Condividi:        

Backdoor win.32.agent.qm

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Backdoor win.32.agent.qm

Postdi viol » 09/04/06 15:47

Sto tentando di ripulire dai vari virus il pc di un mio amico ma nonostante i miei sforzi c'è un trojan che non riesco a debellare.
Si tratta del Backdoor win.32.agent.qm. Ho usato diversi antivirus ma senza rimuovere il problema. Ho provato a rimuovere alcune voci con HijackThis ma poi ricompaiono.
Chi può darmi una mano? :roll:


Logfile of HijackThis v1.99.1
Scan saved at 16.34.24, on 09/04/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\msnnsg.exe
C:\windows\mousepad3.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\TOSHIBA\NetDevSw\NetDevSW.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Network Monitor\netmon.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\OPLIMIT\ocrawr32.exe
C:\hijackthis\HijackThis.exe
C:\VEXPLITE\VIRITEXP.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Libero
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSNS PLUS XP2] msnnsg.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard3.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad3.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname3.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] msnnsg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE
O4 - Global Startup: Network Device Switch.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Suggerimento del giorno.lnk = C:\Programmi\Expert System\Escogito\Italiano Pratico\tips.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B0885F4-2D5C-4E8F-80D5-ACEFFAFE0600}: NameServer = 151.99.125.2,151.99.125.3
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\hrp6057se.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R2lvcmdpbyZMdWNpYQ\command.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Help Menager (hlpmngc) - Unknown owner - C:\WINDOWS\downlo~1\sinm1d2\6tsfoh1.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe
viol
Newbie
 
Post: 4
Iscritto il: 09/04/06 14:42

Sponsor
 

Postdi fabrizius » 09/04/06 16:21

Ciao,
puoi continuare a cancellarle in continuazione le infezioni ma se non farai gli aggiornamenti necessari e non installerai un buon firewall non risolverai mai...
Comunque fai cosi:
Vai nel task manager (Ctrl+Alt+Del)e termina questi processi:
msnnsg.exe
mousepad3.exe

Poi vai nel pannello di controllo e disinstalla tutti i programmi che non hai installato tu compreso
Spyware Terminator
Network Monitor


Adesso:
1/disattiva il ripristino configurazione di sistema
(Vai su Start--->tasto destro del mouse sull'icona Risorse del computer----> Proprietà.Nella sezione "Ripristino configurazione di sistema",spuntare "Disattiva Ripristino configurazione di sistema)
2/Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
3/Avvia il computer in modalità provvisoria
(Riavviare il sistema--->Immediatamente al termine del caricamento del BIOS premere ripetutamente il tasto F8 fin quando non appare il menu Opzioni avanzate di Windows--->Vai su Modalità provvisoria e premi Invio).

Vai su start-->>esegui e digita sc stop cmdService
poi digiti sc delete cmdService
ripeti le stesse operazioni anche con hlpmngc e con Network Monitor

Adesso riavvia hijackthis e fixa queste voci:
O4 - HKLM\..\Run: [MSNS PLUS XP2] msnnsg.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard3.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad3.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname3.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] msnnsg.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
O4 - Global Startup: Suggerimento del giorno.lnk = C:\Programmi\Expert System\Escogito\Italiano Pratico\tips.exe-->>se lo conosci trascuralo
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\hrp6057se.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R2lvcmdpbyZMdWNpYQ\command.exe (file missing)
O23 - Service: Help Menager (hlpmngc) - Unknown owner - C:\WINDOWS\downlo~1\sinm1d2\6tsfoh1.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe

Ora cerca ed elimina
C:\WINDOWS\System32\msnnsg.exe
C:\windows\mousepad3.exe

Se non riesci a trovarli dalla modalità provvisoria vanno cercat dalla normale

Ora dai una ripulita ai files inutili,temp,cookie etc con Ccleaner
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)

Riavvia in modalità normale,riattiva il ripristino e riposta un log aggiornato

PS:dovresti aggiornare IE+SP2 e dovresti installare un firewall
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Luke57 » 09/04/06 16:43

fabrizius ha scritto:Ciao,
puoi continuare a cancellarle in continuazione le infezioni ma se non farai gli aggiornamenti necessari e non installerai un buon firewall non risolverai mai...
Comunque fai cosi:
Vai nel task manager (Ctrl+Alt+Del)e termina questi processi:
msnnsg.exe
mousepad3.exe

Poi vai nel pannello di controllo e disinstalla tutti i programmi che non hai installato tu compreso
Spyware Terminator
Network Monitor


Adesso:
1/disattiva il ripristino configurazione di sistema
(Vai su Start--->tasto destro del mouse sull'icona Risorse del computer----> Proprietà.Nella sezione "Ripristino configurazione di sistema",spuntare "Disattiva Ripristino configurazione di sistema)
2/Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
3/Avvia il computer in modalità provvisoria
(Riavviare il sistema--->Immediatamente al termine del caricamento del BIOS premere ripetutamente il tasto F8 fin quando non appare il menu Opzioni avanzate di Windows--->Vai su Modalità provvisoria e premi Invio).

Vai su start-->>esegui e digita sc stop cmdService
poi digiti sc delete cmdService
ripeti le stesse operazioni anche con hlpmngc e con Network Monitor

Adesso riavvia hijackthis e fixa queste voci:
O4 - HKLM\..\Run: [MSNS PLUS XP2] msnnsg.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard3.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad3.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname3.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] msnnsg.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
O4 - Global Startup: Suggerimento del giorno.lnk = C:\Programmi\Expert System\Escogito\Italiano Pratico\tips.exe-->>se lo conosci trascuralo
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\hrp6057se.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R2lvcmdpbyZMdWNpYQ\command.exe (file missing)
O23 - Service: Help Menager (hlpmngc) - Unknown owner - C:\WINDOWS\downlo~1\sinm1d2\6tsfoh1.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe

Ora cerca ed elimina
C:\WINDOWS\System32\msnnsg.exe
C:\windows\mousepad3.exe

Se non riesci a trovarli dalla modalità provvisoria vanno cercat dalla normale

Ora dai una ripulita ai files inutili,temp,cookie etc con Ccleaner
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)

Riavvia in modalità normale,riattiva il ripristino e riposta un log aggiornato

PS:dovresti aggiornare IE+SP2 e dovresti installare un firewall

Ciao, integro quanto suggerito da Fabrizius con un buon gioco di squadra

Intanto qui trovi il link per scaricare L2mefix con istruzioni d’uso dello stesso Fabrizius (ciao ;) )
http://www.pc-facile.com/forum/viewtopi ... sc&start=0
Esegui il tool prima delle operazioni con hijackthis
Scarica anche stinger 260 da qui:
http://vil.nai.com/vil/stinger/
è standalone, non ha bisogno di essere installato.
Eseguilo in modalità provvisoria
1)Fra i processi da terminare c’è anche questo:
C:\Programmi\Network Monitor\netmon.exe
2) Fra i file da eliminare ci sono anche questi:
C:\Programmi\Network Monitor\netmon.exe
C:\windows\keyboard3.exe
C:\windows\newname3.exe
C:\WINDOWS\system32\hrp6057se.dll (nell’eventualità che L2mefix non avesse funzionato)
Buon lavoro
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi fabrizius » 09/04/06 16:49

Grazie Luke ,io volevo fargliele fare non tutte insieme le procedure per quello non gli ho segnalato L2MFIX ,poi credo che i processi che hai aggiunto saranno rimossi da hijackthis e dalla disinstallazione dei programmi stessi es;Network monitor.....
PS:bello comunque il gioco di squadra ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi viol » 10/04/06 08:09

Grazie ad entrambi, siete stati gentilissimi! :) :) :)

Credo di aver risolto tutto: ho seguito alla lettera le vostre indicazioni ed ho anche aggiornato il sistema.

Di seguito il log di HijackThis.

Logfile of HijackThis v1.99.1
Scan saved at 9.01.06, on 10/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Programmi\QuickTime\qttask.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\TOSHIBA\NetDevSw\NetDevSW.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\OPLIMIT\ocrawr32.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Libero
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE
O4 - Global Startup: Network Device Switch.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Suggerimento del giorno.lnk = C:\Programmi\Expert System\Escogito\Italiano Pratico\tips.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B0885F4-2D5C-4E8F-80D5-ACEFFAFE0600}: NameServer = 151.99.125.2,151.99.125.3
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R2lvcmdpbyZMdWNpYQ\command.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe


E' tutto a posto? :roll:
viol
Newbie
 
Post: 4
Iscritto il: 09/04/06 14:42

Postdi Luke57 » 10/04/06 08:25

Ciao, ultimo passo, fissa questo con hijackthis:
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R2lvcmdpbyZMdWNpYQ\command.exe (file missing)
poi da
start>esegui>sc delete cmdService>OK
Complimenti per la pulizia, si era accumulato diverso sporco ;)
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi fabrizius » 10/04/06 10:15

quoto in pieno Luke,(ciao ;) )
hai fatto veramente un ottimo lavoro
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi viol » 10/04/06 10:35

Luke57 ha scritto:Ciao, ultimo passo, fissa questo con hijackthis:
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R2lvcmdpbyZMdWNpYQ\command.exe (file missing)
poi da
start>esegui>sc delete cmdService>OK
Complimenti per la pulizia, si era accumulato diverso sporco ;)



Ho provato a fissare ma poi ricompare, ci ho provato sia in modalità provvisoria che in quella normale. :evil:

Non so davvero come ringraziarvi, io non fatto nulla di speciale se non seguire passo passo le vostre indicazioni. ;)
viol
Newbie
 
Post: 4
Iscritto il: 09/04/06 14:42

Postdi Luke57 » 10/04/06 10:45

Ciao, per eliminare il servizio prova a fare così:
start>esegui>services.msc>OK
trovi il servizio, click con il destro, sè è avviato scegli arresta, poi da proprietà lo imposti su Disabilitato. Apri hijackthis e fissi la voce incriminata.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi viol » 10/04/06 12:54

Risolto! :D

Grazie di tutto. :) ;)
Il pc è ok.

Ciao :) :) :)
viol
Newbie
 
Post: 4
Iscritto il: 09/04/06 14:42


Torna a Sicurezza e Privacy


Topic correlati a "Backdoor win.32.agent.qm":

Trojan Agent e Zbot
Autore: polly76
Forum: Sicurezza e Privacy
Risposte: 39
Trojan agent.CK
Autore: nikita75
Forum: Sicurezza e Privacy
Risposte: 21

Chi c’è in linea

Visitano il forum: Nessuno e 49 ospiti