[win XP] Win32:Agent-NOH

[PhantomLord]

Ciao a tutti, Avast mi segnala che il file "C:\WINDOWS\System32\sqlwhfit.exe\[FSG]" è infetto dal Trojan "Win32Agent-NOH[Trj]"; il problema è che l'antivirus non riesce a rimuoverlo, nè a spostarlo.
Dite che posso tranquillamente cancellare il file all' avvio con KillBox?
Su Google "sqlwhfit.exe" non esiste, e mi fa pensare che il file sia creato di sana pianta...
Cosa mi consigliate di fare?
Grazie!

[Chill-Out]

Segui questa analisi preliminare http://www.hwupgrade.it/forum/showthread.php?t=1599737 ed allega i log secondo le Regole di Sezione, grazie.

[PhantomLord]

Scusate il ritardo...dunque ho seguito tutta la guida (ADSrevealer comunque non riusciva a farmi il clean, dandomi un continuo "Error deleting the file stream"), ma alla fine nessuno mi vedeva sto virus...
Ho infine riprovato con avast, solo che anzichè dirgli di cancellare il virus, gli ho detto di spostarlo e rinominarlo...e ce l'ha fatta!
Da lì poi l'ho cancellato con un programmino "Agent.VP trojan cleaner (c)", trovato non ricordo dove.
Il problema mi sembra risolto cmq...Ciao e grazie!

[murack83pa]

EDIT

[PhantomLord]

[murack83pa]

ciao,scusami ma avevo sbagliato 3d.....cmq,a che c siamo: xchè nn posti i log dei programmi indicati dalla guida...cosi siamo tutti piu sicuri

[xcdegasp]

Quote:

Originariamente inviato da PhantomLord

Scusate il ritardo...dunque ho seguito tutta la guida (ADSrevealer comunque non riusciva a farmi il clean, dandomi un continuo "Error deleting the file stream"), ma alla fine nessuno mi vedeva sto virus...
Ho infine riprovato con avast, solo che anzichè dirgli di cancellare il virus, gli ho detto di spostarlo e rinominarlo...e ce l'ha fatta!
Da lì poi l'ho cancellato con un programmino "Agent.VP trojan cleaner (c)", trovato non ricordo dove.
Il problema mi sembra risolto cmq...Ciao e grazie!

probabilmente perchè agiva su unità ottiche (dvd e cd) se non hai impostato che scansionasse l'hd lui scansiona qualsiasi cosa

[PhantomLord]

Quote:

Originariamente inviato da xcdegasp

probabilmente perchè agiva su unità ottiche (dvd e cd) se non hai impostato che scansionasse l'hd lui scansiona qualsiasi cosa

nono, i file che mi trovava erano comuni mp3 od immagini che ho nella cartella documenti, sul disco fisso!Inoltre lettori cd/dvd erano vuoti...
Per quanto rigurda i log, invece, a-squared non ha trovato niente, e neanche PrevXCSI ("Known malicious programs: 0"); neanche la scansione di TrendMicroHousecall ha trovato alcun virus.
L'unica cosa che non capisco sono tutti i file skippati dallo scanner online di Kaspersky...tra i quali compare anche il presunto virus (sqlwhfit.exe) che poi avast mi ha tolto (allego).
Il log di Hijack l'ho fatto analizzare online, ma gradirei un parere esperto
Ciao e grazie ancora!

[murack83pa]

c'è qualke voce da fixare:

Quote:

O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} -
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} -
O23 - Service: NetTcv - Unknown owner - C:\Programmi\File comuni\System\VRf.exe (file missing)

nn so la gravità dell'ultima voce,vediamo cosa dicono gli altri

sicuramente:
devi assolutamente aggiornare internet explorer alla versione 7
devi aggiornare anche java, vai qui
e devi aggiornare acrobat alla versione 8,

bye

[Chill-Out]

potresti allegare il log di Prevx CSI, thx.

[Riverside]

Quote:

Originariamente inviato da PhantomLord

Il log di Hijack l'ho fatto analizzare online, ma gradirei un parere .....

Direi che non ci siamo.

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Rliancia HThis è fixa le voci che ti indico in rosso

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe"

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" –start

O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} –

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} –

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) –

O23 - Service: NetTcv - Unknown owner - C:\Programmi\File comuni\System\VRf.exe (file missing)


gli ADS puliscili in questo modo:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Scarica questi software e tool per eseguire una pulizia:

CCLEANER: clicca qui per il download
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

PANDA ANTIROOTKIT: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione

TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download
scompattalo ed eseguilo (è un tool stand-alone) e vedi se rileva qualcosa

Al termine, riavvia, ed allega un nuovo log di HThis
Inoltre, allega anche il log di PrevX CSI che ti è stato richiesto prima, da Chill

Altra cosa: ti suggerisco di cambiare Antivirus.

[PhantomLord]

Dunque per ora ho aggiornato tutti i software indicati da murack;
Il log di PrevxCSI è il seguente:

prevxcsi 2.log - 0.30MB

Inoltre prima di procedere con la tua guida, Riverside, volevo chiederti una cosa: la voce "CnxDSLtb.exe" che mi dici di cancellare non è mica il servizio per il modem adsl?Se la tolgo il modem mica non parte...no?
Grazie

[murack83pa]

il log mi sembra pulito
il file indicato da river si riferisce tipo ad un pannello di controllo del modem...diciamo che nn è essenziale che parta in auotomatico, il tuo modem funziona lo stesso....diciamo che è una voce che se "fixata" serve a te x ottimizzare l'avvio di windows...

ora,cmq, ti direi di incominciare a seguire tutta la guida di river

bye

[Chill-Out]

si i log di Prevx CSI è OK

[PhantomLord]

Dunque ho seguito tutta la guida di River: Hijack non ha trovato ADS, mentre i tools di panda e trendmicro non hanno rilevato nulla; l'unico problema è che hijack non riesce a cancellare le voci che mi indichi...(ho disattivato il ripristino configurazione di sistema su tutte le unità)
Ecco il nuovo log...
Comunque che antivirus free mi consiglieresti (che non sia AVG)?
Grazie

[Chill-Out]

Quote:

Originariamente inviato da PhantomLord

Dunque ho seguito tutta la guida di River: Hijack non ha trovato ADS, mentre i tools di panda e trendmicro non hanno rilevato nulla; l'unico problema è che hijack non riesce a cancellare le voci che mi indichi...(ho disattivato il ripristino configurazione di sistema su tutte le unità)
Ecco il nuovo log...
Comunque che antivirus free mi consiglieresti (che non sia AVG)?
Grazie

fixali da modalità provvisoria F8

[PhantomLord]

neanche in modalità provvisoria me le cancella....

[Chill-Out]

Ma quando fixi IE è chiuso vero?

apri IE - clicca su Strumenti - Opzioni Internet - Generale - Cronologia esplorazioni - clicca su Impostazioni - Visualizza oggetti - selezionali

O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} –

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} –

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) –

ed eliminali

[PhantomLord]

Li ho cancellati!Il problema era il programmino di spybot che tiene il registro sotto controllo, l'ho disinstallato (eppure gli dicevo di applicare le modifiche al registro...boh) ed è andato tutto liscio.
Vi allego il log per il controllo finale...magari ditemi per favore se posso/devo cancellare altra roba...
Un' altra cosa: mi compaiono due voci di file missing riguardo l'antivirus, anche se i relativi servizi funzionano...

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Che faccio?

[Riverside]

Quote:

Originariamente inviato da PhantomLord

Comunque che antivirus free mi consiglieresti (che non sia AVG)?

AVIRA ANTIVIR PERSONAL EDITION FREE: clicca qui per il download
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir pubblicata da Juninho (leggi, attentamente, i primi tre post), Se necessiti di informazioni o spiegazioni, posta, in quella discussione.

Per quanto riguarda il log di HThis, devi ancora fixare queste voci:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

Una volta fixate le voci:

dumprep 0 -k devi disabilitarlo dall'avvio, quindi:
● Start
● Esegui
● msconfig
● apri la scheda Avvio e lo deselezioni

dopo il riavvio, portati in
● C:\
● windows
● pchealth
● errorrep
● userdumps e cancellarne il contenuto