PDA

View Full Version : trojan.win32.agent.dxh[WinXP],necessito aiuto e script per avenger

Fridaynight
22-02-2008, 19:44
salve a tutti... spero di non violare nessun regolamento del forum,ma nn sono riuscito a trovare una discussione che mi aiutasse e quindi ne apro una nuova... ho riscontrato avere un trojan.win32.agent.dxh con a-squared mentra prevxCSI mi indica un trojan.nudos...credo il problema sia lo stesso.
Avrei bisogno dello script per avenger per rimettere alloro posto i file nella cartella bak, sarei grato a chiunque mi possa dare una mano...intanto posto il log di findAWF

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\FREEDO~1\BAK

13/09/2007 11.12 2.445.359 fdm.exe
1 File 2.445.359 byte
2 Directory 29.011.030.016 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 29.011.030.016 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\WINDOWS\SMINST\BAK

11/10/2005 09.23 1.187.840 RecGuard.exe
1 File 1.187.840 byte
2 Directory 29.011.025.920 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 09.00 15.360 ctfmon.exe
03/11/2005 00.22 77.824 hkcmd.exe
03/11/2005 00.26 118.784 igfxpers.exe
03/11/2005 00.25 98.304 igfxtray.exe
4 File 310.272 byte
2 Directory 29.011.025.920 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\DIGICOMT\MICHEL~1\BAK

29/10/2003 14.11 462.848 CnxDslTb.exe
1 File 462.848 byte
2 Directory 29.011.025.920 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte
2 Directory 29.011.025.920 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\HP\HPSOFT~1\BAK

16/02/2005 23.11 49.152 HPWuSchd2.exe
1 File 49.152 byte
2 Directory 29.011.025.920 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\HP\QUICKP~1\BAK

12/12/2005 10.39 94.208 QPService.exe
1 File 94.208 byte
2 Directory 29.011.025.920 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\HPQ\DEFAUL~1\BAK

18/05/2005 09.29 233.534 cpqset.exe
1 File 233.534 byte
2 Directory 29.011.025.920 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\HPQ\HPWIRE~1\BAK

0 File 0 byte
2 Directory 29.011.025.920 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\HPQ\QUICKL~1\BAK

22/12/2005 07.57 405.504 EabServr.exe
1 File 405.504 byte
2 Directory 29.011.025.920 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\LAVASOFT\AD-AWA~1\BAK

08/08/2007 14.53 88.024 AAWTray.exe
1 File 88.024 byte
2 Directory 29.011.021.824 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\SYNAPT~1\SYNTP\BAK

11/11/2005 08.04 761.945 SynTPEnh.exe
1 File 761.945 byte
2 Directory 29.011.021.824 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\ADOBE\READER~1.0\READER\BAK

10/10/2007 19.51 39.792 Reader_sl.exe
1 File 39.792 byte
2 Directory 29.011.021.824 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\BAK

09/08/2004 05.03 81.920 issch.exe
09/08/2004 05.03 221.184 ISUSPM.exe
2 File 303.104 byte
2 Directory 29.011.021.824 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\JAVA\JRE16~3.0_0\BIN\BAK

25/09/2007 01.11 132.496 jusched.exe
1 File 132.496 byte
2 Directory 29.011.021.824 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\SONIC\DIGITA~1\MYDVDP~1\BAK

20/10/2005 05.15 102.400 DetectorApp.exe
1 File 102.400 byte
2 Directory 29.011.021.824 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 4D01-8BCD

Directory di C:\PROGRA~1\LOGITECH\DESKTO~1\8876480\PROGRAM\BAK

10/11/2007 20.35 67.128 LogitechDesktopMessenger.exe
1 File 67.128 byte
2 Directory 29.011.021.824 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

2445359 13 Sep 2007 "C:\Programmi\Free Download Manager\fdm.exe"
2445359 13 Sep 2007 "C:\Programmi\Free Download Manager\bak\fdm.exe"
14348 9 Jan 2008 "C:\WINDOWS\SMINST\RecGuard.exe"
1187840 11 Oct 2005 "C:\WINDOWS\SMINST\bak\RecGuard.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
77824 3 Nov 2005 "C:\SwSetup\Video\hkcmd.exe"
14348 9 Jan 2008 "C:\WINDOWS\system32\hkcmd.exe"
77824 3 Nov 2005 "C:\SwSetup\Video\Win2000\hkcmd.exe"
77824 3 Nov 2005 "C:\WINDOWS\system32\bak\hkcmd.exe"
118784 3 Nov 2005 "C:\SwSetup\Video\igfxpers.exe"
14348 9 Jan 2008 "C:\WINDOWS\system32\igfxpers.exe"
118784 3 Nov 2005 "C:\SwSetup\Video\Win2000\igfxpers.exe"
118784 3 Nov 2005 "C:\WINDOWS\system32\bak\igfxpers.exe"
98304 3 Nov 2005 "C:\SwSetup\Video\igfxtray.exe"
14348 9 Jan 2008 "C:\WINDOWS\system32\igfxtray.exe"
98304 3 Nov 2005 "C:\SwSetup\Video\Win2000\igfxtray.exe"
98304 3 Nov 2005 "C:\WINDOWS\system32\bak\igfxtray.exe"
462848 29 Oct 2003 "C:\CnxDslTb.exe"
14348 9 Jan 2008 "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
462848 29 Oct 2003 "C:\Programmi\digicom\Michelangelo USB ADSL\Common\CnxDslTb.exe"
462848 29 Oct 2003 "C:\Programmi\digicom\Michelangelo USB ADSL\Wan\CnxDslTb.exe"
462848 29 Oct 2003 "C:\Programmi\digicomt\Michelangelo USB ADSL\bak\CnxDslTb.exe"
14348 9 Jan 2008 "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
49152 16 Feb 2005 "C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe"
14348 9 Jan 2008 "C:\Programmi\HP\QuickPlay\QPService.exe"
94208 12 Dec 2005 "C:\Programmi\HP\QuickPlay\bak\QPService.exe"
14348 9 Jan 2008 "C:\Programmi\HPQ\Default Settings\cpqset.exe"
233534 18 May 2005 "C:\Programmi\HPQ\Default Settings\bak\cpqset.exe"
14348 9 Jan 2008 "C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe"
405504 22 Dec 2005 "C:\Programmi\HPQ\Quick Launch Buttons\bak\EabServr.exe"
87392 30 Aug 2007 "C:\Programmi\Lavasoft\Ad-Aware 2007\AAWTray.exe"
88024 8 Aug 2007 "C:\Programmi\Lavasoft\Ad-Aware 2007\bak\AAWTray.exe"
761945 11 Nov 2005 "C:\SwSetup\Touchpad\SynTPEnh.exe"
14348 9 Jan 2008 "C:\Programmi\Synaptics\SynTP\SynTPEnh.exe"
761945 11 Nov 2005 "C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe"
761945 11 Nov 2005 "C:\Programmi\Synaptics\SynTP\Media\SynTPEnh.exe"
14348 9 Jan 2008 "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
39792 10 Oct 2007 "C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe"
14348 9 Jan 2008 "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe"
81920 9 Aug 2004 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe"
14348 9 Jan 2008 "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe"
221184 9 Aug 2004 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe"
36975 10 Nov 2005 "C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe"
49263 9 Nov 2006 "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
83608 14 Mar 2007 "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
132496 12 Jul 2007 "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
14348 9 Jan 2008 "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
144784 14 Dec 2007 "C:\Programmi\Java\jre1.6.0_04\bin\jusched.exe"
132496 25 Sep 2007 "C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe"
14348 9 Jan 2008 "C:\Programmi\Sonic\DigitalMedia Plus v7\MyDVD Plus\DetectorApp.exe"
102400 20 Oct 2005 "C:\Programmi\Sonic\DigitalMedia Plus v7\MyDVD Plus\bak\DetectorApp.exe"
364560 9 Jan 2008 "C:\Programmi\Logitech\SetPoint\LogitechUpdate.exe"
14348 9 Jan 2008 "C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"
67128 10 Nov 2007 "C:\Programmi\Logitech\Desktop Messenger\8876480\Program\bak\LogitechDesktopMessenger.exe"


end of report


oltre a preoccupanti rallentamenti di ie mi si stanno rimescolando le icone su desktop e inoltre le scansioni con avast mostrano l impossibilita a scansionare un numero elevato di file,ma credo che questa sia la riprova di come il malware in questione sia un'evoluzione del trojan.zonebac
deneb87
22-02-2008, 19:51
ci sono numerosi thread che riguardano questo trojan e varianti

in attesa della decisione se indirizzarti o meno nel thread adatto dal moderatore e chiudere questo in quanto doppione, o lasciarlo aperto per assicurare che questa sia l'unico problema del tuo pc, inizio a fare lo script

ps: hai ben 5 o 6 versioni di java, non pensi che una sia sufficiente? :D
una volta risolto questo problema provvedi a disinstallarle tutte e lasciare solo la versione 6 update 4
Fridaynight
22-02-2008, 19:57
Ti ringrazio intanto per la tempestività... e per i consigli(sono un po niubbo per queste cose).
Se la discussione viene reindirizzata come me ne accorgo?
Grazie ancora
deneb87
22-02-2008, 20:15
intanto per non stare senza far niente ecco lo script per avenger
una volta eseguito, nuovo scan di findawf

edit: il ripristino di sistema è disattivato?

Files to move:

C:\Programmi\Free Download Manager\bak\fdm.exe | C:\Programmi\Free Download Manager\fdm.exe
C:\WINDOWS\SMINST\bak\RecGuard.exe | C:\WINDOWS\SMINST\RecGuard.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\SwSetup\Video\bak\hkcmd.exe | C:\SwSetup\Video\hkcmd.exe
C:\WINDOWS\system32\bak\hkcmd.exe | C:\WINDOWS\system32\hkcmd.exe
C:\SwSetup\Video\Win2000\bak\hkcmd.exe | C:\SwSetup\Video\Win2000\hkcmd.exe
C:\SwSetup\Video\bak\igfxpers.exe | C:\SwSetup\Video\igfxpers.exe
C:\WINDOWS\system32\bak\igfxpers.exe | C:\WINDOWS\system32\igfxpers.exe
C:\SwSetup\Video\Win2000\bak\igfxpers.exe | C:\SwSetup\Video\Win2000\igfxpers.exe
C:\WINDOWS\system32\bak\igfxtray.exe | C:\WINDOWS\system32\igfxtray.exe
C:\Programmi\digicomt\Michelangelo USB ADSL\bak\CnxDslTb.exe | C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
C:\Programmi\digicom\Michelangelo USB ADSL\Common\bak\CnxDslTb.exe | C:\Programmi\digicom\Michelangelo USB ADSL\Common\CnxDslTb.exe
C:\Programmi\digicom\Michelangelo USB ADSL\Wan\bak\CnxDslTb.exe | C:\Programmi\digicom\Michelangelo USB ADSL\Wan\CnxDslTb.exe
C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe | C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\QuickPlay\bak\QPService.exe | C:\Programmi\HP\QuickPlay\QPService.exe
C:\Programmi\HPQ\Default Settings\bak\cpqset.exe | C:\Programmi\HPQ\Default Settings\cpqset.exe
C:\Programmi\HPQ\Quick Launch Buttons\bak\EabServr.exe | C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\bak\AAWTray.exe | C:\Programmi\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\SwSetup\Touchpad\bak\SynTPEnh.exe | C:\SwSetup\Touchpad\SynTPEnh.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe | C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Synaptics\SynTP\Media\bak\SynTPEnh.exe | C:\Programmi\Synaptics\SynTP\Media\SynTPEnh.exe
C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe | C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe | C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe | C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Sonic\DigitalMedia Plus v7\MyDVD Plus\bak\DetectorApp.exe | C:\Programmi\Sonic\DigitalMedia Plus v7\MyDVD Plus\DetectorApp.exe
C:\Programmi\Logitech\SetPoint\bak\LogitechUpdate.exe | C:\Programmi\Logitech\SetPoint\LogitechUpdate.exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\bak\LogitechDesktopMessenger.exe | C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Java\jre1.5.0_10\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\Java\jre1.6.0_01\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\Java\jre1.6.0_02\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\Java\jre1.6.0_04\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_04\bin\jusched.exe
xcdegasp
22-02-2008, 20:20
complimenti deneb87 la colpa sarebbe del Moderatore che ha poco tempo da dedicarvi così vi potete ritenere nella posizione di fare cio che volete a discapito del regolamento del forum.

interessante :)

visto che vuole solo lo script per avenger perchè non dirottarlo nel thread "Dialer Internet Connection" ?
http://www.hwupgrade.it/forum/showthread.php?t=1651594


chiudo il thread essendo un doppione.