dialer bastardo?

[chef]

ciao a tutti,
il che ho sottomano aveva un dialer... dalla modalità provvisoria ho girato spybot 1.4 a adaware6 aggiornati, il System Cleaner gratuito di TrendMicro, l'antiviruz Norton (tutto aggiornato) e Viri. Quest'ultimo ha trovato della roba che qui vi posto:


VirIT eXplorer Lite Log

SCANSIONE DELLA MEMORIA
OK
--------------------------------------------------------
12/08/2005 - 16:15:05

[SCANSIONE DEL REGISTRO]
{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} Infetto da BHO.Mirar.A
* * * RIMOSSO * * *
{33331111-1111-1111-1111-611111193457} Infetto da Trojan.Win32.Agent.IP
* * * RIMOSSO * * *

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\system32\usbn.exe Possibile variante da Trojan.Win32.Dialer.EB
C:\WINDOWS\system32\WinNB57.dll Infetto da BHO.Mirar.B
* * * RIMOSSO * * *
C:\WINDOWS\redirect5.exe Infetto da Trojan.Redirect.B
* * * RIMOSSO * * *
C:\WINDOWS\redirect6.exe Infetto da Trojan.Win32.Redirect.A
* * * RIMOSSO * * *
C:\WINDOWS\redirect7.exe Infetto da Trojan.Win32.Redirect.C
* * * RIMOSSO * * *
C:\WINDOWS\internt.exe Possibile variante da Trojan.Win32.Dialer.EB
C:\Documents and Settings\Rik\Impostazioni locali\Temp\MirarSetup.exe Infetto da AdWare.Mirar.A
* * * RIMOSSO * * *
C:\System Volume Information\_restore{EE100515-2175-4999-BFD7-D724A50FE90B}\RP42\A0115585.dll Infetto da BHO.Mirar.B
* * * RIMOSSO * * *
C:\System Volume Information\_restore{EE100515-2175-4999-BFD7-D724A50FE90B}\RP42\A0115586.exe Infetto da Trojan.Redirect.B
* * * RIMOSSO * * *
C:\System Volume Information\_restore{EE100515-2175-4999-BFD7-D724A50FE90B}\RP42\A0115587.exe Infetto da Trojan.Win32.Redirect.A
* * * RIMOSSO * * *
C:\System Volume Information\_restore{EE100515-2175-4999-BFD7-D724A50FE90B}\RP42\A0115588.exe Infetto da Trojan.Win32.Redirect.C
* * * RIMOSSO * * *

[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[E:]


[F:]
BOOT SECTOR: OK


Chiavi Registro infette: 2.
Files Infetti: 11.
Files Sospetti: 0.
Files Analizzati: 39706.
Files Totali: 39706.
Chiavi Registro rimosse: 2.
Virus Rimossi: 9.

SCANSIONE DELLA MEMORIA
OK

-------------------------------------------------

Quindi pensavo tutto ok.
Se faccio una scansione con Hijackthis trovo questo:

Logfile of HijackThis v1.99.1
Scan saved at 15.02.27, on 17/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Rik\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E92D5265-3801-4D96-BBF8-B1EFA5818970}: NameServer = 193.70.152.15 193.70.152.25
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe


La voce:
O17 - HKLM\System\CCS\Services\Tcpip\..\{E92D5265-3801-4D96-BBF8-B1EFA5818970}: NameServer = 193.70.152.15 193.70.152.25
mi si crea tutte le volte che faccio il collegamento traite modem.
Se cancello la voce, riavvio il pc e rifaccio hijackthis, la voce non compare fino a quando non rifaccio il collegamento.
Come faccio a rimuoverla???????????????????????????????????????? ???

GRAZIE

[chef]

sono ancora io...
ho preso un altro pc, ho provato a fare la stesssa connessione ad internet (tramite Libero.it), ho girato hijackthis:
la stringa mi si crea identica:
O17 - HKLM\System\CCS\Services\Tcpip\..\{E92D5265-3801-4D96-BBF8-B1EFA5818970}: NameServer = 193.70.152.15 193.70.152.25

allora non è un sintomo dialer... è normale...
speriamo bene!
Se sapete qualcosa comunque non esitate a dirmi qualcosa!
Grazie!!!!

[amvinfe]

allora non è un sintomo dialer... è normale...

appunto.


con HJT rimuovi

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank