|
|||||||
|
|
|
 |
|
|
Strumenti |
05-06-2007, 13:39
|
#1 |
|
Member
Iscritto dal: Apr 2007
Città: Pisciatoio d'Italia.
Messaggi: 69
|
TR/Agent.amf
Salve a tutti! Torno a postare perchè purtroppo è insorto un nuovo problema nel pc: un altro virus.
Dal momento che ho provato a dare un occhiata in giro e non avendo trovato nulla a riguardo (nemmeno nel database dell'antivirus), mi affido a voi, sperando che ci capiate più di me. Il nome del Trojan è TR/agent.amf. Ogni volta che seleziono "accesss deny", dopo pochi secondi ricompare. Ho provato a far analizzare il log su Hijackthis.de ma a parte una voce sospetta che ho eliminato non c'era nient'altro apparentemente collegato al virus. Sono munita di AntiVir, Spybot, SpywareBlaster, Ad-Aware Se, se conoscete qualcos'altro capace di neutralizzare il virus ve ne sarei grata, nel frattempo allego il log di Hijack, grazie in anticipo. Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\netdde.exe C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\Programmi\Norton SystemWorks\Norton GoBack\GBPoll.exe C:\WINDOWS\system32\nvsvc32.exe E:\programmi\Sunbelt Personal Firewall\kpf4ss.exe C:\WINDOWS\system32\svchost.exe E:\programmi\Sunbelt Personal Firewall\kpf4gui.exe C:\WINDOWS\Explorer.EXE E:\programmi\Sunbelt Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\Programmi\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\MSN Messenger\usnsvc.exe C:\Programmi\Mozilla Firefox\firefox.exe E:\CCleaner\ccleaner.exe C:\Programmi\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Documents and Settings\gina\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/italian R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [VF0070 STISvc] RunDLL32.exe V0070Pin.dll,RunDLL32EP 513 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab47946.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AF197CDD-8988-4D69-B13C-55A60F20E7B0}: NameServer = 62.211.69.150 212.48.4.15 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe (file missing) O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton GoBack\GBPoll.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - E:\programmi\Sunbelt Personal Firewall\kpf4ss.exe O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLITE\viritsvc.exe (file missing) |
|
|
|
05-06-2007, 14:25
|
#2 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
fai una scansione on line con questo servizio:
F-Secure OnLine Scanner - scansione on-line, servizio su Virus/Spyware, esegue Scan/Clean Sito fornitore F-Secure http://support.f-secure.it/ita/home/ols.shtml disabilita il servizio di rispristino configurazione di sistema.
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
|
|
|
05-06-2007, 15:19
|
#3 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
io la farei anche con un antirootkit
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
05-06-2007, 16:15
|
#4 |
|
Member
Iscritto dal: Apr 2007
Città: Pisciatoio d'Italia.
Messaggi: 69
|
Non riesco a scaricare F-Secure Online, si blocca, inoltre ho un isdn e sono più di 24 mega :/
Inoltre la finestra del virus ricompare ogni pochi secondi, è davvero snervante. Non ci sarebbe un modo per disfarsene che non preveda lo scaricamento di file troppo pesanti? Ho fatto la scansione con Panda antirootkit e il risultato è questo :  Per quanto riguarda Rootkitrevealer: HKU\S-1-5-21-1454471165-2111687655-682003330-1003\RemoteAccess\InternetProfile 18/05/2006 13.20 23 bytes Data mismatch between Windows API and raw hive data. HKLM\SECURITY\Policy\Secrets\SAC* 11/11/2004 23.55 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 11/11/2004 23.55 0 bytes Key name contains embedded nulls (*) HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 30/05/2007 3.06 0 bytes Access is denied. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{D6120BC4-5105-2913-4A48-309471D173D9}\01\14-{D6120BC4-5105-2913-4A48-309471D173D9}-v1-{0519782F-A 24/03/2007 0.03 8 bytes Hidden from Windows API. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{C3F4FBA9-73E0-097D-6EF9-C498D9389C93}\01\15-{C3F4FBA9-73E0-097D-6EF9-C498D9389C93}-v1-{0519 09/04/2007 23.15 8 bytes Hidden from Windows API. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\08079931d01 03/06/2007 19.44 19.66 KB Visible in Windows API, MFT, but not in directory index. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\1EE966A8d01 03/06/2007 19.45 28.23 KB Visible in Windows API, MFT, but not in directory index. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\1FE4265Fd01 05/06/2007 16.54 131.82 KB Visible in directory index, but not Windows API or MFT. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\37FBA8AFd01 03/06/2007 19.44 49.59 KB Visible in Windows API, MFT, but not in directory index. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\42AF65F3d01 03/06/2007 19.44 22.81 KB Visible in Windows API, MFT, but not in directory index. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\48AF540Fd01 03/06/2007 19.44 16.77 KB Visible in Windows API, MFT, but not in directory index. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\493300B4d01 03/06/2007 19.44 3.92 KB Visible in Windows API, MFT, but not in directory index. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\53B84377d01 03/06/2007 19.44 26.86 KB Visible in Windows API, MFT, but not in directory index. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\7F9C2C8Cd01 05/06/2007 16.54 258.62 KB Visible in directory index, but not Windows API or MFT. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\92BC1C93d01 03/06/2007 19.45 28.78 KB Visible in Windows API, MFT, but not in directory index. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\9FFBC61Ed01 03/06/2007 19.44 28.28 KB Visible in Windows API, MFT, but not in directory index. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\B95C5DEEd01 03/06/2007 19.46 194.27 KB Visible in Windows API, MFT, but not in directory index. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\BB848EF8d01 03/06/2007 19.44 18.31 KB Visible in Windows API, MFT, but not in directory index. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\yndql6uj.default\Cache\D8B5F2DFd01 03/06/2007 19.44 25.36 KB Visible in Windows API, MFT, but not in directory index. C:\Documents and Settings\gina\Impostazioni locali\Dati applicazioni\Mozilla\Fire Questo è quanto, io non ci capisco niente a dire la verità: suggerimenti? Scoperte? Illuminatemi 
Ultima modifica di Scarymiss : 05-06-2007 alle 17:02. |
|
|
|
|
07-06-2007, 11:17
|
#5 |
|
Member
Iscritto dal: Apr 2007
Città: Pisciatoio d'Italia.
Messaggi: 69
|
Up!
Nessuno ha iea di come eliminarlo? Io avrei trovato l'opzione Spyware Doctor ma purtroppo è a pagamento. Qualche altra idea? |
|
|
|
|
07-06-2007, 17:32
|
#6 |
|
Junior Member
Iscritto dal: Jan 2006
Messaggi: 16
|
anche io ho lo stesso problema.
antivir mi riconosce questo virus e ogni pochi secondi mi manda un messaggio di avviso (che non sopporto più  )ora, NON SO DAVVERO COSA FARE!!!! AIUTATEMI VI PREGO!! col pc non riesco a far nulla perchè continuan a venir fuori sti messaggi di avviso ogni pochi click,e soprattutto non si connette neanche ad Internet! cosa posso fare??? 
|
|
|
|
|
07-06-2007, 17:49
|
#7 |
|
Senior Member
Iscritto dal: Feb 2007
Città: Spira, Zanarkand
Messaggi: 394
|
Dimmi percorso e nome del file segnalato da antivir
|
|
|
|
|
07-06-2007, 18:09
|
#8 | |
|
Junior Member
Iscritto dal: Jan 2006
Messaggi: 16
|
Quote:
nome: TR/Agent.amf C:\WINDOWS\system32\rasapi32.dll grazie!! |
|
|
|
|
|
07-06-2007, 18:18
|
#9 |
|
Member
Iscritto dal: Apr 2007
Città: Pisciatoio d'Italia.
Messaggi: 69
|
Ciao Dade!
Dopo interi giorni di ricerca ho scoperto che Ewido può debellare il problema. Tuttavia, ho dovuto disinstallare AntiVir perchè non mi faceva connettere più ad internet 
|
|
|
|
|
07-06-2007, 18:39
|
#10 | |
|
Senior Member
Iscritto dal: Aug 2006
Città: Treviso
Messaggi: 13366
|
Quote:
__________________
MSI MAG PANO 100R PZ | RM1000e | ASUS PRIME X670E-PRO WiFi | Ryzen 7 7800X3D | ARCTIC Liquid Freezer III Pro 360 | Corsair Vengeance CL36 DDR5 2x16 Gb 6000Mhz | RTX 5080 Gaming OC | Logitech G502 | Logitech G410 | ASUS ROG Swift OLED PG32UCDP | MacBook Pro M4 | Meta Quest 3 PS5 | Nintendo Switch 2 | STEAM | Vodafone FTTH 1000/200 |
|
|
|
|
|
07-06-2007, 20:49
|
#11 | |
|
Junior Member
Iscritto dal: Jan 2006
Messaggi: 16
|
Quote:
ma l'altro metodo in cosa consiste esattamente? vorrei evitare di entrare in internet senza antivirus, è possibile scaricare quel programmino su un altro pc e trasferirlo poi su quello col virus?? |
|
|
|
|
|
07-06-2007, 20:51
|
#12 | |
|
Member
Iscritto dal: Apr 2007
Città: Pisciatoio d'Italia.
Messaggi: 69
|
Quote:
|
|
|
|
|
|
07-06-2007, 20:58
|
#13 | |
|
Senior Member
Iscritto dal: Feb 2007
Città: Spira, Zanarkand
Messaggi: 394
|
Quote:
scarica la rasapi32.dll non infetta portala sul pc infetto mettila in C:\WINDOWS\system32\ sovrascrivendo quella esistente finito. Altrimenti se l'altro pc non è infetto la dll la prendi direttamente dall'altro pc si trova in C:\WINDOWS\system32\ |
|
|
|
|
|
07-06-2007, 20:59
|
#14 |
|
Member
Iscritto dal: Apr 2007
Città: Pisciatoio d'Italia.
Messaggi: 69
|
Dove sei stato Tidus fino all'altroieri ?
|
|
|
|
|
07-06-2007, 21:29
|
#15 |
|
Senior Member
Iscritto dal: Jun 2007
Messaggi: 1307
|
Virus eliminato
Anche io ho avuto vari problemi con questo trojan...
Si tratta di un virus su cui non bosogna scherzare, infatti non è eliminabile con nessun antivirus e che intacca un file importante windows (rasapi32.dll) ... Alla fine l'ho eliminato aprendo windows con la modalità provvisoria (premere subito f8 all'avvio) e sostituendo il file infetto con uno normale (scaricabile oppure copiandolo da un amico che abbia il file sano)...
Ultima modifica di Il programmatore : 07-06-2007 alle 21:31. Motivo: non ho segnalato file infetto |
|
|
|
|
08-06-2007, 15:40
|
#16 | |
|
Member
Iscritto dal: Apr 2007
Città: Pisciatoio d'Italia.
Messaggi: 69
|
Quote:
Ho provato a sostituire il file infetto in modalità provvisoria una decina di volte ma ad ogni riavvio teoricamente pulito o dice che il file non è più presente nel pc oppure mi tira fuori errori di kernel32.dll. Mi sa tanto che dovrò formattare
__________________
Non viene molta gente a casa mia. Saranno le tagliole |
|
|
|
|
|
08-06-2007, 18:46
|
#17 |
|
Junior Member
Iscritto dal: Jan 2006
Messaggi: 16
|
provato cn Ewido....ma niente di fatto.compare ancora. stase provo a sostituire il file...
|
|
|
|
|
08-06-2007, 19:20
|
#18 | |
|
Senior Member
Iscritto dal: Feb 2007
Città: Spira, Zanarkand
Messaggi: 394
|
Quote:
|
|
|
|
|
|
08-06-2007, 19:51
|
#19 |
|
Senior Member
Iscritto dal: Jun 2007
Messaggi: 1307
|
Boh, io non so in cosa consista Ewido, io sono riuscito a rimuoverlo sostituendo il file...
 Comunque la formattazione è l'ultima opzione da prendere in considerazione... |
|
|
|
|
09-06-2007, 13:25
|
#20 |
|
Junior Member
Iscritto dal: Jan 2006
Messaggi: 16
|
cavolo... ho provato a sostituire
però mi dice che il file è già in uso e non si puo' modificare,di kiudere il programma che lo sta usando.... che faccio? apro il task manager e ke processo termino?? |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 21:31.
