www.MegaLab.it

da **ligamarco** » mar giu 29, 2004 11:41 pm

Come ho scritto nel precedente post ho lo stesso problema condiviso anche da altri della pagina iniziale di IE about blank con la finestra di pop-up raffigurante i worms con la scritta "sei stato contagiato da uno spyware"...dopo svariate prove fatte con Ad-Aware,Spy-bot,NAV2004,Panda,CWSHredder,hijackthis non avendo trovato alcuna soluzione ho cambiato antivirus ed ho installato AVG 6.0...stranamente questo antivirus mi rileva un trojan che NAV non rilevava il cui nome è Backdoor.Agent.BA. Il problema risiede nel file c:WINDOWSSystem32LOGGD.DLL....purtroppo il file non lo può rimuovere perché critico per il sistema (WIN XP) ed ogni tot minuti mi compare la finestra di avviso dell'antivirus che dice di essere contagiati da questo trojan.....
Che posso fare?? Esiste qualche rimedio??
Ringrazio chi mi volesse aiutare.

da **ligamarco** » mer giu 30, 2004 8:48 am

Mr.Asus purtroppo ora non sono a casa, spero di riuscire a risponderti per questa sera, intanto ti ringrazio per il tuo contributo....spero che riusciremo a rimuovere questo maledetto virus....

da **iosif** » mer giu 30, 2004 10:24 am

stessa monnezza anche per me. credevo d'aver risolto, ma è tornato, e la pagina cui connette è cambiata. adesso il dll me lo trova adaware e si chiama gnjo, ovviamente impossibile da eliminare, ed è 30 k. se trovate una soluzione fatemi sapere, e spiegatemi come ad un bimbo perché non ci so fare. grazie.

da **iosif** » mer giu 30, 2004 10:45 am

adesso ho riacceso il pc ed è sparito, anche la pagina iniziale è quella impostata da me, ma mi aspetto torni a rompere. essendo un problema tanto diffuso (questo è il terzo-quarto 3d in proposito) spero ci sarà presto una soluzione "ufficiale" e definitiva, tipo con un aggiornamento di norton. sbaglio?

da **ligamarco** » mer giu 30, 2004 6:36 pm

Dunque Mr.Asus il file LOGGD.DLL è da 56 KB mentre le porte aperte sono:
Proto Indirizzo locale Indirizzo esterno Stato
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1367 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1370 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3306 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
TCP 151.37.237.183:139 0.0.0.0:0 LISTENING

Oltre ad una serie di porte con protocollo UDP che non erano in listening e quindi le ho tolte....
In quanto al trojan Backdoor.Agent.BA faccio notare che il file non è ancora cambiato ed è ancora LOGGD.DLL.
Io ho da tempo ZoneAlarm attivo ma non ha mai rilevato l'utilizzo estraneo di una porta...
Per quanto riguarda AVG non so perché ma in modalità provvisoria non funziona [?]

è la prima cosa che ho provato da quando ha rilevato il trojan...ma la cosa più strana in assoluto di tutta questa storia è che AVG ha rilevato il Trojan appena installato e senza eseguire una scansione!!! [V]

Ora ogni 20 secondi mi si apre una finestra di ALLARME di "AVG Resident Shield" (equivalente ad Auto protect) che mi dice di rimuovere il virus eseguendo una scansione con AVG [rotfl]

non so se

o

mah???

da **crazy.cat** » mer giu 30, 2004 6:58 pm

qui ci sono un po di info (Avg non riesce a rimuoverlo)
http://www.computing.net/security/wwwbo ... 12291.html

Disabilità il ripristino della configurazione e cancella tutti i file temporanei,svuota il cestino,ed elimina i file nella directory temp.

Due scan online se non riesci in altro modo.
Panda ActiveScan http://www.pandasoftware.com/activescan/
Trend Micro HouseCall http://housecall.trendmicro.com/

da **ligamarco** » mer giu 30, 2004 7:39 pm

Grazie Crazy per la risposta. Ne Panda ne TrendMicro hanno trovato niente. Ho fatto tutto ciò che mi hai detto tu, poi ho copiato il file sul desktop e rinominato LOGGD.old...ora controllo che il sistema funzioni bene....intanto ho notato che è tornato alla sua velocità originale [:D]

Grazie davvero per l'aiuto...
Approfitto per farti una domanda:
Con winXP PRO sai come si fanno a settare i diritti per la masterizzazione ad un account limitato?? Da qualche parte deve esserci perché Nero mi dice di farlo...Sotto criteri di protezione locali non trovo nessuna voce... [?]

da **ligamarco** » gio lug 01, 2004 7:36 pm

Sembra tutto ok...ho usato Regcleaner, Regseeker è migliore???
Non vedo quale sia il tuo problema, installati AVG e poi elimina il file che ti rileva, no?? [:-H]

Hai visto che alla fine ce l'abbiamo fatta?? [applauso]

e poi io ho usato un programma che l'ha rilevato in automatico [;)]

(non so se ricordi la discussione di qualche giorno fa)

da **led-z** » gio lug 01, 2004 10:11 pm

Hai provato A2 Scanner? E' un programmino grtuito che ricerca e rimuove spyware, trojan worms dialer, lo trovi qui:
http://www.emsisoft.com/en/ ciao e fammi sapere

da **sito** » ven lug 02, 2004 12:54 am

No, io non sono punto a capo.
Stavo per beccarmi tutto di nuovo ,forse non quello, ma qualcosa di simile, ma l'ho stroncato sul nascere.
Ho beccato un Alexa e qualcos'altro sicuramente da qualche sito poco raccomandabile ed il solito cookie maligno nomeutente.match e qualcos'altro la connessione dopo un po' si bloccava e non scaricavo più niente.
Scansione con addaware in modalità provvisoria, pulitina e tutto si è risolto.
Speriamo bene, ora anche le intrusioni che mi rivela il firewall sono diminiute, prima ce n'era una ogni 5 secondi, ora una ogni 5 minuti.
Comunque non potevo proprio tenere il pc come prima, quando ero connesso non potevo fare più niente, internet explorer si incartava, il task manager non si apriva, programmi che partivano, ma non si vedevano , la scansione dell'AntiVir PE non partiva ecc.ecc.
Avevo provato di tutto ed il file da 30bk non c'era.
Se non ero connesso, tutto ok, ma dopo connesso tutto ko.

da **ligamarco** » ven lug 02, 2004 2:37 pm

Oggi ho provato a ricontrollare le porte aperte e guarda qui:

Proto Indirizzo locale Indirizzo esterno Stato
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1436 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3306 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
TCP 151.37.237.105:139 0.0.0.0:0 LISTENING

la maggior parte sono rimaste le stesse ed il bello è che ho chiuso tutte le applicazioni di rete, era aperto solo notepad, la shell di dos e la connessione ad internet.
Ho chiuso sia AVG che Zone Alarm...
come mai sono ancora aperte le porte di Outlook??
ho provato anche a bloccare le porte con il "lucchetto" di Zone alarm ma lo scan delle porte aperte rimane identico!!! [?]

da **ligamarco** » ven lug 02, 2004 4:18 pm

Potrebbe essere di aiuto dirti che avevo attivo il driver di Mysql?? ora l'ho disattivato (mysqld --remove)
comunque le porte aperte sono rimaste le stesse:

Proto Indirizzo locale Indirizzo esterno Stato
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1028 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1436 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4576 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
TCP 151.37.237.105:139 0.0.0.0:0 LISTENING

Nessun file di quelli che mi hai detto è presente...ad essere pignoli c'è un file "services" sotto system32-drivers-Etc ma è senza estensione...
Come si fa con Zone Alarm a bloccare l'accesso ad una porta?? Non riesco a trovare questa impostazione, mi elenca solo i programmi non le porte...

da **Arcano** » mar ago 10, 2004 12:20 am

Salve sono nuovo! Anch'io mi sono preso sto backdors!!! [nomi]

Ho un virus nella cartella system32 di windows: un Trojan Backdor Agent.BA dal nome d3djjep.dll

All'inizio me lo ha rilevato Norton senza riuscire ad eliminarlo; dopo ho scaricato AVG ed anche lui me lo ha rilevato senza riuscire ad eliminarlo.

Ho provato l'eliminazione a mano ma non me lo fa rimuovere.
Ho provato l'eliminazione dal prompt di dos ma mi da "accesso negato".
Ho provato a fare le stesse cose in modalità provvisoria ma il file non lo trovo ne nella cartella system32, ne facendo una ricerca.

Ho letto che il file dll va spostato sul desktop...ma poi???

grazie! [^]

da **crazy.cat** » mar ago 10, 2004 7:02 am

X Arcano
Hai abilitato la visione dei file nascosti?

Se hai tentato di eliminarlo dalla modalità normale da lì lo vedi, quindi prova semplicemente a rinominarlo in pippo.old o un nome qualsiasi, dopo riavvia il pc e vai a cancellare il file che hai rinominato, poi rifai la scansione dei virus e vedi come và.

Benvenuto nel forum

da **Arcano** » mar ago 10, 2004 10:34 am

si ho abilitato i file nascosti ma non lo vedo ugualmente... [:-H]

da **crazy.cat** » mer ago 11, 2004 11:20 am

Mi era sfuggita la tua risposta.
Tu dici
Ho provato l'eliminazione a mano ma non me lo fa rimuovere.
Ho provato l'eliminazione dal prompt di dos ma mi da "accesso negato".
Quindi il file lo vedi in qualche modo oppure capisco male io.

Questo è uno dei più buoni antitrojan freeware
http://download.ewido.net/ewido-setup.exe
quando lo hai installato devi fare subito l'aggiornamento e poi lancia la scansione e vediamo se ti trova lui l'ospite.

da **Arcano** » mer ago 11, 2004 12:56 pm

Ce l'ho fatta!!

Ho copiato il file sul desktop, l'ho rinominato in sedere.dll ho riavviato in mod prov e me lo ha fatto eliminare! evvai!

grazie mille! [^]

www.MegaLab.it

Virus Trojan Backdoor.Agent.BA

Virus Trojan Backdoor.Agent.BA

Chi c’è in linea