XP VIRUS TROJAN WIN32.AGENT.BEL

[buskens5]

Quote:

Originariamente inviato da wjmat

Scarica Avenger da qui
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato il log in c:\avenger.txt. caricalo per verificare che l'operazione abbia funzionato.

Codice:

Files to delete:
C:\WINDOWS\system32\ciuytr0.dll
C:\WINDOWS\system32\vamsoft.exe
C:\xcisvxl.com
C:\WINDOWS\system32\haozs0.dll
C:\WINDOWS\system32\haozs1.dll

Fatto..ecco il log:
http://www.fileqube.com/file/eyEwkA164482

[wjmat]

nuovo log di hjt e prevx reinstallato

[buskens5]

Quote:

Originariamente inviato da wjmat

nuovo log di hjt e prevx reinstallato

eccoli..
http://www.fileqube.com/file/gexjzS164488
http://www.fileqube.com/file/UnttsnH164489
ci sono ancora!!!!ma perchèèèè!!!

[wjmat]

carica un log di Combofix (leggi bene le info)

[buskens5]

Quote:

Originariamente inviato da wjmat

carica un log di Combofix (leggi bene le info)

eccolo..
http://www.fileqube.com/file/LNWJjvM164498

[wjmat]

reinstalla prevx, se ritrovi gli stessi file riesegui di nuovo la procedura con avenger

• Da modalità normale
• Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
• Apri il Blocco Note e incolla tutto il codice qui sotto

Quote:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fcde0d2-8f5b-11db-ad6e-00e04cd26fc7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8a8ec3cf-d682-11dd-95c9-001d0fbaa8ff}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3002264-378c-11dd-943f-00e04cd26fc7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3002265-378c-11dd-943f-00e04cd26fc7}]

• Salva il file sul Desktop come CFScript.txt
• Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
• al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

prova anche a lanciare gmer e caricare il suo log

[buskens5]

Spero di esserci riuscito..ti posto sia l'utlimo log di prevx che quello di Combo fix..
http://www.fileqube.com/file/XjAiyxtcy164507
http://www.fileqube.com/file/twuGjFWxp164508

Gmer ho riprovato ma appena lo faccio partire mi va tutto in errore di sistema e devo riavviare..

[wjmat]

rimani sconnesso da internet

con avenger

Codice:

Files to delete:
C:\WINDOWS\system32\ciuytr3.dll
C:\WINDOWS\system32\haozs0.dll
C:\WINDOWS\system32\haozs2.dll
C:\WINDOWS\system32\haozs3.dll
C:\WINDOWS\system32\haozs4.dll
C:\xcisvxl.com
C:\WINDOWS\system32\vamsoft.exe
C:\WINDOWS\system32\ciuytr0.dll
C:\WINDOWS\system32\ciuytr2.dll
C:\WINDOWS\system32\ciuytr1.dll

al riavvio fai girare di nuovo combo+ Sdfix

solo dopo carichi i log

[buskens5]

ecco i nuovi log:
AVENGER:http://www.fileqube.com/file/iDdpTnf16456
COMBO: http://www.fileqube.com/file/MLokckiI164577
La procedura con Sdfix purtroppo nn riesco a completarla:entro i modalità provvisoria e fino a quando si riavvia il pc tutto bene,quando rientro in modalità normale e prosegue con lo scan ad un certo punto si blocca e mi da errore di sistema..ci ho provato un paio di volte ma lo fa sempre..

[Chill-Out]

Quote:

Originariamente inviato da buskens5

ecco i nuovi log:
AVENGER:http://www.fileqube.com/file/iDdpTnf16456
COMBO: http://www.fileqube.com/file/MLokckiI164577
La procedura con Sdfix purtroppo nn riesco a completarla:entro i modalità provvisoria e fino a quando si riavvia il pc tutto bene,quando rientro in modalità normale e prosegue con lo scan ad un certo punto si blocca e mi da errore di sistema..ci ho provato un paio di volte ma lo fa sempre..

Verifica il link al log di Avenger http://www.fileqube.com/file/iDdpTnf16456

Per quanto concerne SDFix devi fare tutto da modalità provvisoria F8

Quote:

Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

[buskens5]

http://www.fileqube.com/file/wGlQbHpi164685
questo è il log dell'ultimo avenger..
Per la procedura di Sdfix l'ho eseguita in modalità provvisoria..ora però quando si riavvia il pc,appena entro in windows, si apre la schermata si Sdfix nella quale c'è scritto che sta per finire la scansione..ad un certo punto però scompare tutto e compare la pagina blu a tutto schermo dicendo errore di sistema e devo riavviare..per rifare la procedura di sdfix da capo come devo fare?

[wjmat]

prevx segnala ancora gli stessi file?

[buskens5]

Per fortuna no..ti allego il log:http://www.fileqube.com/file/DJeaftkZ164687
ti allego anche il log di SDfix che però continua a dare l'errore "BAD POOL HEADER"..http://www.fileqube.com/file/iPyvBjtxz164688

Li abbiamo eliminati?

[wjmat]

nuovo log di hjt

[buskens5]

Fatto...http://www.fileqube.com/file/pevnbl164696

[wjmat]

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O15 - Trusted Zone: www.fessuraumida.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

li hai impostati tu questi?

Quote:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3D2E273B-4CF7-4574-8F0E-58AA36BDF932}: NameServer = 217.12.181.97 151.1.2.1

con avenger

Codice:

Files to delete:
C:\WINDOWS\expiorer.exe

[buskens5]

Ecco il log di hj, per quanto riguarda quella stringa n 017 non so a cosa si riferisca..penso però che siano le impostazione dell'adsl wifi Alternatyva che ho io..nn ne sono sicuro però..

[Chill-Out]

Quote:

Originariamente inviato da buskens5

Ecco il log di hj, per quanto riguarda quella stringa n 017 non so a cosa si riferisca..penso però che siano le impostazione dell'adsl wifi Alternatyva che ho io..nn ne sono sicuro però..

Alega il log di Avenger

Quote:

Files to delete:
C:\WINDOWS\expiorer.exe

e successivamente nuovo log di HJT in quanto il suddetto file era stato eliminato dal Kaspersky quindi c'è qualcosa che non torna

[buskens5]

Ecco i due log..
http://www.fileqube.com/file/tkuwfiY164699

[Chill-Out]

Allega un nuovo log di SysInspector, grazie.