PDA

Visualizza versione completa : TROJAN WIN32 AGENT


mau1989
15-05-2007, 10.04.53
buongiorno,


io un po che ho un virus (penso) che praticamente avast mi avverte sempre di una connessione ad un sito l.mezzicodec.net praticamente mi dice di chiudere la connessione pero il virus dice di chiamarsi trojan win32 agent, ora io non so come rimuoverlo visto che avast non lo rimuove nonostante ne ha trovati un 3-4 ma niente, poi ho preso altri tool, es. hijack, spybot, ad-aware, ccleaner, regcleaner.

La cosa + brutta che non mi permette di andare in modalita provvisoria quindi penso che potrei anche toglierlo da solo senza problemi ma purtroppo non potendo sfruttare la modalita provvisoria ho paura che anche eliminando il file poi si ricrei al prossimo riavvio (premetto che ho il ripristino del sistema disattivato).

un altro problema che ultimamente mi si riavvia quasi sempre il computer con delle schermate blu (BIOS)
riporto i messaggi + importanti tanto il resto uguale per tuti:

KERNEL_DATA_INPAGE_ERROR

win32k.sys -address etc...

questo quanto poi ho trovato una pagina interessante di cui spiega il mio trojan che ho dentro il pc.

che riporto qui magari vi di aiuto http://www.avira.com/it/threats/section/fulldetails/id_vir/3232/tr_agent.vg.8.html


io sono un sistemista unix/linux e sono nuovo di questo forum visto che windows lo uso da molto tempo ma viva la faccia di linux per quanto riguarda virus ed altro non li avevo mai presi! purtroppo windows ha questa maledettissima sfortuna di trovarsene il 100% di quelli che sono in rete tutti per lui :D comunque vi ringrazio in anticipo spero che sappiate come fare!

GRAZIE ANCORA E COMPLIMENTI PER IL SITO ILLUSTRATO BENISSMO MAI VISTO UNO COSI SU WINDOWS, MOLTO CURATO E STRUTTURATO BENE!

A DOPO!(SPERO) :wall: :wall: :wall: :inkaz: :inkaz:

Perusar
15-05-2007, 10.11.52
Io comincerei, se puoi, a postare un log di hijackthis ;)

e benvenuto! :)

mau1989
15-05-2007, 11.30.31
Logfile of HijackThis v1.99.1
Scan saved at 11.25.09, on 15/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ULI5289\ALi5289.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Tenable\Nessus\nessusd.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\VMware\VMware Workstation\vmware-authd.exe
C:\Programmi\File comuni\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programmi\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\VEXPLITE\VIRITEXP.EXE
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O4 - HKLM\..\Run: [ALi5289] C:\Programmi\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E9C713D-74FA-464A-84CC-E800CC5AC244}: NameServer = 151.99.125.2,151.99.125.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Tenable Nessus - Tenable Network Security - C:\Programmi\Tenable\Nessus\nessusd.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programmi\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programmi\File comuni\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programmi\RealVNC\VNC4\WinVNC4.exe" -service (file missing)



io di solito per controllare il log ho visto che lo si puo fare con un sito online sempre di hijack a quanto pare non sembra ci siano cose infette!

comunque voi indubbiamente ne sapete di pi quindi accomodatevi e speriamo che troviamo sto virus :D

grazie ancora :mm: :mm: :mm: :mm: :mm:

crazy.cat
15-05-2007, 13.33.33
Hai provato a cancellare i file infetti, o quelli che vengono segnalati nel link di avira, utilizzando unlocker o killbox?

Il log di hijackthis in effetti pulito.

mau1989
15-05-2007, 13.37.28
unlocker e killbox mai usati ora provo a scaricarli in rete e vediamo che fanno!

grazie ti faccio sapere

mau1989
15-05-2007, 13.42.25
guarda li ho visti ma non sono programmi che mi servono non penso che mi siano di aiuto


da quanto ho capito servono a sbloccare dei tipi di file.. io invece vedendo in giro ho trovato che puo essere un errore a livello di file di paging quell'errore di KERNEL_DATA_INPAGE_ERROR perch io il virus l'ho eliminato proprio ora con un tool (virIT mi sembra si chiami) comunque ora dovrei risolvere il prob che mi ha creato il virus!

sai dirmi altro a riguardo!?

giancarlof
16-05-2007, 06.14.35
http://www.hwupgrade.it/forum/archive/index.php/t-450632.html

Non mi sembra di aver visto scritto il tuo sistema operativo

mau1989
16-05-2007, 10.28.14
ho win xp con sp2, pero comunque ho risolto tutto, per il virus era praticamente un anti-spyware che me lo ha tolto, poi per il messaggio strano blu, diciamo che avevo intenzione di mettere linux, poi per mentre voleva formattare mi si riavviava da solo, ed anche se rimettevo windows xp sp2, quindi li ho capito che il prob era hardware e non software, poi mi sono affacciato sul mio pc ed ho notato che il cavo del sata aveva lo slot completamente rotto ed era attaccato in modo molto maluccio!

da li ho cambiato slot (per fortuna ne avevo 2) ed tutto tornato come prima... era praticamente l'hd che non riusciva a comunicare con gli altri dispositivi per la mancanza di bus!


grazie a tutti lo stesso!

:D:D:D:D:D:D:D :act: :act: :act: