Chi mi aiuta con questo dialer??

**paolocorpo** · 17-02-2007, 08.19.01

Salve
win2K + SP4
E' da un mese che ho un piccolo dialer installato sul mio notebook
Dico piccolo perchè oltre a farmi cadere la linea ed a tentare telefonata a quei numeri a pagamento a cui rispondono le donnine ansimanti non fa!
Niente .exe all'avvio, niente modifica della pagina iniziale ma solo la caduta della connessione e poi la telefonata a quel numero.
Non riesco a beccarlo però

Ad Aware e SpySearch&Destroy (pur in modalità provvisoria) non mi aiutano...non vanno al di la di una manciata di cookies traccianti
Non parliamo del Norton

Cosa mi consigliate?
Solitamente io facevo così: individuavo i file nati nell'ultimo giorno e ruscivo ad individuare l'exe pirata.
Ora ho notato solo che quando si attiva nel task c'è una applicazione strana con numeri e [.
Vi allego il mio log di HijackThis
Grazie

**-=xeno3dx=-** · 17-02-2007, 08.29.48

prova ad usare ewido antispyware Ciao e fammi sapere ;-)

**paolocorpo** · 17-02-2007, 08.35.28

Grazie!!
Il sw è free?
Lo posso scaricare?

**paolocorpo** · 17-02-2007, 13.20.35

Allora ho installato ed usato ewido antispyware ma nulla di fatto nel senso che il nuovo sw mi ha trovato una trentina di cookis traccianti ma nient'altro.
Ad ora il fenomeno non si è ripetuto ma non credo si sia risolto!!
Altre idee?
Il sw antidialer credete che possa andar bene? Nel senso che...mi chiedo come fare a rimuoverlo più che ad impedire che si tenti di farmi telefonate a scrocco.
Infatti non so se prima avevo specificato bene ma quello che fa è una telefonata a pagamento di quelle che rispndono le donnine tutte ansimanti.
Il fatto strano è che da molto tempo avevo disabilitato tutte queste telefonate alla Telecom

**Alexsandra** · 17-02-2007, 14.57.14

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip

apri poi Hiajckthis e fixa queste voci
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://insight/sites/mi/HubSite/Default.aspx
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://insight
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\T SI32\tsircusr.exe
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O14 - IERESET.INF: START_PAGE_URL=http://insight
O15 - Trusted Zone: http://*.intranet (HKLM)
O23 - Service: TSI Remote Control Service (TSIRCSRV) - Laplink Software, Inc. - C:\WINNT\System32\TSIRCSRV.EXE

poi vai in Start - esegui e digita services.msc cerca il servizio TSI Remote Control Service, doppio clik sopra e nel box che ti appare clicca su arresta, poi poco sotto nel box tipo avvio mettilo su disabilitato, esci.

> avvia il file avenger.exe
> Seleziona "Input Script Manually"
> Clicca sulla lente di ingrandimento

> Ti si apre una finestra "View/edit script", copia e incolla questo script

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

files to delete:
C:\WINDOWS\TSI32\tsircusr.exe

Folders to delete
C:\WINDOWS\TSI32

> clicca sul pulsante Done
> Clicca sull'icona del semaforo
> Rispondi Yes 2 volte
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Lancia ATF cleaner http://news.swzone.it/swznews-19697.php e pulisci i temporanei, poi posta il log che verrà rilasciato in C:\Avenger assieme ad un altro log di Hijackthis

**paolocorpo** · 17-02-2007, 15.24.04

Cacchio che risposta....

E' talmente articolata da far paura

...nel senso che mi chiedi di fixare alcune cose che non capisco come alcune chiavi legate alla mia home page che è della Intranet aziendale o alcune riguardanti Alcohol....
Puoi per favore darmi delle spiegazioni su cosa andrei a fare se seguissi il tuo consiglio?
Grazie!!
Paolo

**paolocorpo** · 17-02-2007, 15.30.59

Nel frattempo ho scaricato ed installato anche la nuovaversione di ewido che è confluito nel AGV antispyware 7.5
Anche in questo caso dopo averlo aggiornato all'ultimo grido non ha trovato nulla di particolare.

**Alexsandra** · 17-02-2007, 15.34.50

non lo hai mica specificato che sei in una lan aziendale in ogni caso dopo il fix vengono ripristinate alle impostazioni di default, per cui te le ritrovi. ...... una che legge il tuo log e non sapendolo può pensare anche ad un redirect della home page.

Per alcohol fai come preferisci, nel mio file host (fix 01)inserisco gli indirizzi da bloccare non da permettere, ma tu puoi agire come meglio credi, il tuo problema è il resto del post, non certo alcohol o la tua home page

Non fixare le voci R0-R1-14 e 15, per alcohol vedi tu il resto và bene così, se con le scansioni che hai fatto ti ritrovi sempre il problema, per risolverlo meglio usare Avenger

**paolocorpo** · 17-02-2007, 16.26.45

Non era un richiamo ...non te ne faccio una colpa per carità...anzi grazie per la pazienza

OK quanto detto nel tuo ultimo post ma devo sempre disabilitare quel servizio, cancellare quel file di cui parlavi nel tuo primo post?

**Alexsandra** · 17-02-2007, 20.53.40

Ti connetti da remoto al tuo pc? quel file (TSIRCSRV.EXE) fa quello, lo hai messo tu? non credo, anche perchè ti ha modificato Userinit.

Originariamente Scritto da paolocorpo

Non era un richiamo ...non te ne faccio una colpa per carità...anzi grazie per la pazienza

.....

Sorry ..... il bello (o il brutto) in un forum o in un mondo virtuale è che non vedendo e sentendo con chi stai parlando non riesci ad interpretare i toni di quello che dice. Non ho vissuto il tuo intervento come un richiamo, è facile sbagliare e far togliere qualche voce legittima, trovo giusta la tua richiesta di informazioni aggiuntive, ci mancherebbe è sempre il tuo pc.
comunque ritornando in tema per me è da togliere, puoi sempre creare un punto di ripristino, fixare e provare, così sei più sicuro che se qualcosa andasse "storto" non perdi niente.

ciao

**SWZN** · 18-02-2007, 05.35.36

@ paolocorpo

devi fare un bel post dove descrivi le tue attività in relazione alle stringhe del tuo *.log, anche perchè è impossibile intuire queste applicazioni un esempio paradigmatico è questa
TSIRCSRV.EXE
devi spiegare se la usi cosi come le altre che hai postato, non è difficile se hai qualche dubbio apri Google e vedi a cosa si riferisce, in questo modo sciogli anche i nostri dubbi che, ti assicuro, spesso sono tanti.

**paolocorpo** · 18-02-2007, 09.14.00

Si uso il mio notebook in remoto su rete aziendale utilizzando una connessione in analogico.
Quel TSIRCSRV l'ho sempre visto anche quando non avevo questi problemi con 'sto dialer.
Lo vedo in quache riga del log connesso alla applicazione Laplink che in effetti è installata sul mio notebook per eseguire una sincronizzazione con il mio PC

Devo dire che da quando ho installato AVG anti-spyware 7.5 non si è più ripresentato nel senso che la mia connessione non è più caduta a favore di una telefonata a numero costoso.
Aggiungo pure che ieri mi ha bloccato l'ingresso di un trojan malware sotto forma di un file 123456.exe che tentava di posizionarsi nella mia cartella di sistema C:\winnt\system32
Insomma questo per dire che AVG si sta comportando proprio bene

Speremo bene.....

**Alexsandra** · 18-02-2007, 09.21.01

se è così direi che il tuo log è pulito, non vedo minacce. Prova a fare una scansione con questo http://news.swzone.it/swznews-19698.php

**paolocorpo** · 18-02-2007, 13.16.51

Ho scaricato il sw ma dopo averlo instalalto mi fa un errore all'avvio che richiama un GetNatyceSystemInfo che non riesce ad essere locato nel kernel32.dll
Talune volete su 2K le applicazionei fanno un po di bizze
Proverò su XP giusto per verificare se l'applicazione ha un bug o meno