Eliminare Trojan.Win32.Agent.agmu e Trojan-Banker.Win32.Banker.vup [era:virus problem

[madaro]

Salve, sono nuovo del forum e quindi, un saluto a tutti.
Vado al dunque.
ho beccato un o più virus, questo è il rapposto di caspersky online scanner:

H:\WINDOWS\system32\smmu6kT2.exe/H:\WINDOWS\system32\smmu6kT2.exe Infected: Trojan.Win32.Agent.agmu 1

H:\Documents and Settings\..........\Desktop\Cyber Grac Setup\Cyber Grac Setup.exe Infected: Trojan-Banker.Win32.Banker.vup 1

H:\WINDOWS\system32\smmu6kT2.exe Infected: Trojan.Win32.Agent.agmu 1
come li elimino? Ho fatto variaq scansioni con AVAST sia normale che il mod. provvisoria senza connessione e con disattivazione riprstino config. sistema ma...non lo vede nemmeno.
Come li elimino.
Grazie mille.

[Habanero]

Benvenuto madaro. La prossima volta usa un titolo meno generico, grazie.

[Deifobe]

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.


controlliamo il pc e rimuoviamo con avenger

[madaro]

credo di aver risolto il problema. Si trattava della versione 2009 del famigerato maleware antivirus 2008 (falso).
Ho scaricato ed eseguito Malwarebytes' Anti-Malware 1.28 il quale mi ha rilevato 11 infezioni in un minuto. Se può essere utile, di seguito riporto il file log della scansione:

Malwarebytes' Anti-Malware 1.28
Versione del database: 1266
Windows 5.1.2600 Service Pack 3

13/10/2008 20.45.37
mbam-log-2008-10-13 (20-45-37).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 47469
Tempo trascorso: 4 minute(s), 18 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 6
Valori di registro infetti: 3
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 3

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{037C7B8A-151A-49E6-BAED-CC05FCB50328} (Adware.Search Toolbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{037c7b8a-151a-49e6-baed-cc05fcb50328} (Adware.Search Toolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Somefox (Trojan.Agent) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\96177897494012484863579389225282 (Rogue.Antivirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\IEUpdate (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\Somefox (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
H:\WINDOWS\system32\winsrc.dll (Adware.Search Toolbar) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\ieexplorer32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\ieupdates.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Grazie a tutti

[hell's bells]

Rifai la scansione e falla "completa" te lo consiglio.

EDIToi aspetta le istruzioni di Deifobe se vuole comunque farti eseguire systemscan

[madaro]

Subito dopo la scanzione veloce l'ho rifatta completa con lo stesso programma è non mi ha rilevato nulla.
Ad ogni modo oggi riprovo con AVG (il quale precedentemente non mi aveva rilevato queste infezioni).

[madaro]

Originariamente inviato da Habanero
Benvenuto madaro. La prossima volta usa un titolo meno generico, grazie.

ecco il link del file:

http://www.savefile.com/files/1840300

[madaro]

scusami moderatore ho quotato l'intervento sbagliato. Intendevo riprendere il consiglio di Deifobe.

[Deifobe]

Esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
H:\WINDOWS\system32\smmu6kT2.exe
H:\WINDOWS\tasks\At8.job
H:\WINDOWS\tasks\At23.job
H:\WINDOWS\tasks\At9.job
H:\WINDOWS\tasks\At24.job
H:\WINDOWS\tasks\At1.job
H:\WINDOWS\tasks\At2.job
H:\WINDOWS\tasks\At3.job
H:\WINDOWS\tasks\At4.job
H:\WINDOWS\tasks\At5.job
H:\WINDOWS\tasks\At6.job
H:\WINDOWS\tasks\At7.job
H:\WINDOWS\tasks\At10.job
H:\WINDOWS\tasks\At21.job
H:\WINDOWS\tasks\At22.job
H:\WINDOWS\tasks\At13.job
H:\WINDOWS\tasks\At14.job
H:\WINDOWS\tasks\At15.job
H:\WINDOWS\tasks\At16.job
H:\WINDOWS\tasks\At17.job
H:\WINDOWS\tasks\At18.job
H:\WINDOWS\tasks\At19.job
H:\WINDOWS\tasks\At20.job
H:\WINDOWS\tasks\At11.job
H:\WINDOWS\tasks\At12.job

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in c:\avenger

[madaro]

Originariamente inviato da Deifobe
Esegui Avenger e nella finestra che si apre copia/incolla:



Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in c:\avenger

ecco il report di avenger:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Wed Oct 15 20:36:40 2008

20:36:40: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at H:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "H:\WINDOWS\system32\smmu6kT2.exe" not found!
Deletion of file "H:\WINDOWS\system32\smmu6kT2.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "H:\WINDOWS\tasks\At8.job" deleted successfully.
File "H:\WINDOWS\tasks\At23.job" deleted successfully.
File "H:\WINDOWS\tasks\At9.job" deleted successfully.
File "H:\WINDOWS\tasks\At24.job" deleted successfully.
File "H:\WINDOWS\tasks\At1.job" deleted successfully.
File "H:\WINDOWS\tasks\At2.job" deleted successfully.
File "H:\WINDOWS\tasks\At3.job" deleted successfully.
File "H:\WINDOWS\tasks\At4.job" deleted successfully.
File "H:\WINDOWS\tasks\At5.job" deleted successfully.
File "H:\WINDOWS\tasks\At6.job" deleted successfully.
File "H:\WINDOWS\tasks\At7.job" deleted successfully.
File "H:\WINDOWS\tasks\At10.job" deleted successfully.
File "H:\WINDOWS\tasks\At21.job" deleted successfully.
File "H:\WINDOWS\tasks\At22.job" deleted successfully.
File "H:\WINDOWS\tasks\At13.job" deleted successfully.
File "H:\WINDOWS\tasks\At14.job" deleted successfully.
File "H:\WINDOWS\tasks\At15.job" deleted successfully.
File "H:\WINDOWS\tasks\At16.job" deleted successfully.
File "H:\WINDOWS\tasks\At17.job" deleted successfully.
File "H:\WINDOWS\tasks\At18.job" deleted successfully.
File "H:\WINDOWS\tasks\At19.job" deleted successfully.
File "H:\WINDOWS\tasks\At20.job" deleted successfully.
File "H:\WINDOWS\tasks\At11.job" deleted successfully.
File "H:\WINDOWS\tasks\At12.job" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.