Dialer 1191271350.DAT

[CRM]

CIao, ho questo dialer che, quando sono in internet, mi compare nella cartella Temp del mio Utente e dopo poco crea una nuova connessione nel pannello di Controllo staccando la mia ed iniziando a comporre il suo numero.
Fortunatamente avendo modem esterno a 56K me ne accordo e stacco il cavetto.
Ho già fatto girare + volte AdAware, AVG e Ewido ma alla fine compare sempre.

Come potrei fare per eliminarlo del tutto, magari a mano?
Ho già anche provato a vedere, con Regedit, nella cartella Run dei processi ma tutto mi sembra normale.
Notare che se non mi collego a Internet, non ho nessun problema sul pc

[Deifobe]

Anche se forse l'avrai già controllato, postaci comunque un log di hjt lanciato dopo che ti sei collegato ed è uscita la connessione del dialer. Appena visualizzi la connessione ovviamente puoi staccarti, serve solo per avere traccia di qualche processo che si è eventualmente attivato (se visibile).
Esegui e posta anche i report di gmer (autorun e rootkit). Se hai già fatto altre cose sul pc, dicci quali, così sappiamo qualche info in più. Questi 2 report puoi inserirli su Sendmefile, posta i link ottenuti.
Altro non saprei dirti ora..

[CRM]

ti ringrazio molto per la risposta.


Solo una cosa, non essendo molto 'tecnico' mi puoi dire come si fanno queste cose? (non le ho mai fatte):

log di hjt
i report di gmer

Grazie 1000

[Deifobe]

Scarica Hijackthis e mettilo in un cartella dedicata (tipo: c:\programmi\Hijackthis).
Lancialo e clicca sul tasto "Do a system scan and save a log file". Ti si aprirà un file di testo: postalo.

Scarica gmer e scompattalo in una cartella non temporanea. Lancialo, clicca su >>> ed esegui le scansioni sia con "autostart" che "rootkit":
per entrambe le scansioni clicca su "scan" - attendi la scansione - clicca su "copy" - apri un nuovo file blocco note (.txt) - incolla e salva (per "rootkit" la scansione - durerà qualche minuto).

Questo è il sito dove inserire i risultati di gmer (autostart e rootkit): Sendmefile - devi postare i link ottenuti.

[CRM]

ciao ho postato il file di rootkit e autostart dove mi avete detto e ad ognuno ho scritto nella descrizone 'FIle di Crm ciao'

questo invece è quello di hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.39.40, on 10/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Apache Group\Apache\Apache.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Programmi\Apache Group\Apache\Apache.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\mysql\bin\mysqld-nt.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\mysql\bin\winmysqladmin.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\valer\IMPOST~1\Temp\1194704547.dat.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\progs\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: WinMySQLadmin.lnk = C:\Programmi\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O23 - Service: Apache - Unknown owner - C:\Programmi\Apache Group\Apache\Apache.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: MySql - Unknown owner - C:/Programmi/mysql/bin/mysqld-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4258 bytes

[bdori@no]

Scarica FindAWF e salvalo sul desktop (per comodità)
Avvialo con un doppio click, comparirà la seguente videata:

Premi un tasto qualsiasi

Digita 1, premi Invio e aspetta.
Al termine della scansione, copia qui il log generato.

PS: dovevi postare anche i links di gmer... non è possibile fare ricerche su sendmefiles (almeno non so come si fa)

[CRM]

http://www.sendmefile.com/00594743 per autostart

http://www.sendmefile.com/00594745 per rootkit


Li ho ripostati perchè non avevo visto dov'erano i link

Ora scarico il prog che mi hai detto e faccio il resto

tenks

[CRM]

p.s. anche questo FindAWF.exe devo lanciarlo quando mi si attacca la connessione maligna??

[bdori@no]

No, non devi aspettare la connessione maligna.
FindAWF, è un "analizzatore" (più o meno come gmer). Si occupa di trovare tracce dell'infezione di Instant Access.
Nel log di hijackthis vedo whataboutadog e whataboutarabbit che, solitamente, indicano un'infezione con quel virus.

edit:
ho visto ora che non hai il Service Pack2 di Windows XP... VVoVe:
Scarica e installa il service pack 2 prima possibile, mi raccomando!!!

[CRM]

ecco cosa dice AWF


Find AWF report by noahdfear ©2006
Version 1.40

bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 442B-1403

Directory di C:\PROGRA~1\AHEAD\INCD\BAK

09/04/2001 18.11 1.191.936 InCD.exe
1 File 1.191.936 byte
2 Directory 29.654.446.080 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 442B-1403

Directory di C:\PROGRA~1\ATITEC~1\ATICON~1\BAK

25/11/2003 20.10 335.872 atiptaxx.exe
1 File 335.872 byte
2 Directory 29.654.446.080 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 442B-1403

Directory di C:\PROGRA~1\GRISOFT\AVGFRE~1\BAK

30/01/2007 18.43 369.664 avgcc.exe
1 File 369.664 byte
2 Directory 29.654.441.984 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 442B-1403

Directory di C:\PROGRA~1\GRISOFT\AVG7\BAK

01/04/2007 21.56 411.648 avgcc.exe
1 File 411.648 byte
2 Directory 29.654.441.984 byte disponibili

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

1191936 9 Apr 2001 "C:\Programmi\ahead\InCD\bak\InCD.exe"
335872 25 Nov 2003 "C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe"
24080 23 Aug 2007 "C:\Programmi\Grisoft\AVG7\avgcc.exe"
369664 30 Jan 2007 "C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe"
411648 1 Apr 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
24080 23 Aug 2007 "C:\Programmi\Grisoft\AVG7\avgcc.exe"
369664 30 Jan 2007 "C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe"
411648 1 Apr 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"


end of report



Si non ho SP2 perchè ho visto che ai miei amici ha generato un pasticcio di problemi con vari programmi e connessioni che poi non andavano più (ma forse c'era qualche altro problema nei pc dei miei amici....mha).
E' così grave non averlo? cosa risolverebbe?

Tornando a 'cosacircauncane' e 'cosacircaunconiglio' si possono eliminare manualmente? e come dovrei fare?

Ringrazio cmq per tutto il vostro aiuto