Trojan.Win32.Dialer.rm è riapparso

[sincopear]

Salve a tutti.

Purtroppo il Trojan.Win32.Dialer.rm è riapparso, rilevato dal mio antivirus, e ho riapplicato la procedura di rimozione già segnalatami da Topdrake e da me usata in precedenza: il Removal Tool del LinkOptimizer-Gromozon-trojan Lop_AH (AVG)-trojan Agent (Avast) della Symantec.
Ecco il logfile di Hijackthis, dopo la procedura di rimozione (Spero che anche questa volta, Topdrake, tu sia così gentile e disponibile nel darmi una mano per estirpare definitivamente questo malware! ) :

Logfile of HijackThis v1.99.1
Scan saved at 0.25.01, on 15/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\eMule\eMule.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Documents and Settings\Gaetano\Documenti\File ricevuti+SOFTWARE Gratis\hijackthis_rimuovere DIALERS SPYWARE HIJACKERS.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [MMTray] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [SSI] C:\Programmi\Trisnap Technologies\SSI\ssi /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [kis] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\eMule.exe -AutoStart
O8 - Extra context menu item: Aggiungi a Kaspersky Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Alice - {CB668FF6-50C8-4446-BFEC-0FF29BC8D14E} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programmi\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: SysEnforce - Unknown owner - C:\PROGRA~1\TRISNA~1\SSI\SYSENF~1.EXE (file missing)

[rales]

Allora vediamo ... :master: :master: :master:
Togli queste:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb


O23 - Service: SysEnforce - Unknown owner - C:\PROGRA~1\TRISNA~1\SSI\SYSENF~1.EXE (file missing)




O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home



O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)




O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)



O9 - Extra button: Alice - {CB668FF6-50C8-4446-BFEC-0FF29BC8D14E} - http://gw.aliceadsl.it/alice (file missing) (HKCU)



O4 - HKLM\..\Run: [SSI] C:\Programmi\Trisnap Technologies\SSI\ssi /s



C:\Documents and Settings\Gaetano\Documenti\File ricevuti+SOFTWARE Gratis\hijackthis_rimuovere DIALERS SPYWARE HIJACKERS.exe

[sincopear]

grazie, Rales, per la risposta.
Proverò a rimuovere le voci di registro da te indicate e speriamo bene.

Pongo ora una domanda a chi è esperto nel settore delle comunicazioni: ho un dubbio riguardo al dialer-hacker insediato nel mio PC: è possibile che esso possa far partire telefonate non volute a mie spese, anche se ho l'ADSL? Sul sito: www.antiphishing.it dicono che tecnicamente non è impossibile, anche se la possibilità è molto remota. Faccio presente inoltre che ho già provveduto a disabilitare i famigerati numeri 899, 144, 166, 709 e le telefonate verso i prefissi internazionali e satellitari (il cui prezzo è superiore a quello applicato alla zona 6).

[sincopear]

Ciao.

Dunque, ho fixato le voci di registro da te indicate, Rales, e ho fatto il reboot, come chiesto da hijackthis.
Ora, quando cerco di connettermi ad Alice, a-squared Anti Dialer mi segnala la presenza, all’avvio di Windows, di un possibile Dialer che cerca di connettersi (presente in C:\Programmi\Internet Explorer\IEXPLORE.EXE e in C:\WINDOWS\explorer.exe, che, naturalmente, non si fa eliminare manualmente!) e mi dà l’opzione: ALLOW (cioè, permetti) o DENY (cioè, nega).
Se scelgo DENY, non posso collegarmi più ad internet. Per potermi collegare, devo per forza accettare ALLOW, ma con tutti i rischi connessi…!!!(come sto facendo ora, del resto).
Appare evidente, allora, che il fix con hijackthis non è servito ad eliminare il dialer.
Comunque, per chi volesse ancora darmi qualche utile ulteriore suggerimento (prima della formattazione!) ecco il logfile di hijackthis, dopo l’ultimo fixing:

Logfile of HijackThis v1.99.1
Scan saved at 23.06.06, on 15/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Gaetano\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [MMTray] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [kis] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\eMule.exe -AutoStart
O8 - Extra context menu item: Aggiungi a Kaspersky Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programmi\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)

[holifay]

certe infezioni non si vedono con hijackthis. Scarica questo: http://www.suspectfile.com/upload/fi...systemscan.exe

Avvialo, premi SCAN NOW e aspetta il log. Poi caricalo su www.mytempdir.com e posta qui il link per poterlo analizzare.

Ciao

[rales]

Se hai l'ADSL Flat non li paghi i dialer ...
Altrimenti si ...
***********************************
Per il log file elimina questi:

O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"

Installa SUPERAntispyware da www.filehippo.come e scannerizza ...
Installa lo "strumento di rimozione malware di windows" presente nella sezione download del sito Microsoft.

[amvinfe]

Originariamente inviato da rales
Se hai l'ADSL Flat non li paghi i dialer ...
Altrimenti si ...
***********************************
Per il log file elimina questi:

O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"

Installa SUPERAntispyware da www.filehippo.come e scannerizza ...
Installa lo "strumento di rimozione malware di windows" presente nella sezione download del sito Microsoft.

ora per cortesia spiegaci perchè mai dovrebbe eliminare la chiave associata ad a-squared

[rales]

Perchè ce ne sono altre e quindi non disinstalla la protezione, ma perchè avevo detto di toglierla perchè doveva fare delle cose che ho postato che avevano bisogno di togliere la suddetta voce perchè doveva installare SUPERA !
Poi è inutile ...
:rollo: :rollo: :rollo:
Anche perchè avevo suggerito di installare SUPERA !!!!!!!!!!!!!!!! e quindi di togliere a-squared e le voci residue nel log ...

[sincopear]

Grazie, holifay, per la risposta.
Ho eseguito la procedura da te indicatami e ho caricato il file report di suspectfile su www.mytempdir.com. Solo che per inviare il link del report al forum mi chiedono l'indirizzo e-mail del forum e qui mi blocco: scusami, ma non so qual'è/come fare. Comunque ecco cosa appare dopo aver caricato il file su mytempdir:

File report.row (1,293,042 b) has been successfully uploaded.

Link to the file:
http://www.mytempdir.com/1170500

[BilloKenobi]

le voci che gli hai fatto togliere erano buone.... (fatta eccezione per bearshare, di cui però hai segnalato l'unica voce nociva secondo l'analizzatore di hijackthis.de)

l'ultima si capisce che è relativa allo stesso hijackhtis...
rales... devi dare informazioni accurate, non puoi tirare a caso o affidarti solo all'analizzatore... molte cose sono errate in quel database e poi ci sono dei bug di hijackthis che spesso vedono come "missing" files presenti eccome (vedi i due O9 relativi allo scan di bitdefender). sono cose che devi sapere...

non puoi giocare col registro degli utenti... sei già stato avvertito su altri forum... oltre al fatto che dimostri una faccia tosta non adatta alla tua ignoranza in materia