Trojan-Downloader.Win32.Agent [ho alcuni virus nel pc]

**stinfo** · 15-09-2008, 20:31

ho già fatto la scansione con suspectfile ecco il report:

www.savefile.com/files/1788788

ora come procedo?

**Deifobe** · 15-09-2008, 22:14

analizzo il rapporto..

**Deifobe** · 15-09-2008, 22:55

alcuni virus.... c'è un po' da ripulire..

Scarica Avenger e CCleaner

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"spoolw"=-
"igfxsvc"=-
"comchkmnt"=-
"MsServer"=-

[-HKey_Classes_Root\CLSID\{397DA2A5-1D8E-CB9D-C612-03011A2AFC83}]

[-HKey_Classes_Root\CLSID\{2F453B00-C9C3-379D-847C-E0D234E5FB52}]

[-HKey_Classes_Root\CLSID\{32131238-5434-4234-4234-432432423432}]

[-HKey_Classes_Root\CLSID\{3BB7B7BC-42BB-3396-877C-5D3CFD5B0007}]

[-HKey_Classes_Root\CLSID\{72A128E0-2240-40c8-9E92-5387D64F839E}]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Uninstall\Inet Delivery]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Uninstall\mslagent]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Uninstall\Golden Palace Casino NEW]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file

apri un altro file txt e copiaci dentro:

files to delete:
C:\fun.xls.exe
C:\AUTORUN.INF
C:\sqmdata07.sqm
C:\sqmnoopt07.sqm
C:\sqmdata08.sqm
C:\sqmnoopt08.sqm
C:\sqmnoopt09.sqm
C:\sqmdata09.sqm
C:\sqmnoopt10.sqm
C:\sqmdata10.sqm
C:\sqmdata11.sqm
C:\sqmnoopt11.sqm
C:\sqmnoopt12.sqm
C:\sqmdata12.sqm
C:\sqmdata13.sqm
C:\sqmnoopt13.sqm
C:\sqmdata14.sqm
C:\sqmnoopt14.sqm
C:\sqmdata15.sqm
C:\sqmnoopt15.sqm
C:\sqmdata16.sqm
C:\sqmnoopt16.sqm
C:\sqmdata17.sqm
C:\sqmnoopt17.sqm
C:\sqmnoopt18.sqm
C:\sqmdata18.sqm
C:\sqmnoopt19.sqm
C:\sqmdata19.sqm
C:\sqmnoopt01.sqm
C:\sqmdata01.sqm
C:\sqmdata02.sqm
C:\sqmnoopt02.sqm
C:\sqmdata03.sqm
C:\sqmnoopt03.sqm
C:\sqmdata04.sqm
C:\sqmnoopt04.sqm
C:\sqmnoopt05.sqm
C:\sqmdata05.sqm
C:\sqmdata06.sqm
C:\sqmnoopt06.sqm
C:\WINDOWS\4829031.exe
C:\WINDOWS\4921734.exe
C:\WINDOWS\4921828.exe
C:\WINDOWS\821312.exe
C:\WINDOWS\822562.exe
C:\WINDOWS\834234.exe
C:\WINDOWS\835046.exe
C:\WINDOWS\855062.exe
C:\WINDOWS\855265.exe
C:\WINDOWS\856687.exe
C:\WINDOWS\8835078.exe
C:\WINDOWS\8835281.exe
C:\WINDOWS\xml2u32h.dll
C:\WINDOWS\844750.exe
C:\WINDOWS\845968.exe
C:\WINDOWS\829187.exe
C:\WINDOWS\830046.exe
C:\WINDOWS\4855796.exe
C:\WINDOWS\4856937.exe
C:\WINDOWS\8891406.exe
C:\WINDOWS\8893046.exe
C:\WINDOWS\12903812.exe
C:\WINDOWS\12902812.exe
C:\WINDOWS\832468.exe
C:\WINDOWS\833281.exe
C:\WINDOWS\821046.exe
C:\WINDOWS\822203.exe
C:\WINDOWS\830562.exe
C:\WINDOWS\831750.exe
C:\WINDOWS\820312.exe
C:\WINDOWS\821203.exe
C:\WINDOWS\823968.exe
C:\WINDOWS\824781.exe
C:\WINDOWS\902656.exe
C:\WINDOWS\903875.exe
C:\WINDOWS\864375.exe
C:\WINDOWS\865046.exe
C:\WINDOWS\winsystem.exe
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\bdn.com
C:\WINDOWS\base64.tmp
C:\WINDOWS\a.bat
C:\WINDOWS\mssecu.exe
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\zip1.tmp
C:\WINDOWS\zip2.tmp
C:\WINDOWS\zip3.tmp
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\zipped.tmp
C:\WINDOWS\system32\msime82.exe
C:\WINDOWS\system32\msfun80.exe
C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\e2v93888.dll
C:\WINDOWS\system32\e2v93888.exe
C:\WINDOWS\system32\mx18114.dll
C:\WINDOWS\system32\mmx18114.dll
C:\WINDOWS\system32\mx17098.dll
C:\WINDOWS\system32\mmx17098.dll
C:\WINDOWS\system32\lphcljnj0el9e.exe
C:\WINDOWS\system32\noxulyny.exe
C:\WINDOWS\system32\ssurf022.dll
C:\WINDOWS\system32\ps1.exe
C:\WINDOWS\system32\regm64.dll
C:\WINDOWS\system32\regc64.dll
C:\WINDOWS\system32\psof1.exe
C:\WINDOWS\system32\sncntr.exe
C:\WINDOWS\system32\Rundl1.exe
C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\VBIEWER.OCX
C:\WINDOWS\system32\thun32.dll
C:\WINDOWS\system32\WINWGPX.EXE
C:\WINDOWS\system32\winsystem.exe
C:\WINDOWS\system32\vcatchpi.dll
C:\WINDOWS\system32\thun.dll
C:\WINDOWS\system32\sysreq.exe
C:\WINDOWS\system32\ssvchost.exe
C:\WINDOWS\system32\ssvchost.com
C:\WINDOWS\system32\temp#01.exe
C:\WINDOWS\system32\taack.exe
C:\WINDOWS\system32\taack.dat
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\emesx.dll
C:\WINDOWS\system32\hoproxy.dll
C:\WINDOWS\system32\hxiwlgpm.exe
C:\WINDOWS\system32\hxiwlgpm.dat
C:\WINDOWS\system32\dpcproxy.exe
C:\WINDOWS\system32\anticipator.dll
C:\WINDOWS\system32\akttzn.exe
C:\WINDOWS\system32\awtoolb.dll
C:\WINDOWS\system32\bsva-egihsg52.exe
C:\WINDOWS\system32\bdn.com
C:\WINDOWS\system32\medup012.dll
C:\WINDOWS\system32\mwin32.exe
C:\WINDOWS\system32\mtr2.exe
C:\WINDOWS\system32\newsd32.exe
C:\WINDOWS\system32\netode.exe
C:\WINDOWS\system32\msvchost.exe
C:\WINDOWS\system32\msnbho.dll
C:\WINDOWS\system32\msgp.exe
C:\WINDOWS\system32\medup020.dll
C:\WINDOWS\system32\mssecu.exe
C:\WINDOWS\system32\winlogonpc.exe
C:\WINDOWS\system32\phcljnj0el9e.bmp
C:\WINDOWS\system32\blphcljnj0el9e.scr
C:\DOCUME~1\pc\IMPOST~1\Temp\.tt2.tmp
C:\DOCUME~1\pc\IMPOST~1\Temp\.tt2.tmp.vbs
C:\DOCUME~1\pc\IMPOST~1\Temp\.tt5.tmp.exe
C:\DOCUME~1\pc\IMPOST~1\Temp\.tt5.tmp
C:\DOCUME~1\pc\IMPOST~1\Temp\.tt4.tmp.vbs
C:\DOCUME~1\pc\IMPOST~1\Temp\.tt4.tmp
C:\DOCUME~1\pc\IMPOST~1\Temp\.tt7.tmp
C:\DOCUME~1\pc\IMPOST~1\Temp\.tt6.tmp
C:\DOCUME~1\pc\IMPOST~1\Temp\.tt6.tmp.vbs
C:\DOCUME~1\pc\IMPOST~1\Temp\.ttA.tmp
C:\DOCUME~1\pc\IMPOST~1\Temp\.tt8.tmp.vbs
C:\DOCUME~1\pc\IMPOST~1\Temp\.tt8.tmp
C:\DOCUME~1\pc\IMPOST~1\Temp\.ttB.tmp
C:\Documents and Settings\pc\Impostazioni locali\Temp\.tt5.tmp.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Documents and Settings\All Users\Dati applicazioni\jopkjivs\pwtsrspe.exe
C:\Programmi\syxnguc\ensetui.dll
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\w32dbg.exe
C:\Programmi\KB09103.exe
C:\Programmi\KB26249.exe
C:\Programmi\altcmd\altcmd32.dll

folders to delete:
C:\WINDOWS\system32\smp
C:\WINDOWS\mslagent
C:\Programmi\syxnguc
C:\Programmi\akl
C:\Documents and Settings\All Users\Dati applicazioni\jopkjivs
C:\Programmi\altcmd
C:\Programmi\Inet Delivery

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | IMJPMIG8.2
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | lphcljnj0el9e
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | inrhcgjnj0el9e
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run | v32cEItW4I
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | ensetui
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | E2 Lib

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{32131238-5434-4234-4234-432432423432}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{3BB7B7BC-42BB-3396-877C-5D3CFD5B0007}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{72A128E0-2240-40c8-9E92-5387D64F839E}

programs to launch on reboot:
c:\fix.reg

salvalo in c:\ come files.txt e chiudi il file
(questo sarà il contenuto dello script che inserirai in avenger dopo)

Stampa queste indicazioni e disconnetti il pc da internet

Richiama il task manager (ctrl+alt+canc)
a) clicca su "nuova operazione" e digita regedit.exe - lascia aperta questa finestra
b) dal task manager termina il processo "explorer" (spariranno le cartelle dal desktop ma e' normale)
c) non chiudere il task manager fino al riavvio del pc.

1) spostati nella finestra del registro e segui questo percorso fino a cliccare sulla chiave explorer.exe:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\image file execution options\explorer.exe]

2) ora devi eliminarla:
--- clicca su explorer.exe con il tasto destro del mouse => seleziona "elimina".
--- se non te la fa eliminare, riclicca sulla chiave ma scegli => "autorizzazioni" => "controllo completo" => spunta "consenti". Riprova ad eliminarla.
--- se comunque non te la fa eliminare, controlla non sia attivo (vedi task manager) il processo richiamato in questa chiave (C:\WINDOWS\w32dbg.exe). Se c'è, lo termini e riesegui l'operazione delle autorizzazioni.

3) eliminata la chiave explorer.exe, elimina anche la chiave iexplore.exe:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
(ripeti l'intera operazione fatta per la prima)

se sei riuscito ad eliminare la chiave explorer.exe, chiudi la finestra del registro, ora non serve più... e continua con questa procedura:

dal taskmanager, trova ed esegui avenger. Nella finestra copia/incolla tutto il contenuto del file files.txt (non ti confondere).
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Svuota C:\WINDOWS\Prefetch

Posta un nuovo systemscan e il rapporto di avenger

**stinfo** · 15-09-2008, 23:06

grazie sei sempre gentilissima i programmi li tengo già l'ho già fatto l'altra volta stavolta è x una mia amica...ma dimmi una cosa il procedimento è sempre lo stesso o varia dal tipo di virus?

**Deifobe** · 16-09-2008, 00:04

dipende.. se si usa systemscan il procedimento più o meno è quello che conosci.
la tua amica aveva di tutto di più... (o meglio, "ha", fin quando non ripulisci...)

edit:
ho aggiunto allo script una cartella e tre chiavi
Ciao

**stinfo** · 16-09-2008, 15:22

eh capirai ha navigato per mesi senza antivirus :S

**Deifobe** · 16-09-2008, 17:23

ma va...?
non lo avrei mai detto......

**stinfo** · 16-09-2008, 18:59

che antivirus mi consigli??? io ora cm ora uso Kaspersky

**Deifobe** · 16-09-2008, 19:25

ok, va bene quello...

**stinfo** · 18-09-2008, 21:28

ho fatto tutto tutto si so tolti i virus ora vado ad installare Kaspersky mi accetta pure la key ma non si attiva l'antivirus dice che il pc nega l'attivazione mmm

Discussione: Trojan-Downloader.Win32.Agent [ho alcuni virus nel pc]

Strumenti discussione

Ricerca discussione

Visualizza

ho alcuni virus nel pc

Permessi di invio