Win32.agent.vg

Win32.agent.vg

offline
  • Pridružio: 06 Mar 2005
  • Poruke: 150

Juce sam kod kolege cistio viruse sa KAV ali KAV nije uspeo da ocisti
Trojaner Win32.agent.vg .
On se integrisao u winlogon.exe/winnn32.dll i KAV ne daje nikakvu mogucnost za ciscenje . Sa cime je moguce da se ovaj trojanac ocisti?
Postoji li nekakav removal tools?
Ako je HijackThis obavezan onda cu morati kod njega ovih dana pa cu da postavim log.

Pozdrav
Srba

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Problem sa tim trojancem je sto on posle svakog restarta menja ime.
Malo ce teze to da ide ukoliko to ne uradimo od jednom, bez da gasite i ponovo palite komp.

Mozes probati sledece:
Skeniranje KAV-om iz Safe Moda (nemacki: Abgesicherte Modus). Ovde imas uputstvo za ulazak u Safe Mode:
http://www.mycity.rs/Uputstva-sa-ex-SuperSajta/Kako-uci-u-SAFE-MODE.html

Naravno, ukoliko imate Windows na nemackom, opcije ce da imaju imena na nemackom, pa ce se prva opcija (ona koja nam treba) zvati Abgesicherte Modus.

Kada se sistem podigne u Safe Mode (nemoj da vas buni velicina ikonica i to sto nisu na svom mestu), probaj da resite problem KAV-om.

Nakon restarta i povratka u normalan mod, pogledajte da li se jos javljaju simptomi te infekcije (trebalo bi da su pop-upovi u pitanju).
Ukoliko se javljaju, skeniraj HJT-om, i pogledaj O20 linije.

Ukoliko neka od njih sadrzi neki fajl sa bezveznim imenom, cije ime pocinje na win a zavrsava se na 32.dll - to je to sto lovimo.
Zapazi samo da tu moze da se pojavi i fajl winlogon.dll koji je legitiman. Posto ima KAV, tu moze biti i KAV-ov fajl klogon.dll

Kada saznas ime, onda uradi sledece:
Startuj nanovo HijackThis, pa umesto skeniranja idi na Open misc tools section. Tu imas dugme Delete file on reboot.
Otvorice se prozor za odabiranje fajla.

Malopre si saznao ime fajla, a folder (Ordner) je C:\Windows\System32
Uzecemo za primer da se fajl zvao windru32.dll, onda treba u onaj dijalog koji se otvorio, u polje File Name (Datei Name) da ukucas
C:\Windows\System32\windru32.dll

Nakon toga klikces dugme OK na dijalogu, zatvaras HijackThis i restartujes komp.

Zapamti da je ono ime koje sam ti gore napisao samo primer, moras da uneses ime koje ces ti da nadjes u O20 liniji (a koje pocinje na win, pa idu par slova, pa na kraju ide 32.dll)

Za svo vreme dok ovo radis moraju da ti budu ugaseni svi ostali programi, cak i oni iz SysTray-a (dole kraj sata). Internet Explorer nemojte ni po koju cenu da ukljucujete sve dok ne ocistite racunar.
Najbolje je da ovo uputstvo odstampate pre nego sto krenete sa ciscenjem, posto ne smete da ukljucujete browser za vreme ciscenja.

Na samom kraju, u HJT logu ces moci da vidis verziju Jave koju ima instaliranu (recimo Java/jre1.5.0_06). Zadnja verzija je Java 1.5.0_11 i mozes je skinuti sa www.java.com
Prvo deinstalirati staru Javu, pa tek onda instalirati novu.
Spominjem Javu iz razloga sto se jako puno infekcija u zadnje vreme sire zbog nekih propusta u starijim verzijama Jave.

offline
  • Pridružio: 06 Mar 2005
  • Poruke: 150

Hvala na ovako opsirnom odgovoru.
Cujemo se kad budem odradio ovo.Ako ne uspem onda postavljam log ovde.

PS. KAV ne uspeva ni u Abgesicherte modu da ga ocisti. Jedina mogucnost je überspringen.

Pozdrav

Dopuna: 02 Mar 2007 1:37

Cao Bobby
Evo me ponovo.
Evo loga pa vidi sta je i kako je.
Najverovatnije je izbrisan ovaj trojaner u medjuvremenu ali ipak pogledaj ovaj log jer mi je sumljiv.
Pogledaj jos ovaj R1 sa ovom internet konekcijom.


Logfile of HijackThis v1.99.1
Scan saved at 00:12:20, on 02.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\Drivers\bwcsrv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Swisscom Mobile\Unlimited Data Manager\DashBoardS.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Swisscom Mobile\Sesam\BIN\SecMIPService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Swisscom Mobile\Unlimited Data Manager\GuiDashboard.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
H:\HijackThis\ja.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = 62.4.84.172/trafc-2/rfe.php?cmp=avs3&nid=mg.....lid=avs_25
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5001D578-0376-43EF-8619-AD10523B1606} - C:\WINDOWS\system\loesvs.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: (no name) - {E03C740E-BB24-4d3c-B92A-6F84DE1DD99C} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UDM] C:\Programme\Swisscom Mobile\Unlimited Data Manager\GuiDashboard.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Your Cottonelle Puppy] "C:\Programme\Your Cottonelle Puppy\Your Cottonelle Puppy.exe" -r
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: loesvs - C:\WINDOWS\system\loesvs.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: BUFFALO Wireless Configuration Service (bwcsrv) - Unknown owner - C:\WINDOWS\system32\Drivers\bwcsrv.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Sesam Control Service (SesamService) - Swisscom Mobile - C:\Programme\Swisscom Mobile\Sesam\BIN\SecMIPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: UDM Service - Swisscom Mobile - C:\Programme\Swisscom Mobile\Unlimited Data Manager\DashBoardS.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Dopuna: 02 Mar 2007 1:44

Trenutno avg antispyware radi scan. Nasao je spyserif i trojan Small.
samo za info.
Poslace mi log fail kad zavrsi pa cu da ga postavim ovde.

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Neka na sajtu http://www.virustotal.com/en/indexf.html proveri sledece fajlove:
C:\WINDOWS\system\loesvs.dll
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Za ovaj zadnji je ovde dato skraceno ime foldera. Mislim da nije tesko utvrditi pravo ime foldera u kojem se nalazi.
Sto se tice VirusTotala, nemojte fajlove brisati ukoliko se tamo pokaze Suspitious vec gledajte da li ima konkretnih detekcija.
Najbolje bi bilo da mogu ja da vidim rezultat sa VT-a, pa da vam kazem sta i kako.

offline
  • Pridružio: 06 Mar 2005
  • Poruke: 150

e ovako ovaj prvi je nasao avg. Bio je u internet exploreru. I stavio ga u karantin i komputer posle restarta je proradio mnogo bolje.
Sto se tice ovog zadnjeg ja misli da je to od bezicnog interneta. Vrsi mu proveru netzwerka.
Ali u svakom slucaju reci cu mu da ih proveri.

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Moguce je da je ovaj drugi fajl legitiman. Ja ga nisam prepoznao, niti mogu da nadjem neku informaciju o njemu, zato sam vas uputio da ga proverite.

Obavezno mi postavite novi log, da vidim da se infekcija mozda ne obnavlja sama od sebe.

offline
  • Pridružio: 06 Mar 2005
  • Poruke: 150

Bobby moze da zakljucas.
U slucaju da treba jos nesto javicu na pp da je ponovo otkljucas.
Sto se tice pc za sad radi super.
Onaj X10net.exe je od njegove netzwerk karte.

Hvala puno
Pozdrav
Srba

Ko je trenutno na forumu
 

Ukupno su 1023 korisnika na forumu :: 29 registrovanih, 11 sakrivenih i 983 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: 357magnum, airsuba, bojank, Chainsaw, Dorcolac, draganca, Fabius, GandorCC, Georgius, Hexe, Krvava Devetka, Kvazar, Luka Blažević, marsovac 2, MB120mm, milenko crazy north, Milometer, nemkea71, Panter, Parker, pein, raptorsi, Shinobi, Smd, Srle993, stegonosa, vladaa012, VP6919, Yugol33