Olimpo Informatico

[siope]

ciao a tutti,
facendo una scansione con spybot ho trovato nel mip pc Win32.Agent.xv

ho provato vari programmi che mi sono stati consigliati per debellarlo, come virit, antivir, ho fatto anche una scansione con avg anti-spyware ma nulla.. quando rifaccio la scansione con spybot trova sempre 3 voci nel registro di sistema che fanno riferimento a win32.agent.xv

come fare potete darmi qualche consiglio per risolvere la cosa?

grazie in anticipo...

[chemicalbit]

Benvenuto siope


Posta un log di HijackThis
(guarda la discusisone "il melgio di sicurezza e privacy" in cima al forum sicurezza e privacy)

[siope]

grazie

questo è il log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 2.35.18, on 17/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\D-Tools\daemon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\PC\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /M "Stylus DX3800" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B84487E0-7E53-4658-BDF1-265859A673E3}: NameServer = 85.37.17.39 151.99.125.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

[siope]

credo di avere anche un altro problema.. causato da me penso
(premetto che sono molto inesperta ):

una scansione di avg mi dava un avvertimento, riferito a un file di nome file "host" contenuto in windows/system32/drivers. l'avvertimento riportava la dicitura "change" e io.. ahimè.. ho cancellato questo file per sbaglio..

da allora ho dei problemi con la connessione di rete..
so che nn c'entra nulla col problema del virus ma se poteste darmi una mano ve ne sarei grata....

a presto

[Smjert]

Prova a scaricare questo file Hosts, funziona come una blacklist dei siti di adware e spyware.
Ogni un tot riscaricatelo (tipo ogni mese) perchè lo aggiornano continuamente.
Per installarlo:
Decomprimi l'archivio dove vuoi, fai doppioclick su mvps.bat e quando appare la finestra con lo sfondo blu dai invio.
Di solito il file hosts su Windows è vuoto, se supera i 135kb (dice nella guida) potrebbe rallentare un pochino il pc, per evitare questo vai sulla barra di avvio Start->Esegui->digita services.msc, trova la voce Client DNS, fai click sopra con il destro->Proprietà, dove c'è Tipo di avvio: seleziona Manuale, premi poi Applica, Ok, riavvia il pc.
(quello che hai cancellato tu probabilemente era stato modificato da qualche malware per bloccare siti di antivirus ecc).

Fatti quindi una scansione online con Panda dato che il malware che hai è un backdoor.. e sul log di HijackThis non vedo nulla.
Posta poi il risultato della scansione.

[siope]

ciao

questo è il risultato della scansione con panda:

Incident Status Location

Dialer:dialer.min Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB893839-10F0-4AF9-92FA-B23528F530AF}
Adware:adware/sgrunt Not disinfected Windows Registry
Potentially unwanted tool:Application/MSNContentPlus Not disinfected C:\WINDOWS\MSNImport.exe
Potentially unwanted tool:Application/MSNContentPlus Not disinfected C:\WINDOWS\msnpolym.exe



Inoltre ho scaricato il file hosts che mi hai consigliato, ma il problema persiste: riesco a connettermi e a navigare tranquillamente ma non appare nessuna icona nell'area di notifica che visualizzi il fatto che sono connessa, e andando in risorse di rete nn riesco a visualizzare lo stato della connessione... a cosa può essere dovuto?

grazie in anticipo per l'aiuto

[Smjert]

Vai su Start->Esegui>digita regedit, ti si apre l'editor di registro, trova questa chiave e cancellala HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB893839-10F0-4AF9-92FA-B23528F530AF}

Carica questi due file (uno per volta) C:\WINDOWS\MSNImport.exe, C:\WINDOWS\msnpolym.exe (premi Sfoglia, seleziona il file e poi premi Send, aspetta che gli antivirus finiscano di analizzarlo e poi posti il risultato).

[siope]

Allora... se vado in risorse di rete e clicco su "visualizza connessioni di rete" appare la connessione adsl.. cliccando su di essa con il tasto destro e poi scegliendo "stato" non appare nulla, mentre prima mi dava le informazioni sulla connessione. Allo stesso modo, se vado in "proprietà", l'opzione per mostrare un'icona nell'area di notifica è spuntata... ma nn appare nessuna icona ugualmente..

poi.. ho cancellato la chiave dall'editor di registro, però..scusa l'ignoranza..ma potresti spiegarmi meglio cosa intendi per

Citazione:

Carica questi due file (uno per volta) C:\WINDOWS\MSNImport.exe, C:\WINDOWS\msnpolym.exe (premi Sfoglia, seleziona il file e poi premi Send, aspetta che gli antivirus finiscano di analizzarlo e poi posti il risultato).

grazie per la pazienza

[siope]

ah.. forse ho capito.. dicevi di caricarli in questo sito: www.virustotal.com?
(l'ho visto in un altro tuo post )

bè se è così ti mando i risultati..

per MSNImport.exe:

STATUS: FINISHEDComplete scanning result of "MSNImport.exe", received in VirusTotal at 01.18.2007, 00:36:02 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.17.2007 no virus found
Authentium 4.93.8 01.17.2007 no virus found
Avast 4.7.936.0 01.17.2007 no virus found
AVG 386 01.17.2007 no virus found
BitDefender 7.2 01.17.2007 no virus found
CAT-QuickHeal 9.00 01.17.2007 no virus found
ClamAV devel-20060426 01.17.2007 no virus found
DrWeb 4.33 01.17.2007 no virus found
eSafe 7.0.14.0 01.17.2007 no virus found
eTrust-InoculateIT 23.73.115 01.17.2007 no virus found
eTrust-Vet 30.3.3332 01.17.2007 no virus found
Ewido 4.0 01.17.2007 no virus found
Fortinet 2.82.0.0 01.17.2007 no virus found
F-Prot 3.16f 01.17.2007 no virus found
F-Prot4 4.2.1.29 01.17.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.17.2007 no virus found
McAfee 4941 01.17.2007 no virus found
Microsoft 1.1904 01.17.2007 no virus found
NOD32v2 1985 01.17.2007 no virus found
Norman 5.80.02 01.17.2007 no virus found
Panda 9.0.0.4 01.17.2007 Application/MSNContentPlus
Prevx1 V2 01.18.2007 no virus found
Sophos 4.13.0 01.17.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 no virus found
UNA 1.83 01.17.2007 no virus found
VBA32 3.11.2 01.17.2007 no virus found
VirusBuster 4.3.19:9 01.17.2007 no virus found


Aditional Information
File size: 716800 bytes
MD5: 87e204cebd13da1d7164323cc509d2a2
SHA1: 47b592e6c721a95a71e14fd4a6d61b14e4b8ba57
packers: BINARYRES


e per msnpolym.exe:

STATUS: FINISHEDComplete scanning result of "msnpolym.exe", received in VirusTotal at 01.18.2007, 00:42:08 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.17.2007 no virus found
Authentium 4.93.8 01.17.2007 no virus found
Avast 4.7.936.0 01.17.2007 no virus found
AVG 386 01.17.2007 no virus found
BitDefender 7.2 01.17.2007 no virus found
CAT-QuickHeal 9.00 01.17.2007 no virus found
ClamAV devel-20060426 01.17.2007 no virus found
DrWeb 4.33 01.17.2007 no virus found
eSafe 7.0.14.0 01.17.2007 no virus found
eTrust-InoculateIT 23.73.115 01.17.2007 no virus found
eTrust-Vet 30.3.3332 01.17.2007 no virus found
Ewido 4.0 01.17.2007 no virus found
Fortinet 2.82.0.0 01.17.2007 no virus found
F-Prot 3.16f 01.17.2007 no virus found
F-Prot4 4.2.1.29 01.17.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.17.2007 no virus found
McAfee 4941 01.17.2007 no virus found
Microsoft 1.1904 01.17.2007 no virus found
NOD32v2 1985 01.17.2007 no virus found
Norman 5.80.02 01.17.2007 no virus found
Panda 9.0.0.4 01.17.2007 Application/MSNContentPlus
Prevx1 V2 01.18.2007 no virus found
Sophos 4.13.0 01.17.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 no virus found
UNA 1.83 01.17.2007 no virus found
VBA32 3.11.2 01.17.2007 no virus found
VirusBuster 4.3.19:9 01.17.2007 no virus found


Aditional Information
File size: 135168 bytes
MD5: ccb02ab818d65b5ae18c729c4bbc0505
SHA1: ff8b6ab11fd9a828ffbf55e466fdf55ba14ed484


a presto

[chemicalbit]

[siope]

E' l'ultima versione di AVG free, ed evidentemente avvisava di un cambiamento del file.. almeno credo..
la scansione con panda cmq l'avevo fatta prima, su indicazione di Smjert, e ci sono anche i risultati su.

[Smjert]

Sì intendevo virustotal (perchè serve per analizzare singoli file), ero convinto di averlo scritto e invece non c'era .

[siope]

E' una connessione dial-up
se clicco due volte mi spunta la richiesta dati e si connette normalmente, ma innanzitutto sotto la connessione rimane scritto"disconnesso" finchè nn aggiorno la pagina manualmente, poi come ti ho detto nn appare nessuna icona nell'area di notifica nonostante l'opzione sia segnata, poi se clicco di nuovo sulla connessione (due volte col tasto sinistro o col tasto destro andando a cercare "stato") nn succede nulla, mentre prima mi si apriva una finestra con tutte le informazioni: velocità di connessione, tempo passato dall'inizio della connessione, byte mandati e ricevuti, ecc..



intanto spybot continua a trovarmi tre voci riguardanti win32agent.xv e le rintraccia in tre chiavi del registro di sistema che nn riesce a correggere, ho provato anche a cancellarle manualmente ma nn si cancellano...

[siope]

ciao
dopo qualche giorno rieccomi.. con problemi ancora più grandi
dopo aver fatto altre scansioni con programmi vari come superantyspyware e avast senza nessun risultato.. i problemi con la shell di windows sono aumentati fino a che a un riavvio del sistema nn sono apparse nè icone nè barra delle applicazioni..
ho aperto task manager e sono andata su file->esegui digitando explorer.exe ma niente da fare..

è un problema dovuto a win32.agent.xv?
e cmq aveteun consiglio da darmi, o è meglio procedere a una formattazione del pc?

datemi una mano per favore.. nn ho idea di cosa poter fare..

[Smjert]

Scarica VirIt, dovrebbe riconoscerlo e rimuovertelo.

[siope]

avevo provato anche virit giorni fa ma nn me lo trovava.. e l'ho disinstallato.. cmq avevo provato a rifare tutto adesso ma nn me lo istalla.. appare un avviso con scritto: "unable to start DDE comunication with Program Manager"

che dici è meglio formattare?