Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

infettato da agobot?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

infettato da agobot?

Messaggioda noviziopasticcio » mer ago 30, 2006 12:15 pm

ciao a tutti. spybot nella utilità esecuzione automatica mi rileva una chiave hc cu run in bianco. nella finestra accanto mi segnala che è un file di nome sysyem32.exe aggiunto da agobot -ku worm. antivir non lo rileva....
come agisco?grazie
so w2ksp4 firewall za av antivir
ps tutto il mio sistema è aggiornato
Avatar utente
noviziopasticcio
Senior Member
Senior Member
 
Messaggi: 370
Iscritto il: ven nov 04, 2005 11:41 am

Messaggioda Amantide » mer ago 30, 2006 2:20 pm

Fai la scansione con Ewido e Kaspersky online e posta il log di Hijackthis.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda noviziopasticcio » mer ago 30, 2006 4:38 pm

ewido ha trovato un po di schifezze ma niente di serio.
kaspersky non riesco a d usarlo con firefox. ho privato ie ma esce un msg che una finestra pop up e stata bloccata.ho cambiato tutti i ilivelli delle impostazioni avanzate ma niente...come faccio????
Avatar utente
noviziopasticcio
Senior Member
Senior Member
 
Messaggi: 370
Iscritto il: ven nov 04, 2005 11:41 am


Messaggioda Amantide » mer ago 30, 2006 5:00 pm

Posta intanto il log di Hijackthis e vediamo se si vede qualcosa.

Perevitare un falso allarme prima scarica il CCleaner e pulisci i file temporanei.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda noviziopasticcio » mer ago 30, 2006 6:09 pm

Logfile of HijackThis v1.99.1
Scan saved at 19.07.16, on 30/08/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://download.windowsupadate.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/viru ... ebscan.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/sho ... wflash.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Utility Manager (UtilMan) - Unknown owner - C:\WINNT\System32\UtilMan.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

..quanta roba! CC cleaner lo uso regolarmente.ho anche spywareblaster e ad aware. [:-D]
Avatar utente
noviziopasticcio
Senior Member
Senior Member
 
Messaggi: 370
Iscritto il: ven nov 04, 2005 11:41 am

Messaggioda Amantide » mer ago 30, 2006 6:21 pm

Direi che di Agobot non c'è traccia, poteva trattarsi anche di un falso allarme oppure esso si riferiva a qualche file temporaneo sospetto.

Ma cos' hai della Logitech? [sbigot]
Intanto tutte le voci che iniziano con O18 puoi fixare, sono proprio troppi per essere lasciati li. [:-D]
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Amantide » mer ago 30, 2006 6:24 pm

Hai eliminato tu tutte le voci O18 dal log oppure ho l'allucinazioni io? [boxed]
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda noviziopasticcio » mer ago 30, 2006 6:37 pm

...io non ho fatto niente! [:-D] della logitech ho un mouse cordless.cmnq tolgo tutto lo 018 allora(se non e gia sparito... [:-D] ).per quella voce di spybot: non la ho ancora rimossa. lo faccio?
Avatar utente
noviziopasticcio
Senior Member
Senior Member
 
Messaggi: 370
Iscritto il: ven nov 04, 2005 11:41 am

Messaggioda crazy.cat » mer ago 30, 2006 6:38 pm

Amantide ha scritto:Hai eliminato tu tutte le voci O18 dal log oppure ho l'allucinazioni io? [boxed]

Indovina chi è stato?

Queste sono tue modifiche?
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://download.windowsupadate.com
O15 - Trusted Zone: http://*.windowsupdate.com

Il file sysyem32.exe è presente nel tuo pc?

X Amantide tieni a bada la sezione, io per le prossime due settimane sono molto poco presente.
Grazie
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Amantide » mer ago 30, 2006 6:47 pm

noviziopasticcio ha scritto:per quella voce di spybot: non la ho ancora rimossa. lo faccio?

Se non puoi metterla in quarantena allora rimuovila. (credevo che l'avevi già fatto)
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Amantide » mer ago 30, 2006 6:53 pm

crazy.cat ha scritto:
Amantide ha scritto:Hai eliminato tu tutte le voci O18 dal log oppure ho l'allucinazioni io? [boxed]

Indovina chi è stato?

Mi fai fare delle figuracce... [sedia]
[:-D]
crazy.cat ha scritto:X Amantide tieni a bada la sezione, io per le prossime due settimane sono molto poco presente.
Grazie

Agli ordini!!! [8D]
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda noviziopasticcio » mer ago 30, 2006 6:56 pm

ho windows update in automatico,se si puo chiamare una modifica.uso IE solo per quello.
system32.exe l'ho cercato con "trova" e...non si trova.
nel task manager non c'e'.
vuole dire che non c'e' o devo cercare in altro modo?
Avatar utente
noviziopasticcio
Senior Member
Senior Member
 
Messaggi: 370
Iscritto il: ven nov 04, 2005 11:41 am

Messaggioda noviziopasticcio » mer ago 30, 2006 7:01 pm

Se non puoi metterla in quarantena allora rimuovila. (credevo che l'avevi già fatto)

non viene rilevata dalla scansione, è una voce in esecuzione automatica.posso solo rimuoverla.
Avatar utente
noviziopasticcio
Senior Member
Senior Member
 
Messaggi: 370
Iscritto il: ven nov 04, 2005 11:41 am

Messaggioda noviziopasticcio » mer ago 30, 2006 7:20 pm

...scusa se e una domanda stupida...
spybot lo collega al worm agobot.
se rimuovo quella chiave dall'esecuzione automatica non ho rimosso il worm,no?
e come faccio a sapere se effettivamente c'e' il worm visto che l'av non me lo segnala?(ho fatto 2 scansioni in provvisoria)
Avatar utente
noviziopasticcio
Senior Member
Senior Member
 
Messaggi: 370
Iscritto il: ven nov 04, 2005 11:41 am

Messaggioda Amantide » mer ago 30, 2006 8:04 pm

noviziopasticcio ha scritto:system32.exe l'ho cercato con "trova" e...non si trova.
vuole dire che non c'e' o devo cercare in altro modo?

Non so sul win2000 ma sul xp se fai la ricerca con Cerca/Trova in Avanzati devi spuntare Cerca anche fra i file nascosti.
Se fai la ricerca manualmente, dalle Opzioni cartella devi abilitare la visualizzazione dei file nascosti e di sistema.

noviziopasticcio ha scritto:...scusa se e una domanda stupida...
spybot lo collega al worm agobot.
se rimuovo quella chiave dall'esecuzione automatica non ho rimosso il worm,no?

Dipende dalla versione... a volte potrebbe bastare a rimuovere solo un paio di chiavi di registro.
noviziopasticcio ha scritto:e come faccio a sapere se effettivamente c'e' il worm visto che l'av non me lo segnala?(ho fatto 2 scansioni in provvisoria)

Prova con McAfee Stinger.
Altrimenti, se vuoi essere proprio sicuro sicuro, prova uno di questi tools di rimozione di Agobot.
http://securityresponse.symantec.com/av ... Gaobot.exe
http://www.sophos.com/support/cleaners/agobtgui.com
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda noviziopasticcio » gio ago 31, 2006 11:26 am

lo strumento della symantec non lo ha rilevato.
ho cancellato quella chiave...spero sia a posto ora
grazie [:-D]
Avatar utente
noviziopasticcio
Senior Member
Senior Member
 
Messaggi: 370
Iscritto il: ven nov 04, 2005 11:41 am

Messaggioda Amantide » gio ago 31, 2006 11:38 am

noviziopasticcio ha scritto:lo strumento della symantec non lo ha rilevato.

Meglio cosi...
I prfogrammi per la sicurezza sono sicuramente di valido aiuto... ma non sono sempre infallibili.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 9 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising