aiuto problema virus Win32:Agent-BAG [Trj] [Archivio]

View Full Version : aiuto problema virus Win32:Agent-BAG [Trj]

andreabert

02-07-2007, 11:52

ciao raga ho un prpblema.. avast continua a trovarmi questo virus

Win32:Agent-BAG [Trj]
in questo percorso

C:\DOCUME~1\andrea1\IMPOST~1\Temp\a2archive\setup.exe

solo che non lo cancella.. io non trovo il percorso.cio'e nn ho una cartella c:\DOCUME~1...
cosa cavolo faccio???

ciao
andy

ho fattto partire hijackthis e mi ha dato ste pappardella...
mo che faccio??

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12.50.02, on 02/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\NVIDIA Corporation\nTune\nTuneService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\iolo\System Mechanic Professional 6\SMSystemAnalyzer.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\Programmi\SEC\MagicTune3.6_Client_pivot\GammaTray.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\andrea1\Documenti\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Yahoo! IE Suggest - {5A263CF7-56A6-4D68-A8CF-345BE45BC911} - C:\Programmi\Yahoo!\Search\YSearchSuggest.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\Yahoo!\Common\yiesrvc.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SMSystemAnalyzer] "C:\Programmi\iolo\System Mechanic Professional 6\SMSystemAnalyzer.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: MagicTune3.6.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmi\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15029/CTPID.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmi\File comuni\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programmi\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programmi\Spyware Doctor\sdhelp.exe

--
End of file - 10150 bytes

lancetta

02-07-2007, 12:41

hum il log sembra apposto a livello malware...fai una cosa scarica ccleaner da QUI (http://www.filehippo.com/download/9838386a743262a2d7aaedfb3b432ae2/download/) lo installi e gli fai fare un pò di pulizia (ottimo programma serve sempre) avvii l'exe (dopo installato) e dalla prima schermata "pulizia" fai con le impostazioni di default "avvia pulizia" potrebbe metterci un pò se non hai mai ottimizzato il sistema.Ho visto che hai anche spyware doctor,aggiornalo e fai fare una scansione anche a lui,e vedi come và.Può darsi che il virus sia solo nei temporanei cosa che cleaner pulirà.
Facci sapere ciao

c.m.g

02-07-2007, 12:45

sicuramente ccleaner farà il suo dovere.
usa browser più sicuri tipo opera o firefox con relativi plugin di sicurezza.

lancetta

02-07-2007, 12:55

sicuramente ccleaner farà il suo dovere.
usa browser più sicuri tipo opera o firefox con relativi plugin di sicurezza.

ribadire è sempre meglio he he he:D :D :D

c.m.g

02-07-2007, 12:55

ribadire è sempre meglio he he he:D :D :D

beh io ho solo sottolineato il tuo ottimo consiglio! ;)

lancetta

02-07-2007, 13:04

beh io ho solo sottolineato il tuo ottimo consiglio! ;)

e io il tuo dell'altro 3d:D :mano: :cincin:

Saluti

c.m.g

02-07-2007, 13:09

e io il tuo dell'altro 3d:D :mano: :cincin:

Saluti

:D :cincin:

Chill-Out

02-07-2007, 14:34

Io prenderei anche in considerazione la sostituzione di Avast :D eventualmente con Antivir
Ciao

oasis90

02-07-2007, 14:38

Io prenderei anche in considerazione la sostituzione di Avast :D eventualmente con Antivir
Ciao

quoto..;)

c.m.g

02-07-2007, 15:45

quoto..;)

beh quoto sul "quoto" :D

Chill-Out

02-07-2007, 15:49

Beh mi sembra di capire che "quotiamo" tutti :D

juninho85

02-07-2007, 16:04

in questo percorso

C:\DOCUME~1\andrea1\IMPOST~1\Temp\a2archive\setup.exe

solo che non lo cancella.. io non trovo il percorso.cio'e nn ho una cartella c:\DOCUME~1...
cosa cavolo faccio???
il percorso è
C:\DOCUMENTS AND SETTINGS\andrea1\IMPOSTAZIONI\Temp\a2archive\setup.exe

andreabert

02-07-2007, 19:15

ciao raga
grazie a tutti
allora fatto cccleaner. ha tolto 3800 files... bha... ora vediam.
probabilemtne il file e' solo nei temporanei, ma il fatto e' che avast o spyware doc o aw personal non rilevano nulla.
l'unico che mi trova qualcosa e' la scansione online con trendmicro.
trova il troian, lo elimino, mi richiede ancora la scansione, e lo ritrova.. in pratica nn se ne va... bha---

cmq ora mi scarico antivir e lo sostituisco ad avast..
poi v faccio sapere
intanto grazie a tutti

c.m.g

02-07-2007, 19:33

lancetta

02-07-2007, 20:28

disabilita il la funzione di 2ripristino configurazione di sistema" altrimenti te lo ritroverai a vita anche dopo una pulizia.

cacchio! me ne ero completamente dimenticato :doh: visto che 4 occhi sono meglio di 2,figurati un forum intero:D

Beh mi sembra di capire che "quotiamo" tutti

bello il megaquotone generale:D :D ;)

c.m.g

02-07-2007, 22:03

cacchio! me ne ero completamente dimenticato :doh: visto che 4 occhi sono meglio di 2,figurati un forum intero:D

bello il megaquotone generale:D :D ;)

:D

andreabert

02-07-2007, 23:03

azz ma il ripristino a me e' cosi utile...:cry:

c.m.g

02-07-2007, 23:14

azz ma il ripristino a me e' cosi utile...:cry:

beh non si può avere tutto dalla vita! comunque potresti usatr programmi per il backup tipo acronis true image che è migliore.

Bugs Bunny

03-07-2007, 09:59

azz ma il ripristino a me e' cosi utile...:cry:

una volta finita la disinfezione lo potrai riabilitare

c.m.g

03-07-2007, 10:27

una volta finita la disinfezione lo potrai riabilitare

scusami se ti contraddico, non è mio uso e costume con gli amici ;) ma se lo riabilita riavrà un giorno lo stesso problema con alcuni tipi di malware. perchè non utilizzare programmi comodi come il true image? ;)

Bugs Bunny

03-07-2007, 11:06

in tal caso lo disabilita di nuovo :D

Non ho mai provato quel programma,probabilmente hai ragione

lancetta

03-07-2007, 14:14

scusami se ti contraddico, non è mio uso e costume con gli amici ;) ma se lo riabilita riavrà un giorno lo stesso problema con alcuni tipi di malware. perchè non utilizzare programmi comodi come il true image? ;)

in tal caso lo disabilita di nuovo :D

Non ho mai provato quel programma,probabilmente hai ragione

se mi concedete c'è una terza opzione che è questa:

ERUNT (http://www.larshederer.homepage.t-online.de/erunt/) programma simile al ripristino ma completamente svincolato dal sistema permette di creare una copia di backup di tutti i file che compongono il registro memorizzandola in una cartella o su chiavetta. L'utilizzo del programma è molto semplice,basta specificare la cartella di destinazione per i file di backup fatto! Poi, per ripristinare la copia del registro,creata, basta fare doppio clic sul file ERDNT.EXE.
Per il programma in italiano basta estrarre il contenuto del file zip erunt-loc_it.zip nella stessa cartella del programma.Personalmente lo uso da molto e mi ha risolto casini in passato.Il programma è un pò vecchiotto ma svolge egregiamente la sua funzione.....Secondo me è una valida alternativa al ripristino:D

Saluti

andreabert

03-07-2007, 19:52

raga... ho vinto il virus finalmente..
allora.. ho tolto avast e intallato active virus shield , e mi ha tolto un paio d troian
poi visto che il trend micro trovava 2 grayware ma nn riusciva a toglierli , ho fatto partire in provvisoria xp e ho scannato da li.. trovati e eliminati..
ora provo a ved se per caso in modalita' normale c son ancora...
magari ho cantato vittoria presto...
ciao
andy

c.m.g

03-07-2007, 20:00