connessione remota igssf

[Giallino89]

ciao a tutti!
mi dispiace aver aperto un'altra discussione uguale ad una già esistente.. non so perchè ma nell'altra non mi faceva scrivere... -.-

veniamo ai fatti. ho una fastidiosa connessione "igssf" che ogni volta tenta di connettersi scollegando la mia connessione. a causa sua mi sono arrivate bollette da capogiro per chiamate a numeri strani a pagamento. prima avevo una connessione analogica a 56 k, ora ne ho una che usa la rete HSDPA/UMTS. pensavo che questa "igssf" se ne approfittasse della linea analogica, ma a quanto pare non c'entra nulla perchè ora vuole connettersi tramite l'UMTS...

sono disperato. ho provato con tutti gli antivirus e antispie, ma nulla... per favore aiutatemi!!
vi posto il log di Hijackthis... io non ci capisco nulla, mi fido di voi!
grazie mille!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.31.20, on 29/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\GtDetectSc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\winlogon.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Progra~1\ASUS\WLAN Card Utilities\Center.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Vodafone\Vodafone Mobile Connect\VMConnect.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Carlo!!\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ilmeteo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [ASUS Live Update] "C:\Programmi\ASUS\ASUS Live Update\ALU.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Control Center] "C:\Progra~1\ASUS\WLAN Card Utilities\Center.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe"
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Hotkey.lnk = C:\Programmi\Asus\ASUS Hotkey\Hotkey.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://cakogiallo.spaces.msn.com//Ph...d/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/micr...?1188996181687
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1188996086781
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cakogiallino89.spaces.live.co...d/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EA095B9-13CE-49B9-9ED4-59F93739D71D}: NameServer = 83.224.66.134 83.224.65.134
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: winzdn32 - winzdn32.dll (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: GT Detect (GtDetectSc) - OptionNV - C:\WINDOWS\system32\GtDetectSc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
--
End of file - 10140 bytes

[COOLNESS]

Fixa:
HKLM\System\CCS\Services\Tcpip\..\{6EA095B9-13CE-49B9-9ED4-59F93739D71D}: NameServer = 83.224.66.134 83.224.65.134

Poi fai una scansione con Kaspersky on-line scanner e salva il risultato come file HTML e caricalo su wikifortio, infine comunicami il link generato...

[Giallino89]

oh fixato quel "codice" ho fatto lo scan con kaspersky e l'ho caricato...
ecco qua il link per il download dei dettagli dello scan:

http://www.wikifortio.com/801010/scan.html

grazie ancora per l'aiuto che mi stai dando!

[COOLNESS]

Bravo!
adesso scarica avenger (dalla mia firma)
estrailo in una cartella a tua scelta
doppi click sull'exe con la figura di una spada
spunta "input script manually"
clicca sulla l'ente di ingrandimento e incolla questo script:

Files to delete:
C:\WINDOWS\Temp\cli90F.tmp
C:\WINDOWS\Temp\zihgaa.exe
C:\WINDOWS\Temp\cli11B9.tmp
C:\WINDOWS\Temp\cli12FA.tmp
C:\WINDOWS\Temp\cli1441.tmp
C:\WINDOWS\Temp\cli14A6.tmp
C:\Documents and Settings\Carlo!!\Impostazioni locali\Temp\hxagebkt.exe
C:\Documents and Settings\Carlo!!\Impostazioni locali\Temp\jar_cache7872.tmp
C:\Documents and Settings\Carlo!!\Impostazioni locali\Temporary Internet Files\Content.IE5\ZLHBFC0S\in[1].htm
C:\Documents and Settings\Carlo!!\slqnkibp.exe

Poi posta il log generato in in c:\avenger.txt

[Giallino89]

c'è un piccolo problemino...
quando sono andato a scaricare the avenger dalla tua firma, la pagina di internet si è chiusa immediatamente da sola... cosa che già mi era capitata quando su google scrivevo "connessione remota igssf" per cercare informazioni su questa rottura di scatole... quindi non potendolo scaricare ho chiesto ad un mio amico se lo scaricava lui e poi me lo avrebbe passato. me l'ha passato. ho avenger con la sua bella spada nel desktop, ma quando ci faccio doppio click il programma si apre, ma si richiude automaticamente proprio come faceva la pagina di internet...

sarò paranoico, ma in un certo senso mi sento spiato controllato... e non vorrei dire cavolate, ma questo virus o cosa è lui, sembre intelligente... cioè, sembra che in qualche modo vuole impedirmi di cancellarlo... possibile che si stia difendenndo da solo??

che devo fare? comincio a mettere i soldi da parte per un pc nuovo o inizio a strapparmi i capelli?
c'è un'alternativa???

[COOLNESS]

Ti sei beccato un virus nuovo nuovo (uscito intorno alla metà del mese )..
Prova a vedere se riesci ad eliminare manualmente questi file:
C:\WINDOWS\Temp\cli90F.tmp
C:\WINDOWS\Temp\zihgaa.exe
C:\WINDOWS\Temp\cli11B9.tmp
C:\WINDOWS\Temp\cli12FA.tmp
C:\WINDOWS\Temp\cli1441.tmp
C:\WINDOWS\Temp\cli14A6.tmp
C:\Documents and Settings\Carlo!!\Impostazioni locali\Temp\hxagebkt.exe
C:\Documents and Settings\Carlo!!\Impostazioni locali\Temp\jar_cache7872.tmp
C:\Documents and Settings\Carlo!!\Impostazioni locali\Temporary Internet Files\Content.IE5\ZLHBFC0S\in[1].htm
C:\Documents and Settings\Carlo!!\slqnkibp.exe

Se hai problemi con la loro eliminazione usa il programma Unlocker.

[Giallino89]

fatto. li ho cercati con "trova", dove c'è il cagnolino. li ho eliminati tutti tranne:

hxagebkt.exe

questo non l'ha trovato..

[Giallino89]

fatto. li ho cercati su "trova" dove c'è il cagnolino e li ho eliminati tutti tranne hxagebkt.exe che non lo ha trovato...

[Giallino89]

ho scaricato unlocker, l'ho installato, ma non me lo fa aprire... come the avenger...

[COOLNESS]

Per unlocker non ha importanza visto che sei riuscito già ad eliminare i file manualmente...
prova ad eseguire anche una scansione con Panda Antirootkit poi lancia un 'altra scansione online con kaspersky e posta il link generato da wikifortio....
ciao

[Giallino89]

ecco il link dell'ultimo scan con kaspersky:

http://www.wikifortio.com/854276/kasperskyscan.html

[COOLNESS]

Ottimo, ora scarica questo tool (scegli il + recente) poi posta il log generatosi!

[Giallino89]

ho fatto lo scan. ci ha messo un casino di tempo perchè ho selezionato anche il disco C, perchè se non lo selezionavo lo scan finiva in due minuti e non trovava nulla. sarò tonto ma non sembra avere generato nessun log... comunque l'unica cosa che ha trovato è questo:

detected: Trojan program Trojan.Win32.Dialer.aam

File: C:\Documents and Settings\Carlo!!\Impostazioni locali\Temp\hxagebkt.exe//PE_Patch.UPX//UPX

che poi sarebbe lo stesso file che stavo cercando col cagnolino per eliminarlo, che poi non ha trovato..

[COOLNESS]

Ottimo, hai ancora problemi?

[Giallino89]

purtroppo sì. ho provato a neutralizzare il file in questione, ma nulla.. not found.. non lo trova..
più che un virus mi sembra un tumore..!