Ciao a tutti.
Ho dovuto reinstallare Windows Xp,ora ho questo programma che si apre in automatico qualche secondo dopo l'avvio del sistema,e mi occupa il 40% delle risorse.
Ho fatto una scansione con avast e una online con Panda;nessuno dei due ha rilevato virus.
Ma allora che cos'è?E,soprattutto,come lo elimino?

PS.adesso,dopo un paio di minuti che lo avevo chiuso,si è riavviato nuovamente da solo....:muro:

Aspetto con ansia i vostri pareri!

worm agobot.KJ :)

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.KJ

qui per informazioni su come eliminarlo manualmente o automaticamente con i tool della trend :)

Ciao

Eraser :)

PS: mi mandi il file a [email protected]? :D grazie :D

Ma non è possibile!!!!
Ma tutti da me vengono?:D
In più il link non mi funziona...sarà colpa del virus?
Beh cmq cerco di mandarti il file al più presto.

Grazie mille eraser!!!

Originariamente inviato da mantes
Ma non è possibile!!!!
Ma tutti da me vengono?:D
In più il link non mi funziona...sarà colpa del virus?
Beh cmq cerco di mandarti il file al più presto.

Grazie mille eraser!!!

eh si scusa :D :D :D

il worm ha modificato il file hosts :)


HOSTS File Modification

Most variants of this malware modifies the HOSTS file, which contains the host name to IP address mappings. The said file is usually located in the following folders:


%System%\drivers\etc\hosts
%Windows%\hosts
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 95, 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP. %Windows% is the default Windows folder, usually C:\Windows or C:\WINNT.)

The malware appends a list of Web site addresses and directs it to the loopback address (127.0.0.1). This prevents the infected user from accessing the specified location. Instead, the user is redirected to the local Web site of the infected machine. The blocked Web sites are as follows:


avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com


cancella dal file hosts queste voci :) poi potrai accedere al sito della trend :)

Ciao!
Allora ho fatto tutto.
Dopo averti inviato l'e-mail ho seguito le indicazioni che hai postato e sono riuscito ad accedere alla pagina della trendmicro.
Ho scaricato il tool di rimozione e in effetti mi ha trovato il virus.
L'opzione di rimozione automatica era spuntata quindi in teoria lo dovrebbe aver rimosso.
Dico "in teoria" perchè succedono ancora cose strane....

Dopo aver riavviato ho cercato di eliminare anche le voci dal registro che si riferiscono a questo virus,seguendo le istruzioni che si trovano sempre nella pagina da te postata.
Solo che il registro,dopo neanche una decina di secondi che sta aperto....pluf!mi si chiude da solo!
Ho pensato che magari potessero essere le ram :what:
Così riavvio un'altra volta e metto i timing di defult.
Ma,niente,il registro mi fa la stessa cosa.
In più,subito dopo il caricamento del desktop si aprono delle finestre dos,come se si stesse caricando qualcosa....
Tutto cioè moooolto sospetto,vero?
Insomma,per farla breve:Heeeelp!:p

Nooooo!
E' ancora lui!!!
ho riprovato ad andare alla pagina della trend e mi ha ridato "impossibile trovare la pagina".
O aperto il task manager e infatti eccolo ancora lì!Bello tranquillo che si suca il 30% della cpu!:muro:
E sta volta,come dire...si è portato anche gli amici :D !
C'è un'altro processo aperto che non ho mai visto prima,si chiama Smsls.exe,che si mangia un altro 20%....
:cry: :cry:

Ciao.
Allora,ho fatto una scansione in modalità provvisoria con il pacchetto di rimozione della trend.Solo che mi dava questo avviso,appena avviavo il programma:
"Pattern File LPTSVPN.* is missing,please dowload a copy.
Questo però non pregiudicava il funzionamento del programma,almeno per quanto riguarda la scansione,che mi ha fatto regolarmente.Questa volta non ha trovato il virus.Ho fatto allora la scansione nline,per essere sicuro al 1000%,ma invece questa mi ha rilevato ancora l'Agobot.
Ho provato a seguire le istruzioni per togliere le voci nel registro,che questa volta funziona.Ho tolto le voci relative al virus,ho riavviato,e sembra che la situazione siaun po migliorata.
Non modifica più il file hosts,e non si è aperto più il processo succhia-risorse.
Fatto sta però,che,in seguito ad una ennesima scansione,il virus risulta essere ancora nel sistema.
Ci capisco sempre meno.Ho fatto anche una scansione con HijackThis,ecco il risultato:
Logfile of HijackThis v1.97.7
Scan saved at 11.57.45, on 03/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Mantes\Documenti\HijackThis.exe
C:\WINDOWS\System32\taskmgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/7b77298065d0b9/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38141.0700231481.


Per inciso il nome del processo con cui si presenta Agobot è cambiato,ora è Smsls.exe.Questo è il nome del programma che ho tolto dal registro,di Wuautof.exe non c'era traccia.

Scusate per la lungaggine dei post,ma essendo un completo ignorante in materia,non so quale informazioni siano importanti e quali no,quindi ho cercato di dirvi tutto quello che potevo.


Ciauzz!

allora:

in modalità provvisoria lancia il tool della symantec http://securityresponse.symantec.com/avcenter/FxGaobot.exe e fai una scansione. Te lo dovrebbe rimuovere.

poi prima di ripartire installa un firewall ;)

Alla fine riprova :)

Ciao

Eraser :)

Siì questo tool ha funzionato alla grande.
Grazie della pazienza dimostratami,eraser!!!:ave:

figurati :) mi pagano per fare questo :)


ho detto che mi pagano???? :wtf: devo smettere di bere....:muro:

Originariamente inviato da eraser
figurati :) mi pagano per fare questo :)


ho detto che mi pagano???? :wtf: devo smettere di bere....:muro:


farebbero un affare invece se ti pagassero x stare zitto :asd: :rotfl:

:banned: