Dialer su ADSL connessione bloccata

[DinX2100+]

Ciao, ho letto un po di post sull argomento sul sito ed ho capito bene o male come procedere.. tuttavia sono ancora titubante poiche il dialer di cui dovrei sbarazzarmi sembra essere cocciuto.
Non ho ancora avuto la possibilita di mettere le mani sul pc infetto che non e mio, ma dalle informazioni raccolte circa il comportamento di Internet Explorer sembra essere un normale dialer x connessioni 56k
Domani, lunedi pomeriggio, far; uno scan antivirus e con hijackthis sul pc, e postero qui il log per sicurezza. spero che mi aiuterete..
Ho solo un dubbio.. hijackthis devo avviarlo prima che si manifesti il dialer a connessione e i/explorer spento o dopo?

..ringrazio chiunque mi aiutera' in anticipo..

[Luke57]

Ciao, nella fase di rilevazione malware l'importante è far girare hijackthis dalla modalità normale.

[DinX2100+]

Ciao, nella fase di rilevazione malware l'importante è far girare hijackthis dalla modalità normale.

Logfile of HijackThis v1.99.1
Scan saved at 14.24.21, on 29/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\DrVirus\DrVirus.exe
C:\WINDOWS\TEMP\enrnaa.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
E:\Bin\demo32.exe
D:\CD - Programmi Utili - 2.1\Tools\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.virgilio.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.virgilio.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [surtba.exe] C:\DOCUME~1\standard\IMPOST~1\Temp\surtba.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [DrVirus] "C:\Programmi\DrVirus\DrVirus.exe" -sh
O4 - HKLM\..\Run: [enrnaa.exe] C:\WINDOWS\TEMP\enrnaa.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Ho effuato lo scan a i.e. spento, prima che si manifestasse il dialer.. potreste darmi gentilmente una verifica al listato?

dall'analisi online sono risultati sospetti o sconosciuti i seguenti processi:
surtba.exe
enrnaa.exe
demo32.exe

[Luke57]

Ciao, demo32.exe dovrebbe essere qualcosa installato da te.

Scarica ATF cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
(per eliminare i file temporanei)

Apri hijackthis, disconnesso da internet e con le applicazioni e programmi chiusi, clicchi “open the misc tools section”, “open process manager”, cerchi ed evidenzi i seguenti processi (se ci sono):
C:\WINDOWS\TEMP\enrnaa.exe
Premi kill process.


Torni al menu principale con back, premi “scan”, cerchi e spunti le seguenti voci:
O4 - HKLM\..\Run: [surtba.exe] C:\DOCUME~1\standard\IMPOST~1\Temp\surtba.exe
O4 - HKLM\..\Run: [enrnaa.exe] C:\WINDOWS\TEMP\enrnaa.exe
Premi fix checked

riparti in modalità provvisoria:
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

rendi visibili file e cartelle nascosti:
apri risorse del computer, seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

cerca ed elimina, se ci sono, i seguenti file:
C:\WINDOWS\TEMP\enrnaa.exe
C:\DOCUME~1\standard\IMPOST~1\Temp\surtba.exe

vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato tu

Poi avvia ATFCleaner. Clicca sul menu main e poi seleziona la casella Select All. Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!.


Riavvia e posta un nuovo log di hijackthis per controllo

[DinX2100+]

grazie per l'aiuto Luke..

..prima che mi rispondessi ho fatto qualche prova del tipo fixare semplicemente i due file piu sospetti (non demo32) e cancellarli dalle cartelle di origine manualmente, sebbene solo in una sia riuscito in effetti a trovarli. ho riavviato ripetutamente il sistema e per piu di mezzora continua la connessione è rimasta stabile.
secondo te il problema è stato risolto o il viruz si è semplicemente nascosto in attesa di input?

Nel frattempo ho anche effettuato il passaggio da i explorer a firefox che mi sembrava piu sicuro..

[DinX2100+]

Ciao urgo di nuova assistenza..

..dopo aver sistemato il pc quella volta, il virus/dialer è ricomparso con il nome di asrnaa, ho eseguito la procedura completa descritta da Luke, tuttavia dopoqualche giorno è ritornato nuovamente..

Non so piu cosa fare x liberarmi dal virus.. qualche idea?

[Luke57]

Ciao, scarica system scan da qui (è un sistema di diagnosi, non apporta alcuma modifica):
http://www.suspectfile.com/systemscan

spunta tutte le caselle e premi su scan now
Il log viene salvato con il nome di report.txt nella cartella c:/suspectfile

Siccome il log è troppo lungo per essere incollato sul forum, mettilo su
http://www.easy-share.com
(clicchi su browse (sfoglia), selezioni il file di testo con il report e premi upload) e poi ricopi in un post il link che ti verrà fornito per scaricarlo.