ho formattato da poche settimane e NON MI VA affatto di rifarlo...;_;

Stavo navigando nei siti più innoqui del mondo, quelli degli ospedali, per dare una mano a mio padre......
Ad un tratto do il pc a mio padre un attimo e in un ennesimo sito gli è entrato un dialer, non siamo più riusciti a levarlo!
Ho fatto scansione con Spybot, Ad-aware, ma non lo rileva nemmeno tra le minacce! Si avvia con l'avvio del pc con 3/4 numeri 899 e cerca di connettersi all'istante 3 euro al min per roba porno!
Ho dovuto installare un antidialer......
Ho cercato il file e l'ho anche eliminato, per tutta la sera di ieri nn si è ripresentato, poi stamani ha ripreso a crearmi caos nel pc! Inoltre da quando questo affare si è stanziato nel pc, la connessione normale a tratti non mi visualizza le pagine e mi costringe a riavviare, e il pc è molto impacciato e si blocca numerose volte all'avvio!
Quando l'avevo tolto invece sembrava migliorare... Per quanto ne so potrebbe anche avermi messo un virus!!!

Help!!!!!!!!

[blue_tech]

scansione con ewido (http://www.ewido.net/en/) e se non lo hai già installa un firewall (io consiglio zone alarm per semplicità ed efficacia, lo trovi anche free http://www.zonelabs.it/) e fai anche una scansione completa con l'antivirus aggiornato

[federica2]

Grazie!!!
Mi metto subito all'opera!!!
Solo una cosa: quale Zone Alarm devo prendere? Quello gratis per uso casalingo (Antivirus)?
E protegge anche dai dialer?

[blue_tech]

federica2 ha scritto lun, 24 aprile 2006 alle 13:30
Grazie!!!
Mi metto subito all'opera!!!
Solo una cosa: quale Zone Alarm devo prendere? Quello gratis per uso casalingo (Antivirus)?
E protegge anche dai dialer?

facci sapere se risolvi...

EDIT: prendi quello gratuito ma è solo un firewall non ha protezione antivirus cmq può impedire che si intrufolino ancora e poi aumenta le difese

[federica2]

Vi farò sapere!
ma posso tenere Norton assieme a Zone Alarm o si creano conflitto?
non vorrei disinstallarlo Norton....

[blue_tech]

federica2 ha scritto lun, 24 aprile 2006 alle 13:59
Vi farò sapere!
ma posso tenere Norton assieme a Zone Alarm o si creano conflitto?
non vorrei disinstallarlo Norton....

se di norton hai solo l'antivirus non c'è problema perchè sono due tipi di programmi diversi se invece hai anche il firewall di norton (per esempio se hai Norton Internet Security Suite) allora puoi fare a meno di installare ZA

[federica2]

Effettivamente ho il secondo...Norton Internet Security.... però stranamente il dialer l'ha lasciato entrare....
Beh...adesso almeno posso contare su quell'altro che li elimina, adesso lo installo!

[blue_tech]

federica2 ha scritto lun, 24 aprile 2006 alle 14:08
Effettivamente ho il secondo...Norton Internet Security.... però stranamente il dialer l'ha lasciato entrare....
Beh...adesso almeno posso contare su quell'altro che li elimina, adesso lo installo!

allora puoi non mettere ZoneAlarm...

cmq anche con tutto firewall compreso può sempre succedere qualcosa

fai girare ewido e vediamo se risolve

[federica2]

Niente...
Io ho windows ME.........
Uffa! I programmi migliori sn sempre solo per XP o 2000!!
Non è giusto!
E adesso? o.ò

[firewall76]

posta un log di hijackthis.

[federica2]

Non ho capito....spiegati meglio!

[firewall76]

vai sul sito http://hijackthis.descaricati il programma e clicca scan now and save log. Copia il risultato del log e postalo qui

[federica2]

ok!! ma poi per risolvere? o_ò
Se potessi cancellarlo col ripristino di sistema di 5 gg fa lo farei...pur di levarmelo dai piedi!!!

Eccola la mia maledizione!

[federica2]

Scusate il flood, ecco il log completo:
Vi ho anche segnato in rosso i file che ho eliminato e si ricreano e la home page che mi inserisce ogni volta...
Nell'avvio del pc non è inserito, ma mi si avvia ugualmente a qualche avvio del pc!
________________________________________ ______________________

Logfile of HijackThis v1.99.1
Scan saved at 17.53.18, on 24/04/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\SNDSRVC.EXE
C:\PROGRAMMI\FILE COMUNI\EPSON\EBAPI\SAGENT2.EXE
C:\PROGRAMMI\MESSENGERPLUS! 3\MSGPLUS.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\ptsnoop.exe
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMMI\ROXIO\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMMI\RAM IDLE\RAM_ME.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\SYSMON.EXE
C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\SYSFIND.EXE
C:\PROGRAMMI\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMI\DIGISOFT ANTIDIALER\ANTIDIALER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\REGEDIT.EXE
C:\PROGRAMMI\DAP\DAP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?299
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\PROGRAMMI\DAP\DAPBHO.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dl l
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAMMI\DAP\DAPIEBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmi\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programmi\RAM Idle\RAM_ME.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\FILECO~1\SYMANT~1\CCPROXY.EX E
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\FILECO~1\SYMANT~1\SNDSRVC.EX E
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2 .DLL/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2 .DLL/cmwordtrans.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2 .DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2 .DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2 .DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page into English - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2 .DLL/cmtrans.html
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMMI\JAVA\JRE1.5.0_06\BIN\SSV.DL L
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMMI\JAVA\JRE1.5.0_06\BIN\SSV.DL L
O9 - Extra button: Alice - {8DDFA6A2-6AF3-43FF-858F-20F2B8EFE9E8} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O15 - Trusted Zone: www.1987324.com
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmes sengersetupdownloader.cab

[Sticky©]

Infatti quelli in rosso sono quelli che reinstallano il dialer...

Quelli che mancano da cancellare sono:

C:\WINDOWS\ptsnoop.exe

e credo nessun' altro. Comunque ora do' un' altra occhiata piu' approfondita.

[federica2]

ptsnoop??
Perchè?°°

Oltrettutto, mi configura anche l'accesso al web e la homepage e mi mette nel menù start e nel desktopo sempre lo stesso collegamento (l'avrò eliminato 30 volte...)!!
Cosa posso fare per farlo SPARIRE una volta per tutte a questo punto?

[Sticky©]

federica2 ha scritto lun, 24 aprile 2006 alle 19:04
ptsnoop??
Perchè?°°

Oltrettutto, mi configura anche l'accesso al web e la homepage e mi mette nel menù start e nel desktopo sempre lo stesso collegamento (l'avrò eliminato 30 volte...)!!
Cosa posso fare per farlo SPARIRE una volta per tutte a questo punto?

Ok, passiamo ad altro.

Scarica questo ed estrailo dove dice lui. Poi, scaricati anche questo e mettilo nella stessa cartella.

Poi riavvia in modalita' provvisoria, apriti un prompt dei comandi e dai questi comandi:

cd SAV32CLI

ed una volta dentro

SAV32CLI -REMOVE

P.S.

Leva anche

F1 - win.ini: load=ptsnoop.exe

[federica2]

Che roba complicata!°°"

Cmq per ora lascio perdere... con un amico abbiamo indagato ancora e abbiamo scoperto che il file SysFind è direttamente collegato a Sysmon, se eliminavo uno e non l'altro si ricreavano!
Così li ho eliminati entrambi, più tutte le cose che avevano provocato e tutti i settaggi sbagliati.....

Per il momento non si è ripresentato...°°
Aspetto dei gg e vediamo che succede...
Se il problema si ripresenta torno qui...