Condividi:        

BHO.Agent.BC/BHO.Agent.BM... devo preoccuparmi?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

BHO.Agent.BC/BHO.Agent.BM... devo preoccuparmi?

Postdi bob20 » 30/09/07 10:29

VirIT (non ho la versione a pagamento) nella sua scansione mi segnala che due registri sono infetti uno da BHO.Agent.BC, l'altro da BHO.Agent.BM.
Devo preoccuparmi e cercare di rimuoverli in fretta? Oppure non è niente di significativo?
Il computer comunque funziona senza problemi...
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Sponsor
 

Postdi Luke57 » 30/09/07 15:13

Ciao, virit indica un'infezione da gromozon o linkoptimizer, scarica systemscan da qui http://www.suspectfile.com/systemscan
Avvialo, seleziona tutte le opzioni e poi premi su "Scan now". Alla fine della scansione recati in c:\suspectfile, qui troverai un file del tipo data+ora.zip, inserisci file a http://www.sendmefile.com e scrivi qui il link (che ti sarà fornito dopo l'upload) in modo che si possa scaricare il file.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi bob20 » 01/10/07 13:37

Grazie della risposta. Questo è il link:

http://www.sendmefile.com/00586067
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Postdi Luke57 » 02/10/07 10:13

Ciao, non riesco a scariare il file, se puoi reinserirlo...
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi bob20 » 02/10/07 11:38

bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Postdi Luke57 » 02/10/07 12:18

Ciao, non riesco nemmeno qui, prova a metterlo qui:
http://www.easy-share.com/
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi bob20 » 02/10/07 14:13

bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Postdi Luke57 » 02/10/07 16:23

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Files to delete:
C:\WINDOWS\TEMP\pwqn1.exe
C:\WINDOWS\xcrkn1.dll
C:\Programmi\File comuni\Microsoft Shared\lpt1.exe

folders to delete:
C:\documents and settings\BecDoFhaUBeUFYeFX
C:\WINDOWS\TEMP
C:\DOCUME~1\Roberto\IMPOST~1\Temp


registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | pwqn1.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | BecDoFhaUBeUFYeFX
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList | zFkMbsitlJ

registry keys to delete;
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27A2C10C-2B21-2E4D-B240-7444E79F4691}
HKLM\system\currentcontrolset\services\WebWdy

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo, se così non fosse riavvialo manualmente.
Posta anche il log generato da avenger, lo trovi in C:\ è un file di testo

INoltre scarica questi tools:

http://www.prevx.com/gromozon.asp
(Clicca sul bottone verde "Download gromozon removal tool")


http://securityresponse.symantec.com/av ... inkopt.exe


Esegui il primo tool, ti chiederà di riavviare, una volta riavviato il pc partirà la scansione, attendi la fine della scansione e riavvia il pc in modalità provvisoria.
(Per avviare in modalità provvisoria, premi ripettamente il tasto F8 prima che si carichi windows, nella schermata grigia che appare scegli l'opzione "Avvia in modalità provvisoria e conferma con Invio )
una volta dentro esegui il secondo removal tool, attendi la fine della scansione e riavvia il pc normalmente

Posta questi 2 logs:
1-C:\gromozon_removal.txt
2-FixLinkopt.log <---- questo log lo trovi nella directory dove hai eseguito il tool FixLinkopt.exe, se l'hai eseguito dal desktop lo troverai li.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi bob20 » 02/10/07 19:35

Innanzitutto grazie, soprattutto per la precisione con cui hai descritto i vari passaggi.

Allora, questo è il log di Avenger:

Codice: Seleziona tutto
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path.  Line will be ignored.
Error code: 0
Line: registry keys to delete;


Syntax error in line --- no registry value to delete found.  Line will be ignored.
Error code: 0
Line: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27A2C10C-2B21-2E4D-B240-7444E79F4691}


Syntax error in line --- no registry value to delete found.  Line will be ignored.
Error code: 0
Line: HKLM\system\currentcontrolset\services\WebWdy


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wqpirfnt

*******************

Script file located at: \??\C:\Documents and Settings\fcklqmnk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\TEMP\pwqn1.exe not found!
Deletion of file C:\WINDOWS\TEMP\pwqn1.exe failed!

Could not process line:
C:\WINDOWS\TEMP\pwqn1.exe
Status: 0xc0000034



File C:\WINDOWS\xcrkn1.dll not found!
Deletion of file C:\WINDOWS\xcrkn1.dll failed!

Could not process line:
C:\WINDOWS\xcrkn1.dll
Status: 0xc0000034



File C:\Programmi\File comuni\Microsoft Shared\lpt1.exe not found!
Deletion of file C:\Programmi\File comuni\Microsoft Shared\lpt1.exe failed!

Could not process line:
C:\Programmi\File comuni\Microsoft Shared\lpt1.exe
Status: 0xc0000034

Folder C:\documents and settings\BecDoFhaUBeUFYeFX deleted successfully.
Folder C:\WINDOWS\TEMP deleted successfully.
Folder C:\DOCUME~1\Roberto\IMPOST~1\Temp deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|pwqn1.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|BecDoFhaUBeUFYeFX deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|zFkMbsitlJ deleted successfully.


Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.


Questo gromozon_removal:

Codice: Seleziona tutto
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.


Questo il log di FizLinkopt:

Codice: Seleziona tutto
Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

Trojan.Linkoptimizer has not been found on your computer.


VirIT continua a indicarmi i 2 registri infetti.
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Postdi Luke57 » 02/10/07 21:04

Ciao, una dovrebbe essre questa:
apri il registro di sistema (start>esegui>regedit>OK)
segui qyuesto percorso, cliccando sul segno + accanto alle singole voci:
HKEY_CLASSES_ROOT
CLSID
{27A2C10C-2B21-2E4D-B240-7444E79F4691}
InprocServer32
click sull'ultima voce, se all'interno trovi
C:\WINDOWS\xcrkn1.dll
click tasto dx sulla voce>autorizzazioni>Avanzate>proprietario, imposti la proprietà all'utente del computer>OK, metti la spunta a controllo completo e in lettura>OK
poi click tasto dx e scegli elimina.
Semmai riporta anche l'altra voce.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi bob20 » 03/10/07 13:31

Ok, ho fatto tutto... però VirIT continua a indicarmi i 2 registri infetti :cry:
L'altra voce della cartella InprocServer32 si chiama ThreadingModel (dati: Apartment)
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Postdi Luke57 » 03/10/07 16:59

bob20 ha scritto:Ok, ho fatto tutto... però VirIT continua a indicarmi i 2 registri infetti :cry:
L'altra voce della cartella InprocServer32 si chiama ThreadingModel (dati: Apartment)

Ciao, posta il report della scansione di virit
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi bob20 » 03/10/07 17:42

03/10/2007 - 18:10:49

[SCANSIONE DEL REGISTRO]
{0386D421-98BD-0323-3FA8-ED1C427590DC} Infetto da BHO.Agent.BC
{f250d521-225d-4d6b-8829-e064f944e180} Infetto da BHO.Agent.BM

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[E:]


Chiavi Registro infette: 2.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 64892.
Files Totali: 64892.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Postdi Luke57 » 03/10/07 17:57

Ciao, prova così:
apri il registro di sistema(start>esegui> regedt32>OK)
aperto l'editor del registro, espandi una voce cliccando sul segno + accanto a una chiave qualsiasi, premi Modifica>trova, nello spazio della nuova finestra copi e incolli (ctrl+v)
{0386D421-98BD-0323-3FA8-ED1C427590DC}
una volta che la ricerca ha trovato la voce, cerchi di eliminarla come ti ho spiegato nel post precedent, poi premi f3 per trovare la voce successiva e se trovata la elimini fino a che la ricerca non si concluderà.
Fai la stessa procedura, poi, per l'altra voce infetta.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi bob20 » 03/10/07 18:43

Fatto, ma virit mi trova sempre quei 2 registri infetti :mmmh:
Luke57 ha scritto:Fai la stessa procedura, poi, per l'altra voce infetta.
Quale intendi? L'altro nella cartella InprocServer32 (cioè ThreadingModel)?
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Postdi Luke57 » 04/10/07 07:36

Ciao, no, mi riferivo alle due voci indicate da virit.
Prova con COMBOFIX http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- Una volta scaricato sul desktop,avvialo con un doppio click.
- Si aprirà una finestra blu , attendi
- Dopo qualche attimo apparirà un avviso che declina l'autore da ogni responsabilità.
- A questo punto seleziona 1 e premi ENTER per lanciare lo scan.
- Attendere.....
Il tool ti avviserà una volta lo scan finito e in qualche attimo visualizzerà il rapporto con i dettagli. (C:\ComboFix.txt)
Posta il log del file C:\ComboFix.txt e anche quello del file C:\ComboFix-quarantined-files.txt
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi bob20 » 04/10/07 12:23

Ok, grazie.

Allora, il log di ComboFix.txt è questo:
Codice: Seleziona tutto
ComboFix 07-10-04.6 - Roberto 2007-10-04 12.50.26.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Home Edition  5.1.2600.1.1252.1.1040.18.237 [GMT 2:00]
Running from: C:\Documents and Settings\Roberto\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((   Files Created from 2007-09-04 to 2007-10-04  )))))))))))))))))))))))))))))))
.

2007-10-04 12:50   51,200   --a------   C:\WINDOWS\NirCmd.exe
2007-09-30 13:16   <DIR>   d--------   C:\Programmi\Packard Bell Data Secure

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-02 20:52   36096   --a------   C:\WINDOWS\system32\drivers\VIRAGTLT.SYS
2007-07-30 19:19   92504   --a------   C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19   92504   --a------   C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19   549720   --a------   C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19   53080   --a------   C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19   53080   --a------   C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19   43352   --a------   C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19   325976   --a------   C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19   203096   --a------   C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19   1712984   --a------   C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19   1712984   --a------   C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18   33624   --a------   C:\WINDOWS\system32\wups.dll
2003-10-27 20:08   770048   --a------   C:\Programmi\winmx331.exe
2003-10-27 20:03   3468472   --a------   C:\Programmi\winamp3_0-full.exe
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{27A2C10C-2B21-2E4D-B240-7444E79F4691}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-06-23 10:34]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-06-23 10:34]
"SoundMan"="SOUNDMAN.EXE" [2003-06-20 19:55 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-23 10:35 C:\WINDOWS\AGRSMMSG.exe]
"Apoint"="C:\Programmi\Apoint2K\Apoint.exe" [2002-07-25 04:49]
"LManager"="C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE" [2003-06-27 17:01]
"WinampAgent"="C:\Programmi\Winamp3\winampa.exe" [2002-07-23 17:58]
"TkBellExe"="C:\Programmi\File comuni\Real\Update_OB\realsched.exe" [2004-04-01 23:15]
"iTunesHelper"="C:\Programmi\iTunes\iTunesHelper.exe" [2005-10-18 11:58]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2005-11-06 00:01]
"avgnt"="C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-12 12:00]
"VIRIT LITE MONITOR"="C:\VEXPLITE\MONLITE.EXE" [2007-10-03 19:58]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 03:52]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-08 12:00]
"MSMSGS"="C:\Programmi\Messenger\msmsgs.exe" [2004-11-15 16:18]
"Packard Bell Data Secure"="C:\Programmi\Packard Bell Data Secure\PBDataSecure.exe" [2006-06-20 15:15]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
WinZip Quick Pick.lnk - C:\Programmi\WinZip\WZQKPICK.EXE [2003-11-28 22:32:21]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
WinZip Quick Pick.lnk - C:\Programmi\WinZip\WZQKPICK.EXE [2003-11-28 22:32:21]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys
R0 VIRAGTLT;VIRAGTLT;C:\WINDOWS\System32\drivers\VIRAGTLT.SYS
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R2 viritsvclite;Virit eXplorer Lite;C:\VEXPLITE\viritsvc.exe
R3 DKbFltr;Dritek HotKey Keyboard Filter Driver;C:\WINDOWS\System32\Drivers\DKbFltr.sys
R3 w70n51;Driver per Intel(R) PRO/Wireless 7100 Adapter;C:\WINDOWS\System32\DRIVERS\w70n51.sys
S4 WebWdy;WebWdy;"\\?\C:\Programmi\File comuni\Microsoft Shared\lpt1.exe"

*Newly Created Service* - CATCHME
.
Contents of the 'Scheduled Tasks' folder
"2003-10-25 11:36:08 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programmi\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-04 12:51:34
Windows 5.1.2600 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-04 12.52.00
.
   --- E O F ---

Il file ComboFix-quarantined-files.txt invece non esiste (l'unico file presente è ComboFix.txt)
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Postdi Luke57 » 05/10/07 09:22

Ciao, non sarà facile eliminare quelle due voci segnalate da virit, prova a indicare l'esatto percorso del registro di sistema dove si trovano.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi bob20 » 05/10/07 11:05

Cioè? Come devo fare? :undecided:
Un'altra cosa.. ma quelle 2 voci sostanzialmente che danno arrecano al mio computer?
Grazie. Ciao
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Postdi Luke57 » 05/10/07 12:08

Ciao, penso proprio che il virus sia disattivato. Lo dimostra il fatto che i tools appositi non hanno trovato niente e anche il log di systemscan non evidenziava altro.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "BHO.Agent.BC/BHO.Agent.BM... devo preoccuparmi?":


Chi c’è in linea

Visitano il forum: Nessuno e 60 ospiti

cron