Downloader.Agent.uj

[sgnapsus]

Intanto un ciao a tutti sono nuovo ma conosco il forum da tempo visto che spesso mi e' stato d'aiuto senza dover aprire un post.
Ma adesso mi tocca.

Tutto e' cominciato con UNISPYPC.EXE che mi si e' installato da se.
Dopo aver letto numerosi forum a riguardo sono quasi arrivato a buon punto ma hi bisogno di un ultimo consiglio.

A seguito quello che ho fatto fino ad ora:

1) Spybot S&D = scansione lentissima ma nessun allarme.
2) Ad-aware = crasha dopo pochi secondi.
3) Bit Defender 9 PRO + firewall = ha tolto buona parte dei problemi tranne uno che spieghero' alla fine.
4) Regsupreme 1.2 = crasha dopo poco.
5) XSpy shield = non si avvia.
6) XSpy monitor = non si avvia.
7) CWShredder = non rileva problemi.
8) CCleaner = non rileva problemi.
9) Pcrescue v3.0 = non rileva problemi.
10) Ewido anti-malware = RILEVA il problema ma non lo risolve.

Questo il log di Ewido:

---------------------------------------------------------
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------

+ Creato il: 19.54.26, 22/12/2005
+ Report-Checksum: 2EDE49AE

+ Risultati scansione:

[612] VM_00D60000 -> Downloader.Agent.uj : Errore durante la pulizia
[640] VM_00D90000 -> Downloader.Agent.uj : Errore durante la pulizia
[1644] VM_008C0000 -> Downloader.Agent.uj : Errore durante la pulizia
[1740] VM_009D0000 -> Downloader.Agent.uj : Errore durante la pulizia
[904] VM_00B00000 -> Downloader.Agent.uj : Errore durante la pulizia
[2172] VM_00B40000 -> Downloader.Agent.uj : Errore durante la pulizia
[2188] VM_00350000 -> Downloader.Agent.uj : Errore durante la pulizia
[2260] VM_009C0000 -> Downloader.Agent.uj : Errore durante la pulizia
[2284] VM_009C0000 -> Downloader.Agent.uj : Errore durante la pulizia
[2300] VM_00350000 -> Downloader.Agent.uj : Errore durante la pulizia
[2436] VM_00350000 -> Downloader.Agent.uj : Errore durante la pulizia
[2892] VM_00350000 -> Downloader.Agent.uj : Errore durante la pulizia
[1408] VM_00B10000 -> Downloader.Agent.uj : Errore durante la pulizia
[1640] VM_010A0000 -> Downloader.Agent.uj : Errore durante la pulizia
[804] VM_00B10000 -> Downloader.Agent.uj : Errore durante la pulizia


::Fine Rapporto

Sottolineo che tutti i programmi li ho fatti scansionare in modalita' provvisoria e normale.
Ho disattivato il ripristino di sistema ancor prima di fare le varie scansioni.

Aggiungo il log di Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 20.04.36, on 22/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
C:\Programmi\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe
C:\Programmi\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Sgnapso\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programmi\Softwin\BitDefender9\bdoesrv.exe "
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe"
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096733391354
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EA8F1FF-90C4-4108-9179-553BAD4EDB4E}: NameServer = 85.255.115.28 85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2F1304F-29C6-4FD8-83DC-F8D9F609F5DC}: NameServer = 85.255.115.28,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB117C0-66E0-40EF-A6CC-76B96969F76C}: NameServer = 85.255.115.28,85.255.112.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{6EA8F1FF-90C4-4108-9179-553BAD4EDB4E}: NameServer = 85.255.115.28 85.255.112.131

Infine aggiugo i dati macchina:
AMD 2500+ 1Gb ram Radeon 9800pro WinXP SP2 aggiornato.

Grazie dell'attenzione.

[LUCASS]

Ciao,falla in provvisoria la scansione con ewido e dovrebbe riuscire ad eliminarli,ciao

[sgnapsus]

Ciao Lucass ho provato come hai detto te anche se l'avevo gia' fatto come scritto sul mio post cmq il risultato della scansione in modalita' provvisoria e' la seguente:

---------------------------------------------------------
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------

+ Creato il: 21.06.04, 22/12/2005
+ Report-Checksum: B2904B2

+ Risultati scansione:

[304] VM_00D60000 -> Downloader.Agent.uj : Errore durante la pulizia
[328] VM_00BF0000 -> Downloader.Agent.uj : Errore durante la pulizia
[916] VM_009D0000 -> Downloader.Agent.uj : Errore durante la pulizia


::Fine Rapporto

Sono di meno ma ci sono.

[LUCASS]

Ok posta un log di Hiajckthis con la versione aggiornata che scarica da qui http://thespykiller.co.uk/html/files/HijackThis.exe
ti da di default C:\Programmi\Hijackthis come destinazione della cartella accetta quella locazione ciao

[sgnapsus]

Ecco qua:

Logfile of HijackThis v1.99.1
Scan saved at 22.35.13, on 22/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Programmi\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe
C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe
C:\Programmi\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\ICQLite\ICQLite.exe
C:\Programmi\Razor\Razor.exe
C:\Program Files\Ultima Online Samurai Empire\uotd.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Sgnapso\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programmi\Softwin\BitDefender9\bdoesrv.exe "
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096733391354
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EA8F1FF-90C4-4108-9179-553BAD4EDB4E}: NameServer = 85.255.115.28 85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2F1304F-29C6-4FD8-83DC-F8D9F609F5DC}: NameServer = 85.255.115.28,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB117C0-66E0-40EF-A6CC-76B96969F76C}: NameServer = 85.255.115.28,85.255.112.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{6EA8F1FF-90C4-4108-9179-553BAD4EDB4E}: NameServer = 85.255.115.28 85.255.112.131
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programmi\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[LUCASS]

:master: :master:
Ok una domanda hai installato tu questi programmi?
Razor
Ultima Online Samurai Empire

Il problema di ewido con quel malware e noto in internet vediamo di risolvere come risolvono gli altri è una mezza infezione da rootkit
Scarica FixWareout
http://downloads.subratam.org/Fixwareout.exe
Salvalo sul desktop,doppio click sul file>clicca su "Instal"
spunta la casella ""Run fixit" e clicca su "Finish"
Il tool inizierà segui le istruzioni a schermo(inglese ma non troppo) ti chiederà il riavvio la frase del riavvio e reboot,il riavvio sarà più lento questo è normale

Dopo il riavvio apri Hiajcthis metti le spunte nelle caselle che corrispondono a queste stringhe e clicca su "Fix checked"per eliminarle
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EA8F1FF-90C4-4108-9179-553BAD4EDB4E}: NameServer = 85.255.115.28 85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2F1304F-29C6-4FD8-83DC-F8D9F609F5DC}: NameServer = 85.255.115.28,85.255.112.131
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB117C0-66E0-40EF-A6CC-76B96969F76C}: NameServer = 85.255.115.28,85.255.112.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{6EA8F1FF-90C4-4108-9179-553BAD4EDB4E}: NameServer = 85.255.115.28 85.255.112.131

Ricollegati a internet scarica questo programma sul desktop
http://www.europe.f-secure.com/exclu...ght/blbeta.exe
Doppio click su blbeta.exe
Metti il puntino nella casella "I accept the agreement"
Clicca su "Next"
Clicca su "Scan"
Se trova qualcosa non cliccare su "Clening"

Per piacere postami questi log
report.txt (C:\fixwareout)
fsbl.xxxxxxx.log (desktop xxxxxxxxx sta a significare dei numeri)

[sgnapsus]

Eccomi qua, scusa se sono sparito ma avevo impegni.
Cmq ecco i log:


Fixwareout ver 1.003
Last edited 12/5/2005
Post this report in the forums please

Reg Entries that were deleted

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...
C:\WINDOWS\SYSTEM32\CSBMB.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

Il secondo:

12/24/05 00:19:05 [Info]: BlackLight Engine 1.0.30 initialized
12/24/05 00:19:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/24/05 00:19:05 [Note]: 7019 4
12/24/05 00:19:05 [Note]: 7005 0
12/24/05 00:19:08 [Note]: 7006 0
12/24/05 00:19:08 [Note]: 7011 1784
12/24/05 00:19:08 [Note]: FSRAW library version 1.7.1014
12/24/05 00:20:01 [Note]: 7007 0

[LUCASS]

Ma capirai,aggiorna ewido, avvia in modalità provvisoria
Elimina il files in rosso
C:\WINDOWS\SYSTEM32\CSBMB.EXE
se non lo trovi devi visualizzare i files e le cartelle nascoste da opzioni cartelle
Start>pannello di controllo>opzioni cartella>visualizzazione
-Metti la spunta nella casella "Visualizza file e cartelle nascoste"
-TOGLI la spunta dalla casella "Nascondi file di sistema(consigliato)"
-Rispondi di SI al messaggio
-Applica>OK

Avvia sempre dalla provvisoria una scansione approfondita,finita la scansione riavvia in modalità normale,fammi sapere se trova ancora qualcosa
Ciao

[sgnapsus]

Perfetto, c'erano 2 o 3 boiate ma le ha rimosse, per quanto riguarda il downloader.agent.uj non c'e' + traccia.

Ti ringrazio molto del tempo che mi hai dedicato.

Alla prossima.

[LUCASS]

Sono contento ciao e buone feste