[win XP SP1] Win32:Agent-NOH che avast non riesce a cancellare

[lizardo]

salve, Avast ha trovato sul mio pc il cavallo di troia Win32:Agent-NOH che dopo aver rinominato e spostato non riesce però a cancellare (naturalmente ho disabilitato il ripristino del sistema). Ho provato anche in modalità provvisoria ma senza risultato. A-square, Avira e Search and Destroy non lo vedono neppure. Ho anche provato a seguire le istruzioni date in un altro thread aperto da un altro utente ma il mio log di Hijackthis non contiene gli stessi elementi che venivano indicati come quelli da rimuovere (o aggiustare).
A questo punto non so più cosa fare.
C'è qualcuno che può dare un'occhiata al log di Hijack che allego e indicarmi cosa devo fare di preciso per liberarmi da questo tormento?
Grazie infinite...

[murack83pa]

ciao,

prima di tutto benvenuto

in secundis: disinstalla avast, x 2 motivi, il piu importante dei quali è che 2 antivirus nn si devono avere in uno stesso pc, xchè combinano casini, nn fanno bene il loro lavoro e possono entrare in conflitto

quindi, disinstalla avast cosi:

1-disinstallalo da installazione applicazioni

2-riavvia il pc

3-utilizza CCLEANER in questo modo (devi fare tutti i passaggi indicati, in particolare modo la pulizia del registro):
Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

4-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

5-riavvia il pc

6-gli fai fare una bella scansione ad avira, completa del sistema e posta qui il report

PS: hai configurato avira secondo da guida di questo forum? dopo aver disinstallato avast, segui questa guida in prima pagina

http://www.hwupgrade.it/forum/showthread.php?t=1514684

[lizardo]

grazie mille murack83pa per le info. Ho eseguito tutte le operazioni indicate e provo a postare il log della scansione di Antivir, il quale ha trovato ed eliminato o messo in quarantena qualche schifezza dormiente ma nessuna traccia del maledetto Win32Agent-NOH. Dopo la rimozione di avast era rimasta una cartella del programma (non quella in cui era stato spostato il trojan) che ho provveduto a cancellare manualmente.
Non so però se ritenermi a questo punto disinfestato. Che faccio? Riprovo con Hijackthis e posto il log oppure mi considero a posto e riattivo il ripristino di sistema??

[murack83pa]

Quote:

Originariamente inviato da lizardo

grazie mille murack83pa per le info. Ho eseguito tutte le operazioni indicate e provo a postare il log della scansione di Antivir, il quale ha trovato ed eliminato o messo in quarantena qualche schifezza dormiente ma nessuna traccia del maledetto Win32Agent-NOH. Dopo la rimozione di avast era rimasta una cartella del programma (non quella in cui era stato spostato il trojan) che ho provveduto a cancellare manualmente.
Non so però se ritenermi a questo punto disinfestato. Che faccio? Riprovo con Hijackthis e posto il log oppure mi considero a posto e riattivo il ripristino di sistema??

certo che un po di schifezze le avevi

ciò che ha messo in quarantena avira lo puoi cancellare

fai una scansione con questo tool e vediamo cosa trova:
Scarica PREVX CSI (richiede l’installazione)
DOWNLOAD

Una volta installato, lancialo:
● esegui una scansione
al termine della scansione, clicca su:
● Options
● Save Log
allega il log che verrà rilasciato

è un tool di rilevazione, nn rimuove nulla e nn devi scaricare alcun progbramma aggiuntivo x la rimozione di ciò che trova: a noi c serve il log

[lizardo]

ho appena effettuato la scansione con Prevx che era già installato e avevo usato nei giorni scorsi per verificare il sistema. Prevx non mi ha lasciato un log, però dice che dalla verifica effettuata il pc risulta pulito. Provo a dargli una passata anche con AVG?
Grazie ancora...

[lizardo]

Ooops, errore mio, Prevx il log lo ha prodotto e qui lo allego. Sorry...

[xcdegasp]

scusa ma perchè non aggiorni winXP al SP2 ??

[lizardo]

l'ho fatto un paio di anni fa e ho dovuto reinstallare il SO perché entrava in conflitto con un dizionario che uso molto spesso per lavoro. Quando avrò trovato il modo di usare quello e altri dizionari sotto linux lascerò perdere windows...

[murack83pa]

Quote:

Originariamente inviato da lizardo

Ooops, errore mio, Prevx il log lo ha prodotto e qui lo allego. Sorry...

ma dove sarebbe il log di prevx csi?

[xcdegasp]

Quote:

Originariamente inviato da lizardo

l'ho fatto un paio di anni fa e ho dovuto reinstallare il SO perché entrava in conflitto con un dizionario che uso molto spesso per lavoro. Quando avrò trovato il modo di usare quello e altri dizionari sotto linux lascerò perdere windows...

esistono anche molti siti web con ottimi dizionari e in varie lingue, un sìesempio:
http://www.frasi.net/dizionari/ingle...no/default.asp

ma è solo uno dei tanti... sinceramente per un dizionario infettarsi e perdere molti dati personali e magari subire anche i furti d'identità credo non ne valga la pena

[lizardo]

riprovo a postare il log di Prevx. Non so cosa sia successo, scusa e grazie

[lizardo]

niente da fare pare che non voglia saperne di 'allegarsi', l'estensione è txt, non capisco..., anzi, ho capito, supera i 24 kb... che fare?

[murack83pa]

Quote:

Originariamente inviato da lizardo

niente da fare pare che non voglia saperne di 'allegarsi', l'estensione è txt, non capisco..., anzi, ho capito, supera i 24 kb... che fare?

caricare il log su FileUp, copiando qui i link x il download

[lizardo]

ecco, ho postato il log della scansione fatta con Prevx a questo indirizzo:


http://www.fileup.itadib.com/downloa...qLuxZtQMDmFXr4

[murack83pa]

Quote:

Originariamente inviato da lizardo

ecco, ho postato il log della scansione fatta con Prevx a questo indirizzo:


http://www.fileup.itadib.com/downloa...qLuxZtQMDmFXr4

ok, ora ti consiglio di installare ASQUARED FREE 3.1 :
DOWNLOAD

fai l'aggiornamento e poi una scansione rigorosamente in deep scan

poi posta qui il report

ti avviso che la scansione sarà abbastanza lenta: falla quando hai tempo,xchè mentre la fa, nn devi fare niente al pc

[lizardo]

ho effettuato la scansione con a-squared che avevo già installato da un paio di anni e usavo per controllare singoli pacchetti o programmi prima di installarli. Ho dovuto ripetere lo scan più di una volta perché si bloccava quando aveva raggiunto un tot di file verificati (credo sia un difetto del programma o quantomeno della sua versione gratuita). Ho risolto il problema togliendo temporaneamente i due HD esterni, che ho poi controllato a parte ed erano puliti.
Allego il log della scansione.
Grazie ancora per l'aiuto e la pazienza.

[murack83pa]

uhmm....

nella guida alla disinfezione è indicato un programmino, Vir.IT explorer Lite

fallo girare, con entrambi gli hd inseriti e vediamo cosa trova...

seguendo sempre quella guida, fai una scansione con gmer e posta qui il log

nuovo log di hijackthis

[lizardo]

la scansione dei dischi con Vir.IT non ha rilevato nulla di nocivo. Anche gmer mi pare non abbia trovato niente. Comunque allego il log insieme a quello di Hijackthis. Vediamo se adesso sono pulito...

[lizardo]

rifacendo una scansione con VirIT (partita in automatico al riavvio del PC) il programma ha segnalato come sospetto ilfile "sgmain.exe" nella dir di Spywareguard. Ho mandato il file per un controllo a VirIT (ma non so se lo analizzeranno o se mi faranno sapere qualcosa...). Dubito comunque che si tratti di un autentico malware. Che faccio, per stare sicuro lo elimino e poi eventualmente reinstallo Spywareguard?

[murack83pa]

Quote:

Originariamente inviato da lizardo

...

fixa queste voci in hijackthis:

Quote:

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programmi\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O23 - Service: K - Unknown owner - C:\DOCUME~1\lizardo\IMPOST~1\Temp\K.exe (file missing)

mentre lo fai, tutti i programmi devono essere chiusi, dopo aver fixato quelle voci, riavvia, fai pulizia con ccleaner nelle modalità che ti ho scritto sopra, e rifai una nuova scansione con hijackthis e posta il log

che programma è Scansoft ?

fai una scansione online con kaspersky x vedere cosa trova:
http://www.kaspersky.com/virusscanner

e posta qui il report, è importante

dimmi che problemi rilevi

un altra cosa:

devi aggiornare internet explorer, anche se nn lo usi:
DOWNLOAD


sinceramente c sono programmi migliori spywareguard: quindi lo disinstalli e come antispyware in tempo reale installati spyware terminator, è gratis ed è un buon software
e disinstalla pure adaware xchè nn serve a nulla, rileva poco e fa pure poco
ho visto che avg antispyware, lascialo