BHO.Agent.BC/BHO.Agent.BM... devo preoccuparmi?

[bob20]

VirIT (non ho la versione a pagamento) nella sua scansione mi segnala che due registri sono infetti uno da BHO.Agent.BC, l'altro da BHO.Agent.BM.
Devo preoccuparmi e cercare di rimuoverli in fretta? Oppure non è niente di significativo?
Il computer comunque funziona senza problemi...

[Luke57]

Ciao, virit indica un'infezione da gromozon o linkoptimizer, scarica systemscan da qui http://www.suspectfile.com/systemscan
Avvialo, seleziona tutte le opzioni e poi premi su "Scan now". Alla fine della scansione recati in c:\suspectfile, qui troverai un file del tipo data+ora.zip, inserisci file a http://www.sendmefile.com e scrivi qui il link (che ti sarà fornito dopo l'upload) in modo che si possa scaricare il file.

[bob20]

Grazie della risposta. Questo è il link:

http://www.sendmefile.com/00586067

[Luke57]

Ciao, non riesco a scariare il file, se puoi reinserirlo...

[bob20]

http://www.sendmefile.com/00586346

[Luke57]

Ciao, non riesco nemmeno qui, prova a metterlo qui:
http://www.easy-share.com/

[bob20]

http://w13.easy-share.com/6301131.html

[Luke57]

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Files to delete:
C:\WINDOWS\TEMP\pwqn1.exe
C:\WINDOWS\xcrkn1.dll
C:\Programmi\File comuni\Microsoft Shared\lpt1.exe

folders to delete:
C:\documents and settings\BecDoFhaUBeUFYeFX
C:\WINDOWS\TEMP
C:\DOCUME~1\Roberto\IMPOST~1\Temp


registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | pwqn1.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | BecDoFhaUBeUFYeFX
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | zFkMbsitlJ

registry keys to delete;
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27A2C10C-2B21-2E4D-B240-7444E79F4691}
HKLM\system\currentcontrolset\services\WebWdy

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo, se così non fosse riavvialo manualmente.
Posta anche il log generato da avenger, lo trovi in C:\ è un file di testo

INoltre scarica questi tools:
1°
http://www.prevx.com/gromozon.asp
(Clicca sul bottone verde "Download gromozon removal tool")

2°
http://securityresponse.symantec.com/av ... inkopt.exe


Esegui il primo tool, ti chiederà di riavviare, una volta riavviato il pc partirà la scansione, attendi la fine della scansione e riavvia il pc in modalità provvisoria.
(Per avviare in modalità provvisoria, premi ripettamente il tasto F8 prima che si carichi windows, nella schermata grigia che appare scegli l'opzione "Avvia in modalità provvisoria e conferma con Invio )
una volta dentro esegui il secondo removal tool, attendi la fine della scansione e riavvia il pc normalmente

Posta questi 2 logs:
1-C:\gromozon_removal.txt
2-FixLinkopt.log <---- questo log lo trovi nella directory dove hai eseguito il tool FixLinkopt.exe, se l'hai eseguito dal desktop lo troverai li.

[bob20]

Innanzitutto grazie, soprattutto per la precisione con cui hai descritto i vari passaggi.

Allora, questo è il log di Avenger:

Codice: Seleziona tutto

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path.  Line will be ignored.
Error code: 0
Line: registry keys to delete;


Syntax error in line --- no registry value to delete found.  Line will be ignored.
Error code: 0
Line: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27A2C10C-2B21-2E4D-B240-7444E79F4691}


Syntax error in line --- no registry value to delete found.  Line will be ignored.
Error code: 0
Line: HKLM\system\currentcontrolset\services\WebWdy


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wqpirfnt

*******************

Script file located at: \??\C:\Documents and Settings\fcklqmnk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\TEMP\pwqn1.exe not found!
Deletion of file C:\WINDOWS\TEMP\pwqn1.exe failed!

Could not process line:
C:\WINDOWS\TEMP\pwqn1.exe
Status: 0xc0000034



File C:\WINDOWS\xcrkn1.dll not found!
Deletion of file C:\WINDOWS\xcrkn1.dll failed!

Could not process line:
C:\WINDOWS\xcrkn1.dll
Status: 0xc0000034



File C:\Programmi\File comuni\Microsoft Shared\lpt1.exe not found!
Deletion of file C:\Programmi\File comuni\Microsoft Shared\lpt1.exe failed!

Could not process line:
C:\Programmi\File comuni\Microsoft Shared\lpt1.exe
Status: 0xc0000034

Folder C:\documents and settings\BecDoFhaUBeUFYeFX deleted successfully.
Folder C:\WINDOWS\TEMP deleted successfully.
Folder C:\DOCUME~1\Roberto\IMPOST~1\Temp deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|pwqn1.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|BecDoFhaUBeUFYeFX deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|zFkMbsitlJ deleted successfully.


Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.

Questo gromozon_removal:

Codice: Seleziona tutto

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.

Questo il log di FizLinkopt:

Codice: Seleziona tutto

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

Trojan.Linkoptimizer has not been found on your computer.

VirIT continua a indicarmi i 2 registri infetti.

[Luke57]

Ciao, una dovrebbe essre questa:
apri il registro di sistema (start>esegui>regedit>OK)
segui qyuesto percorso, cliccando sul segno + accanto alle singole voci:
HKEY_CLASSES_ROOT
CLSID
{27A2C10C-2B21-2E4D-B240-7444E79F4691}
InprocServer32
click sull'ultima voce, se all'interno trovi
C:\WINDOWS\xcrkn1.dll
click tasto dx sulla voce>autorizzazioni>Avanzate>proprietario, imposti la proprietà all'utente del computer>OK, metti la spunta a controllo completo e in lettura>OK
poi click tasto dx e scegli elimina.
Semmai riporta anche l'altra voce.

[bob20]

Ok, ho fatto tutto... però VirIT continua a indicarmi i 2 registri infetti
L'altra voce della cartella InprocServer32 si chiama ThreadingModel (dati: Apartment)

[Luke57]

Ok, ho fatto tutto... però VirIT continua a indicarmi i 2 registri infetti
L'altra voce della cartella InprocServer32 si chiama ThreadingModel (dati: Apartment)

Ciao, posta il report della scansione di virit

[bob20]

03/10/2007 - 18:10:49

[SCANSIONE DEL REGISTRO]
{0386D421-98BD-0323-3FA8-ED1C427590DC} Infetto da BHO.Agent.BC
{f250d521-225d-4d6b-8829-e064f944e180} Infetto da BHO.Agent.BM

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[E:]


Chiavi Registro infette: 2.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 64892.
Files Totali: 64892.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[Luke57]

Ciao, prova così:
apri il registro di sistema(start>esegui> regedt32>OK)
aperto l'editor del registro, espandi una voce cliccando sul segno + accanto a una chiave qualsiasi, premi Modifica>trova, nello spazio della nuova finestra copi e incolli (ctrl+v)
{0386D421-98BD-0323-3FA8-ED1C427590DC}
una volta che la ricerca ha trovato la voce, cerchi di eliminarla come ti ho spiegato nel post precedent, poi premi f3 per trovare la voce successiva e se trovata la elimini fino a che la ricerca non si concluderà.
Fai la stessa procedura, poi, per l'altra voce infetta.

[bob20]

Fatto, ma virit mi trova sempre quei 2 registri infetti

Fai la stessa procedura, poi, per l'altra voce infetta.

Quale intendi? L'altro nella cartella InprocServer32 (cioè ThreadingModel)?

[Luke57]

Ciao, no, mi riferivo alle due voci indicate da virit.
Prova con COMBOFIX http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- Una volta scaricato sul desktop,avvialo con un doppio click.
- Si aprirà una finestra blu , attendi
- Dopo qualche attimo apparirà un avviso che declina l'autore da ogni responsabilità.
- A questo punto seleziona 1 e premi ENTER per lanciare lo scan.
- Attendere.....
Il tool ti avviserà una volta lo scan finito e in qualche attimo visualizzerà il rapporto con i dettagli. (C:\ComboFix.txt)
Posta il log del file C:\ComboFix.txt e anche quello del file C:\ComboFix-quarantined-files.txt

[bob20]

Ok, grazie.

Allora, il log di ComboFix.txt è questo:

Codice: Seleziona tutto

ComboFix 07-10-04.6 - Roberto 2007-10-04 12.50.26.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Home Edition  5.1.2600.1.1252.1.1040.18.237 [GMT 2:00]
Running from: C:\Documents and Settings\Roberto\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((   Files Created from 2007-09-04 to 2007-10-04  )))))))))))))))))))))))))))))))
.

2007-10-04 12:50   51,200   --a------   C:\WINDOWS\NirCmd.exe
2007-09-30 13:16   <DIR>   d--------   C:\Programmi\Packard Bell Data Secure

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-02 20:52   36096   --a------   C:\WINDOWS\system32\drivers\VIRAGTLT.SYS
2007-07-30 19:19   92504   --a------   C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19   92504   --a------   C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19   549720   --a------   C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19   53080   --a------   C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19   53080   --a------   C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19   43352   --a------   C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19   325976   --a------   C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19   203096   --a------   C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19   1712984   --a------   C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19   1712984   --a------   C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18   33624   --a------   C:\WINDOWS\system32\wups.dll
2003-10-27 20:08   770048   --a------   C:\Programmi\winmx331.exe
2003-10-27 20:03   3468472   --a------   C:\Programmi\winamp3_0-full.exe
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{27A2C10C-2B21-2E4D-B240-7444E79F4691}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-06-23 10:34]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-06-23 10:34]
"SoundMan"="SOUNDMAN.EXE" [2003-06-20 19:55 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-23 10:35 C:\WINDOWS\AGRSMMSG.exe]
"Apoint"="C:\Programmi\Apoint2K\Apoint.exe" [2002-07-25 04:49]
"LManager"="C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE" [2003-06-27 17:01]
"WinampAgent"="C:\Programmi\Winamp3\winampa.exe" [2002-07-23 17:58]
"TkBellExe"="C:\Programmi\File comuni\Real\Update_OB\realsched.exe" [2004-04-01 23:15]
"iTunesHelper"="C:\Programmi\iTunes\iTunesHelper.exe" [2005-10-18 11:58]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2005-11-06 00:01]
"avgnt"="C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-12 12:00]
"VIRIT LITE MONITOR"="C:\VEXPLITE\MONLITE.EXE" [2007-10-03 19:58]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 03:52]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-08 12:00]
"MSMSGS"="C:\Programmi\Messenger\msmsgs.exe" [2004-11-15 16:18]
"Packard Bell Data Secure"="C:\Programmi\Packard Bell Data Secure\PBDataSecure.exe" [2006-06-20 15:15]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
WinZip Quick Pick.lnk - C:\Programmi\WinZip\WZQKPICK.EXE [2003-11-28 22:32:21]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
WinZip Quick Pick.lnk - C:\Programmi\WinZip\WZQKPICK.EXE [2003-11-28 22:32:21]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys
R0 VIRAGTLT;VIRAGTLT;C:\WINDOWS\System32\drivers\VIRAGTLT.SYS
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R2 viritsvclite;Virit eXplorer Lite;C:\VEXPLITE\viritsvc.exe
R3 DKbFltr;Dritek HotKey Keyboard Filter Driver;C:\WINDOWS\System32\Drivers\DKbFltr.sys
R3 w70n51;Driver per Intel(R) PRO/Wireless 7100 Adapter;C:\WINDOWS\System32\DRIVERS\w70n51.sys
S4 WebWdy;WebWdy;"\\?\C:\Programmi\File comuni\Microsoft Shared\lpt1.exe"

*Newly Created Service* - CATCHME
.
Contents of the 'Scheduled Tasks' folder
"2003-10-25 11:36:08 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programmi\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-04 12:51:34
Windows 5.1.2600 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-04 12.52.00
.
   --- E O F ---


Il file ComboFix-quarantined-files.txt invece non esiste (l'unico file presente è ComboFix.txt)

[Luke57]

Ciao, non sarà facile eliminare quelle due voci segnalate da virit, prova a indicare l'esatto percorso del registro di sistema dove si trovano.

[bob20]

Cioè? Come devo fare?
Un'altra cosa.. ma quelle 2 voci sostanzialmente che danno arrecano al mio computer?
Grazie. Ciao

[Luke57]

Ciao, penso proprio che il virus sia disattivato. Lo dimostra il fatto che i tools appositi non hanno trovato niente e anche il log di systemscan non evidenziava altro.