Backdoor.Win32.Agent.khw [Non riesco più ad aprire nessuna applicazione con xp]

[fulviom]

ciao a tutti,

da ieri non riesco ad aprire più nessuna applicazione con xp.
semplicemente non partono.
all'avvio inoltre mi appare una finestra Rundll che mi dice "Errore durante il caricamento di sockins32.dll impossibile trovare il modulo specificato".

questo è successo dopo aver fatto una scansione con adaware che mi ha rilevato diversi virus che poi ho eliminato.

cosa devo fare?

le mie limitate conoscenze informatiche si sono esaurite e non ho soluzioni!
ogni consiglio è apprezzato!

Grazie.

F.

[Deifobe]

i files eliminati appartenevano a vundo?

scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

ciao

[fulviom]

grazie deifobe,

il file col report di systemscan è qui http://www.savefile.com/files/1622340

attendo nuove info.

ciao

[Deifobe]

ok, dammi un po' di tempo x analizzarlo. Dovrebbe trattarsi di un falso software antivirus, se non erro.

[Deifobe]

1^ parte

Esegui quello che ti scrivo con molta attenzione perchè è una modifica delicatissima.

Apri il registro -> Start - Esegui, digita regedit e dai l'ok
Portati in questa chiave :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Clicca su winlogon e, nella finestra a destra, trova "Userinit"

In "dati" vedrai scritto:
c:\windows\system32\userinit.exe, C:\WINDOWS\system32\ntos.exe,

La parte in rosso è quella che dovrai eliminare.

Fai doppio clic su "userinit" e, nella finestra che si apre, elimina SOLO:

C:\WINDOWS\system32\ntos.exe,
(virgola finale compresa)

ATTENZIONE a non eliminare altro a parte quanto indicato.. altrimenti il computer non sarà più in grado di riavviarsi!!!


Nella finestra devi lasciare scritto esattamente:
c:\windows\system32\userinit.exe,
(virgola compresa )

Chiudi il registro, vai nella cartella C:\WINDOWS\system32, trova ed elimina il file ntos.exe.

Riavvia il sistema.

[Deifobe]

2^ parte

Scarica Avenger e CCleaner

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Systray"=-

[-HKCR\CLSID\{66186F05-BBBB-4a39-864F-72D84615C679}]

[-HKCR\CLSID\{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\sqmnoopt16.sqm
C:\sqmdata16.sqm
C:\sqmnoopt17.sqm
C:\sqmdata17.sqm
C:\sqmdata18.sqm
C:\sqmnoopt18.sqm
C:\sqmnoopt19.sqm
C:\sqmdata19.sqm
C:\WINDOWS\homepage.html
C:\WINDOWS\promo1.html
C:\WINDOWS\index.html
C:\WINDOWS\promogif1.gif
C:\WINDOWS\promo2.html
C:\WINDOWS\promogif2.gif
C:\WINDOWS\promo3.html
C:\WINDOWS\promo4.html
C:\WINDOWS\promogif3.gif
C:\WINDOWS\promo6.html
C:\WINDOWS\promo5.html
C:\WINDOWS\system32\adult.txt
C:\WINDOWS\system32\sft.res
C:\WINDOWS\system32\pharma.txt
C:\WINDOWS\system32\finance.txt
C:\WINDOWS\system32\other.txt
C:\WINDOWS\system32\lt.res
c:\WINDOWS\system32\wsnpoem\audio.dll
c:\WINDOWS\system32\wsnpoem\audio.dll
c:\WINDOWS\system32\wsnpoem\video.dll
C:\DOCUME~1\Fulvio\IMPOST~1\Temp\jar_cache47836.tm p
C:\DOCUME~1\Fulvio\IMPOST~1\Temp\jar_cache13478.tm p
C:\DOCUME~1\Fulvio\IMPOST~1\Temp\jar_cache38177.tm p
C:\DOCUME~1\Fulvio\IMPOST~1\Temp\jar_cache38179.tm p
C:\DOCUME~1\Fulvio\IMPOST~1\Temp\jar_cache38181.tm p
C:\DOCUME~1\Fulvio\IMPOST~1\Temp\_check32.bat
C:\WINDOWS\system32\sockins32.dll

folders to delete:
c:\WINDOWS\system32\wsnpoem

registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | WebProxy

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}

programs to launch on reboot:
c:\fix.reg

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Svuota C:\WINDOWS\Prefetch

Svuota la cache di Java (istruzioni)

Esegui una scansione:
vai su Kaspersky_virusscanner
clicca su "kaspersky online scanner"
clicca su "accept"
--- verrà eseguito il download dei componenti necessari alla scansione
quando è terminato clicca su "next"
=> clicca su "my computer"
clicca su "scan settings"
Finita la scansione, salva e posta il rapporto

Scarica Hijackthis e mettilo in un cartella dedicata (tipo: c:\programmi\Hijackthis) ed installalo.

Scarica e scompatta questo file hosts_1214059450270.zip
=> clic con il tasto destro del mouse - "copia" - e "incolla" il file nella cartella C:\Windows\system32\drivers\etc
(NB: li' troverai già un altro file hosts, quindi accetta la sostituzione).

Esegui nuovamente systemscan.

---
Posta il rapporto della scansione con kasperky, un nuovo systemascan e il rapporto di avenger

Ciao

[fulviom]

ok, adesso eseguo poi ti faccio sapere.

grazie!

[Deifobe]

ok. fai tutto con calma.. e fai attenzione al primo passaggio.

[fulviom]

ciao,

ho seguito attentament tutte le tue istruzioni, le applicazioni ora si aprono, credo però ci sia da fare un pò di pulizia ora.
ecco il report di kaspersky

KASPERSKY ONLINE SCANNER 7 REPORT
Saturday, June 21, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Saturday, June 21, 2008 17:50:55
Records in database: 880026
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area My Computer
C:\
D:\
E:\
J:\
Scan statistics
Files scanned 53451
Threat name 5
Infected objects 11
Suspicious objects 0
Duration of the scan 01:33:02

File name Threat name Threats count
C:\WINDOWS\system32\aspimgr.exe/C:\WINDOWS\system32\aspimgr.exe Infected: Backdoor.Win32.Agent.khw 1
C:\WINDOWS\SYSTEM32\odbcasvc.EXE//PE_Patch//UPack/C:\WINDOWS\SYSTEM32\odbcasvc.EXE//PE_Patch//UPack Infected: Trojan-Spy.Win32.VB.qu 1
C:\Documents and Settings\Fulvio\Impostazioni locali\Temp\136320.exe Infected: Trojan-Spy.Win32.VB.qu 1
C:\Documents and Settings\Fulvio\Impostazioni locali\Temp\87031.exe Infected: Trojan-Spy.Win32.VB.qu 1
C:\WINDOWS\system32\aspimgr.exe Infected: Backdoor.Win32.Agent.khw 1
C:\WINDOWS\system32\odbcasvc.exe Infected: Trojan-Spy.Win32.VB.qu 1
C:\WINDOWS\Temp\118831.exe Infected: Trojan-Spy.Win32.VB.qu 1
C:\WINDOWS\Temp\~ie1D.exe Infected: Trojan-Spy.Win32.Zbot.cnd 1
D:\Downloads\antispyspider.msi Infected: not-a-virus:FraudTool.Win32.AntiSpySpider.aw 1
J:\Recycled\INFO.EXE Infected: Trojan-Spy.Win32.VB.qu 1
J:\Autorun.inf Infected: Worm.Win32.VB.fp 1
The selected area was scanned.


adesso ti allego anche gli altri...

[fulviom]

ecco il rapporto di avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\sqmnoopt16.sqm" deleted successfully.
File "C:\sqmdata16.sqm" deleted successfully.
File "C:\sqmnoopt17.sqm" deleted successfully.
File "C:\sqmdata17.sqm" deleted successfully.
File "C:\sqmdata18.sqm" deleted successfully.
File "C:\sqmnoopt18.sqm" deleted successfully.
File "C:\sqmnoopt19.sqm" deleted successfully.
File "C:\sqmdata19.sqm" deleted successfully.
File "C:\WINDOWS\homepage.html" deleted successfully.
File "C:\WINDOWS\promo1.html" deleted successfully.
File "C:\WINDOWS\index.html" deleted successfully.
File "C:\WINDOWS\promogif1.gif" deleted successfully.
File "C:\WINDOWS\promo2.html" deleted successfully.
File "C:\WINDOWS\promogif2.gif" deleted successfully.
File "C:\WINDOWS\promo3.html" deleted successfully.
File "C:\WINDOWS\promo4.html" deleted successfully.
File "C:\WINDOWS\promogif3.gif" deleted successfully.
File "C:\WINDOWS\promo6.html" deleted successfully.
File "C:\WINDOWS\promo5.html" deleted successfully.
File "C:\WINDOWS\system32\adult.txt" deleted successfully.
File "C:\WINDOWS\system32\sft.res" deleted successfully.
File "C:\WINDOWS\system32\pharma.txt" deleted successfully.
File "C:\WINDOWS\system32\finance.txt" deleted successfully.
File "C:\WINDOWS\system32\other.txt" deleted successfully.
File "C:\WINDOWS\system32\lt.res" deleted successfully.
File "c:\WINDOWS\system32\wsnpoem\audio.dll" deleted successfully.

Error: file "c:\WINDOWS\system32\wsnpoem\audio.dll" not found!
Deletion of file "c:\WINDOWS\system32\wsnpoem\audio.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\WINDOWS\system32\wsnpoem\video.dll" deleted successfully.
File "C:\DOCUME~1\Fulvio\IMPOST~1\Temp\jar_cache47836.t mp" deleted successfully.
File "C:\DOCUME~1\Fulvio\IMPOST~1\Temp\jar_cache13478.t mp" deleted successfully.
File "C:\DOCUME~1\Fulvio\IMPOST~1\Temp\jar_cache38177.t mp" deleted successfully.
File "C:\DOCUME~1\Fulvio\IMPOST~1\Temp\jar_cache38179.t mp" deleted successfully.
File "C:\DOCUME~1\Fulvio\IMPOST~1\Temp\jar_cache38181.t mp" deleted successfully.
File "C:\DOCUME~1\Fulvio\IMPOST~1\Temp\_check32.bat " deleted successfully.

Error: file "C:\WINDOWS\system32\sockins32.dll" not found!
Deletion of file "C:\WINDOWS\system32\sockins32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "c:\WINDOWS\system32\wsnpoem" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\ShellServiceObjectDelayLoad|WebProxy" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Browser Helper Objects\{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}" deleted successfully.
Program "c:\fix.reg" successfully queued to run on reboot.

Completed script processing.

*******************

Finished! Terminate.