trojan.win32.agent.dxh[WinXP],necessito aiuto e script per avenger

Fridaynight · 22-02-2008, 19:44

salve a tutti... spero di non violare nessun regolamento del forum,ma nn sono riuscito a trovare una discussione che mi aiutasse e quindi ne apro una nuova... ho riscontrato avere un trojan.win32.agent.dxh con a-squared mentra prevxCSI mi indica un trojan.nudos...credo il problema sia lo stesso.
Avrei bisogno dello script per avenger per rimettere alloro posto i file nella cartella bak, sarei grato a chiunque mi possa dare una mano...intanto posto il log di findAWF

Codice:

  Find AWF report by noahdfear ©2006
               Version 1.40



  bak folders found
  ~~~~~~~~~~~

 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\FREEDO~1\BAK

13/09/2007  11.12         2.445.359 fdm.exe
               1 File      2.445.359 byte
               2 Directory  29.011.030.016 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\MSNMES~1\BAK

               0 File              0 byte
               2 Directory  29.011.030.016 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\WINDOWS\SMINST\BAK

11/10/2005  09.23         1.187.840 RecGuard.exe
               1 File      1.187.840 byte
               2 Directory  29.011.025.920 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004  09.00            15.360 ctfmon.exe
03/11/2005  00.22            77.824 hkcmd.exe
03/11/2005  00.26           118.784 igfxpers.exe
03/11/2005  00.25            98.304 igfxtray.exe
               4 File        310.272 byte
               2 Directory  29.011.025.920 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\DIGICOMT\MICHEL~1\BAK

29/10/2003  14.11           462.848 CnxDslTb.exe
               1 File        462.848 byte
               2 Directory  29.011.025.920 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

               0 File              0 byte
               2 Directory  29.011.025.920 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\HP\HPSOFT~1\BAK

16/02/2005  23.11            49.152 HPWuSchd2.exe
               1 File         49.152 byte
               2 Directory  29.011.025.920 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\HP\QUICKP~1\BAK

12/12/2005  10.39            94.208 QPService.exe
               1 File         94.208 byte
               2 Directory  29.011.025.920 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\HPQ\DEFAUL~1\BAK

18/05/2005  09.29           233.534 cpqset.exe
               1 File        233.534 byte
               2 Directory  29.011.025.920 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\HPQ\HPWIRE~1\BAK

               0 File              0 byte
               2 Directory  29.011.025.920 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\HPQ\QUICKL~1\BAK

22/12/2005  07.57           405.504 EabServr.exe
               1 File        405.504 byte
               2 Directory  29.011.025.920 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\LAVASOFT\AD-AWA~1\BAK

08/08/2007  14.53            88.024 AAWTray.exe
               1 File         88.024 byte
               2 Directory  29.011.021.824 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\SYNAPT~1\SYNTP\BAK

11/11/2005  08.04           761.945 SynTPEnh.exe
               1 File        761.945 byte
               2 Directory  29.011.021.824 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\ADOBE\READER~1.0\READER\BAK

10/10/2007  19.51            39.792 Reader_sl.exe
               1 File         39.792 byte
               2 Directory  29.011.021.824 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\BAK

09/08/2004  05.03            81.920 issch.exe
09/08/2004  05.03           221.184 ISUSPM.exe
               2 File        303.104 byte
               2 Directory  29.011.021.824 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\JAVA\JRE16~3.0_0\BIN\BAK

25/09/2007  01.11           132.496 jusched.exe
               1 File        132.496 byte
               2 Directory  29.011.021.824 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\SONIC\DIGITA~1\MYDVDP~1\BAK

20/10/2005  05.15           102.400 DetectorApp.exe
               1 File        102.400 byte
               2 Directory  29.011.021.824 byte disponibili
 Il volume nell'unit… C non ha etichetta.
 Numero di serie del volume: 4D01-8BCD

 Directory di C:\PROGRA~1\LOGITECH\DESKTO~1\8876480\PROGRAM\BAK

10/11/2007  20.35            67.128 LogitechDesktopMessenger.exe
               1 File         67.128 byte
               2 Directory  29.011.021.824 byte disponibili


  Duplicate files of bak directory contents
  ~~~~~~~~~~~~~~~~~~~~~~~

   2445359 13 Sep 2007 "C:\Programmi\Free Download Manager\fdm.exe"
   2445359 13 Sep 2007 "C:\Programmi\Free Download Manager\bak\fdm.exe"
     14348  9 Jan 2008 "C:\WINDOWS\SMINST\RecGuard.exe"
   1187840 11 Oct 2005 "C:\WINDOWS\SMINST\bak\RecGuard.exe"
     15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
     15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
     77824  3 Nov 2005 "C:\SwSetup\Video\hkcmd.exe"
     14348  9 Jan 2008 "C:\WINDOWS\system32\hkcmd.exe"
     77824  3 Nov 2005 "C:\SwSetup\Video\Win2000\hkcmd.exe"
     77824  3 Nov 2005 "C:\WINDOWS\system32\bak\hkcmd.exe"
    118784  3 Nov 2005 "C:\SwSetup\Video\igfxpers.exe"
     14348  9 Jan 2008 "C:\WINDOWS\system32\igfxpers.exe"
    118784  3 Nov 2005 "C:\SwSetup\Video\Win2000\igfxpers.exe"
    118784  3 Nov 2005 "C:\WINDOWS\system32\bak\igfxpers.exe"
     98304  3 Nov 2005 "C:\SwSetup\Video\igfxtray.exe"
     14348  9 Jan 2008 "C:\WINDOWS\system32\igfxtray.exe"
     98304  3 Nov 2005 "C:\SwSetup\Video\Win2000\igfxtray.exe"
     98304  3 Nov 2005 "C:\WINDOWS\system32\bak\igfxtray.exe"
    462848 29 Oct 2003 "C:\CnxDslTb.exe"
     14348  9 Jan 2008 "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
    462848 29 Oct 2003 "C:\Programmi\digicom\Michelangelo USB ADSL\Common\CnxDslTb.exe"
    462848 29 Oct 2003 "C:\Programmi\digicom\Michelangelo USB ADSL\Wan\CnxDslTb.exe"
    462848 29 Oct 2003 "C:\Programmi\digicomt\Michelangelo USB ADSL\bak\CnxDslTb.exe"
     14348  9 Jan 2008 "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
     49152 16 Feb 2005 "C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe"
     14348  9 Jan 2008 "C:\Programmi\HP\QuickPlay\QPService.exe"
     94208 12 Dec 2005 "C:\Programmi\HP\QuickPlay\bak\QPService.exe"
     14348  9 Jan 2008 "C:\Programmi\HPQ\Default Settings\cpqset.exe"
    233534 18 May 2005 "C:\Programmi\HPQ\Default Settings\bak\cpqset.exe"
     14348  9 Jan 2008 "C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe"
    405504 22 Dec 2005 "C:\Programmi\HPQ\Quick Launch Buttons\bak\EabServr.exe"
     87392 30 Aug 2007 "C:\Programmi\Lavasoft\Ad-Aware 2007\AAWTray.exe"
     88024  8 Aug 2007 "C:\Programmi\Lavasoft\Ad-Aware 2007\bak\AAWTray.exe"
    761945 11 Nov 2005 "C:\SwSetup\Touchpad\SynTPEnh.exe"
     14348  9 Jan 2008 "C:\Programmi\Synaptics\SynTP\SynTPEnh.exe"
    761945 11 Nov 2005 "C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe"
    761945 11 Nov 2005 "C:\Programmi\Synaptics\SynTP\Media\SynTPEnh.exe"
     14348  9 Jan 2008 "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
     39792 10 Oct 2007 "C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe"
     14348  9 Jan 2008 "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe"
     81920  9 Aug 2004 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe"
     14348  9 Jan 2008 "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe"
    221184  9 Aug 2004 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe"
     36975 10 Nov 2005 "C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe"
     49263  9 Nov 2006 "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
     83608 14 Mar 2007 "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
    132496 12 Jul 2007 "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
     14348  9 Jan 2008 "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
    144784 14 Dec 2007 "C:\Programmi\Java\jre1.6.0_04\bin\jusched.exe"
    132496 25 Sep 2007 "C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe"
     14348  9 Jan 2008 "C:\Programmi\Sonic\DigitalMedia Plus v7\MyDVD Plus\DetectorApp.exe"
    102400 20 Oct 2005 "C:\Programmi\Sonic\DigitalMedia Plus v7\MyDVD Plus\bak\DetectorApp.exe"
    364560  9 Jan 2008 "C:\Programmi\Logitech\SetPoint\LogitechUpdate.exe"
     14348  9 Jan 2008 "C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"
     67128 10 Nov 2007 "C:\Programmi\Logitech\Desktop Messenger\8876480\Program\bak\LogitechDesktopMessenger.exe"


  end of report

oltre a preoccupanti rallentamenti di ie mi si stanno rimescolando le icone su desktop e inoltre le scansioni con avast mostrano l impossibilita a scansionare un numero elevato di file,ma credo che questa sia la riprova di come il malware in questione sia un'evoluzione del trojan.zonebac

deneb87 · 22-02-2008, 19:51

ci sono numerosi thread che riguardano questo trojan e varianti

in attesa della decisione se indirizzarti o meno nel thread adatto dal moderatore e chiudere questo in quanto doppione, o lasciarlo aperto per assicurare che questa sia l'unico problema del tuo pc, inizio a fare lo script

ps: hai ben 5 o 6 versioni di java, non pensi che una sia sufficiente?

una volta risolto questo problema provvedi a disinstallarle tutte e lasciare solo la versione 6 update 4

Fridaynight · 22-02-2008, 19:57

Ti ringrazio intanto per la tempestività... e per i consigli(sono un po niubbo per queste cose).
Se la discussione viene reindirizzata come me ne accorgo?
Grazie ancora

deneb87 · 22-02-2008, 20:15

intanto per non stare senza far niente ecco lo script per avenger
una volta eseguito, nuovo scan di findawf

edit: il ripristino di sistema è disattivato?

Quote:

Files to move:

C:\Programmi\Free Download Manager\bak\fdm.exe | C:\Programmi\Free Download Manager\fdm.exe
C:\WINDOWS\SMINST\bak\RecGuard.exe | C:\WINDOWS\SMINST\RecGuard.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\SwSetup\Video\bak\hkcmd.exe | C:\SwSetup\Video\hkcmd.exe
C:\WINDOWS\system32\bak\hkcmd.exe | C:\WINDOWS\system32\hkcmd.exe
C:\SwSetup\Video\Win2000\bak\hkcmd.exe | C:\SwSetup\Video\Win2000\hkcmd.exe
C:\SwSetup\Video\bak\igfxpers.exe | C:\SwSetup\Video\igfxpers.exe
C:\WINDOWS\system32\bak\igfxpers.exe | C:\WINDOWS\system32\igfxpers.exe
C:\SwSetup\Video\Win2000\bak\igfxpers.exe | C:\SwSetup\Video\Win2000\igfxpers.exe
C:\WINDOWS\system32\bak\igfxtray.exe | C:\WINDOWS\system32\igfxtray.exe
C:\Programmi\digicomt\Michelangelo USB ADSL\bak\CnxDslTb.exe | C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
C:\Programmi\digicom\Michelangelo USB ADSL\Common\bak\CnxDslTb.exe | C:\Programmi\digicom\Michelangelo USB ADSL\Common\CnxDslTb.exe
C:\Programmi\digicom\Michelangelo USB ADSL\Wan\bak\CnxDslTb.exe | C:\Programmi\digicom\Michelangelo USB ADSL\Wan\CnxDslTb.exe
C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe | C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\QuickPlay\bak\QPService.exe | C:\Programmi\HP\QuickPlay\QPService.exe
C:\Programmi\HPQ\Default Settings\bak\cpqset.exe | C:\Programmi\HPQ\Default Settings\cpqset.exe
C:\Programmi\HPQ\Quick Launch Buttons\bak\EabServr.exe | C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\bak\AAWTray.exe | C:\Programmi\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\SwSetup\Touchpad\bak\SynTPEnh.exe | C:\SwSetup\Touchpad\SynTPEnh.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe | C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Synaptics\SynTP\Media\bak\SynTPEnh.exe | C:\Programmi\Synaptics\SynTP\Media\SynTPEnh.exe
C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe | C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe | C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe | C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Sonic\DigitalMedia Plus v7\MyDVD Plus\bak\DetectorApp.exe | C:\Programmi\Sonic\DigitalMedia Plus v7\MyDVD Plus\DetectorApp.exe
C:\Programmi\Logitech\SetPoint\bak\LogitechUpdate.exe | C:\Programmi\Logitech\SetPoint\LogitechUpdate.exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\bak\LogitechDesktopMessenger.exe | C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Java\jre1.5.0_10\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\Java\jre1.6.0_01\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\Java\jre1.6.0_02\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\Java\jre1.6.0_04\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_04\bin\jusched.exe

xcdegasp · 22-02-2008, 20:20

complimenti deneb87 la colpa sarebbe del Moderatore che ha poco tempo da dedicarvi così vi potete ritenere nella posizione di fare cio che volete a discapito del regolamento del forum.

interessante

visto che vuole solo lo script per avenger perchè non dirottarlo nel thread "Dialer Internet Connection" ?
http://www.hwupgrade.it/forum/showthread.php?t=1651594

chiudo il thread essendo un doppione.

22-02-2008, 19:51	#2
deneb87 Senior Member Iscritto dal: Dec 2006 Città: Cagliari Messaggi: 682	ci sono numerosi thread che riguardano questo trojan e varianti in attesa della decisione se indirizzarti o meno nel thread adatto dal moderatore e chiudere questo in quanto doppione, o lasciarlo aperto per assicurare che questa sia l'unico problema del tuo pc, inizio a fare lo script ps: hai ben 5 o 6 versioni di java, non pensi che una sia sufficiente? una volta risolto questo problema provvedi a disinstallarle tutte e lasciare solo la versione 6 update 4 Ultima modifica di deneb87 : 22-02-2008 alle 20:15.

22-02-2008, 20:20	#5
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	complimenti deneb87 la colpa sarebbe del Moderatore che ha poco tempo da dedicarvi così vi potete ritenere nella posizione di fare cio che volete a discapito del regolamento del forum. interessante visto che vuole solo lo script per avenger perchè non dirottarlo nel thread "Dialer Internet Connection" ? http://www.hwupgrade.it/forum/showthread.php?t=1651594 chiudo il thread essendo un doppione. __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

22-02-2008, 19:57	#3
Fridaynight Junior Member Iscritto dal: Feb 2008 Messaggi: 5	Ti ringrazio intanto per la tempestività... e per i consigli(sono un po niubbo per queste cose). Se la discussione viene reindirizzata come me ne accorgo? Grazie ancora

Strumenti
Mostra una versione stampabile Invia questa pagina per email