Aiuto!!!!!! dialer difficile da estirpare!!!

G

giuanin1

Digital-Forum Junior
Registrato
23 Dicembre 2004
Messaggi
36
Località
Luxembourg
Ho beccato uno di quei dialer caparbi e non riesco a localizzarlo,ho un pc dual core intel 3000Mhz Xp sp2 1G di memoria,da quando si é installato ho provato di tutto senza successo,ho sempre il Norton internet security (scusa Ercolino)affiancato da Ad-Aware e SpyBotsd sempre aggiornati e periodicamente uso anche RegCleaner per verificare le anomalie,ma nulla da fare questo dialer oltre a lanciare la numerazione (ho anche tolto il modem analogico in quanto uso l'adsl)va ogni volta a scrivere dei files TMP nella cartella Temp di Windows e scrive anche dei files in quella Prefect con dicitura win1.tmp.exe.pf e a volte dopo win c'é o una lettera o una cifra sempre sequenziale ,stessa cosa nella cartella Temp i files sono sempre gli stessi partono con la cifra 1 (win1.tmp poi il win2.tmp seguito da win3.tmp e cosi' via)ditemi cosa devo fare ho provato anche la soluzione dello scanner in linea ma non ci riesco qualcosa mi impedisce di usare la consolle Java e sulla pagina dello scanner di trend Micro la progressione dell'analisi non parte ,siate gentili datemi una mano.Grazie a tutti.
 
Allora per prima cosa dovresti cercare di eliminare tutti i cookies ed i file temporanei di internet,poi svuoti tutto il contenuto che si trova nella cartella Temp in c:/windows/temp.

Se non te lo fa fare prova in modalità provvisoria(tasto F8 all'accensione)

Usa poi questo tool


Poi copia ed incolla il log sul forum che controlliamo ;)
 
@Ercolino come sempre pronto nei casi difficili e in generale disponibilissimo per tutti,grazie del tempo che dedichi a tutti noi,(se posso sdebitarmi, in caso di problemi sat ,con parabole ,motori ,lnb e schede sat ,sai che puoi trovarmi dagli angeli)
Ti allego il file log che ho estratto dopo aver eseguito lo svuotamento delle cartelle che mi hai suggerito
Logfile of HijackThis v1.99.1
Scan saved at 21:30:06, on 14/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\********\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
O4 - Global Startup: DynDns-2.0 .lnk = C:\Program Files\DarSite\DynDns-2.0\DynDns-2.0.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129731383765
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131096353671
O20 - Winlogon Notify: winzoa32 - C:\WINDOWS\SYSTEM32\winzoa32.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

aspetto notizie e ancora grazie
 
Ultima modifica di un moderatore:
Allora riavvia il Pc in modalità provvisoria(tasto f8 all'accensione) rifai la scansione con il tool che ti ho dato poi selezioni:

O20 - Winlogon Notify: winzoa32 - C:\WINDOWS\SYSTEM32\winzoa32.dll


E con il tasto fix la elimini,controlla poi che la cartella temp sia vuota,altrimenti svuotala,poi riavvia il pc normalmente ;)

Dopo rifai la scansione con ad-aware e con il tuo antivirus :icon_rolleyes: :D
 
Grazie per la celerità ,mi pareva di aver letto che questa cosa fosse una zozzeria ,Winzoa32 un cavallo di ***** se non erro,grazie per il consiglio su come sopprimerlo.Ti faccio sapere se l'hai castigato.
 
Si è quello che crea i file win1.tmp.exe ,win2tmp.exe, ecc
 
Anche dopo aver fatto pulizia del file in questione e i vari tmp e procedura di prima con i file temporanei di IE ,niente da fare ,comunque riprovero' e ti faccio sapere buona serata.
 
Devi fare tutto in modalità provvisoria ,poi fatto tutto ,riavvi il pc normalmente
 
@Ercolino ieri ho fatto tutte le operazioni che mi hai detto in modalità provvisoria e oggi riaccendendo si é ripresentato lo stesso fenomeno ,lo rifaccio subito e ti dico i risultati ,ciao
 
In più ho svuotato la cache dei cookies e delle cartelle dello storico delle pagine web e alla riaccensione c'era win1.tmp e win64.tmp e ho fatto la verifica come utilizzatore e amministatore essendo presenti nella modalità provvisoria entrambi,ora cosa mi suggerisci?
 
Mi sono dimenticato di specificare una cosa il ripristino di configurazione va disattivato.


Allora disattivalo,riavvia il pc in modalità provvisoria,svuota la cartella temp,poi rifai il tool e controlla che non ci sia più quella voce che ti ho detto di cancellare.


Eventualmente rimetti il log pulito dopo aver riavviato normalmente alla fine


Dopo aver usato il tool,sempre in modalità provvisoria fai una scansione con ad-aware
 
Ultima modifica:
Provato disattivando il ripristino del sistema con tutte le procedure e il tool purtroppo rifacendo lo scan alla riaccensione in modalità normale ritrova con il tool sempre il solito n°20 Winzoa32,altri consigli ? Anch'io avevo provato di tutto ma questo é ancora qui.Grazie Ercolino da Torino.
 
Allora proviamo cosi:

Sempre in modalità provvisoria controlla nel task manger se ci sono alcuni nomi tipo win1.tmp eccc........

Interrompi l'esecuzione,poi ricancella tutto come ti ho detto sopra
 
Nel frattempo ho preso una decisione drastica e ho tolto il Winzoa32.dll spostandolo nella cartella dei miei documenti e facendo l'analisi mi dice che il suddetto file-O20 - Winlogon Notify: winzoa32 - winzoa32.dll (file missing) e non sembra più scrivere nella cartella Windows Temp, aspetto e ti dico se la cosa é sparita,una domanda il Winlogon e il file di accensione di Windows?
 
Winlogon

winlogon.exe si trova in C:\Windows\System32 i virus lo copiano in C:\Windows


Quello non ha a che fare con il winlogon.exe


Si certo spostandolo da un'altra parte non lo trova +.


Elimina quella dll
 
Caro Ercolino come al solito hai centrato il problema e da ieri sera dopo lo spostamento della dll ,nessun file presente nel Temp e apparentemente tutto nella norma ,non mi resta che ringraziarti una volta di più e dirti a risentirci .Se puoi approfitta di me in caso di problemi di satellite.
 
Devi accedere o registrarti per poter rispondere.
Indietro
Alto Basso