Accedi per seguire   
Seguaci 0
jimstilllive

Win32agent-hai

52 messaggi in questa discussione

Ciao...

L'alimentazione per i dischi rigidi era già settata su "MAI" .

Avast durante le scansioni di Ccleaner continua a trovare virus Win32 Agent-HAI, e trova infetti i file di sistema: kernell32.dll, winsock.dll e wsock32.dll, il file infetto ha nome Dc30.tmp provieniente dalla cartella C:\RECYCLER, la quale se visualizzata è vuota, ed oltretutto non esiste in C:\,(naturalmente è attivato->-> visualizza file e cartlle nascoste) per visualizzarla occore farlo dal menù avvio ->-> esegui, non riesco ad elimarla.

Ho usato winsockxpfix ma niente è cambiato. che fare?...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Metti qui tutto il percorso dei file individuati infetti

Intanto se disponi del CD d'installazione di XP, fai un controllo sui file protetti di sistema

inserisci il Cd di XP

Se si apre la finestra d'installazione ... chiudila

Da START\ESEGUI digita sfc /scannow (rispetta lo spazio)

Questo eseguirà il controllo e nel caso che i files di sistema non siano originali, li sostituirà con la copia presente sul CD...

Al termine, non riceverai nessun messaggio (prova quindi a rifare la scansione e vedi se è cambiato qualcosa)

Il C:\RECYCLER, basta che svuoti il cestino... probabilmente il file è in uso, quindi fallo in modalità provvisoria

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Purtroppo ho dovuto creare io i dischi di ripristino,all'acquisto del pc poichè non veniva fornito nessun disco con il pacchetto, ed oltretutto non li ho con me.

Il cestino è vuoto ed è stato svuotato varie volte anche in mod. provv., ma da C:\ Recycler continua ad arrivare roba infetta, oltretutto la cartella C:\Recycler ha gli attributi di sola lettura, che nel caso si tolga la spunta, torna da sola e quello di "nascosto" al quale è impossibile cambiare e togliere la spunta. Oltretutto un utente chiamato creator ha accesso alla cartella con funzioni speciali, lo ho cancellato ma non cambia nulla.

I percorsi dei file sono i seguenti:

Dc30.tmp locazione originaria C:\Recycler\ S-1-5-21-2638419950-3697824127-4098474468-1005

N.b. \S-1-5 ecc.. non cè in recycler...

C:\WINDOWS\system32\kernell32.dll

C:\WINDOWS\System32\winsock.dll

C:\WINDOWS\System32\wsock32.dll

Thanks...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Piccolo aggiornamento , ho provato ad eliminare la cartella C:\Recycler in mod provvisoria ma mi ha negato l'accesso, allora ho usato unlocker, il quale diceva che niente bloccava l'oggetto, gli ho chiesto di eliminarla, ho avuto conferma che era stata spostata nel cestino ma il cestino era vuoto e non c'era. Non era più eseguinìbile pensavo di averla eliminata ma si è ricreata.... :) ......

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

..........la cartella C:\recycler è legata a windows defender poichè se eliminata ricompare all'apertura di questo...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao

Proviamo in questo modo:

1. Per sicurezza, crea un punto di ripristino

2. scarica il file allegato e decomprimi i file in C:\ (senza nessuna cartella)

3. * scarica e decomprimi avenger sul desktop

http://swandog46.geekstogo.com/avenger.zip

- con un doppio click avvia il file avenger.exe

- Seleziona "Input Script Manually"

- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"

- copia / incolla quanto segue:

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Folders to delete:

C:\windows\temp

files to delete:

C:\Recycler\ S-1-5-21-2638419950-3697824127-4098474468-1005\Dc30.tmp

C:\WINDOWS\system32\kernell32.dll

C:\WINDOWS\System32\winsock.dll

C:\WINDOWS\System32\wsock32.dll

files to move:

C:\kernell32.dll | C:\WINDOWS\system32\kernell32.dll

C:\winsock.dll | C:\WINDOWS\System32\winsock.dll

C:\wsock32.dll | C:\WINDOWS\System32\wsock32.dll

Clicca sul tasto Done

- Poi sull'icona del semaforo

- Rispondi Yes

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

Scarica AVG antispy versione FREE (Ewido) http://free.grisoft.com/doc/20/lng/us/tpl/v5

Aggiornalo e fai una scansione completa

Posta anche il log di questo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao ... Avg antispyware l'ho scaricato ma non sono riuscito ad aggiornarlo,cmq il database era agiiornato al 31 maggio 2007 meno di un mese fa. Ti mando i log di avenger e di avg cmq al riavvio la Wlan era scomparsa di nuovo....ciao

avenger.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Non capisco perchè ma non riesco ad allegarti il log di avg , clicco su apri e aggiungi allegato, mi aggiorna la pagina ma non lo inserisce. Cmq dice che non ha trovato niente....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Avenger ha avuto qualche errore (dice che non trova il file kernell32.dll :) )

e non può aprire la cartella Recycler (le altre operazioni le ha eseguite)

forse lo script conteneva un errore

Salva il file che ti allego in C:\ (dopo averlo decompresso) e

Proviamo da un prompt per il file in Recycler

Avvia in modalità provvisoria

Da Start \Esegui digita: cmd

Apri il task manager (CTRL+CANC+DEL)

Termina il processo Explorer.exe (scomparirà il desktop a parte la finestra cmd/dos e non chiudere il task manager)

Nella finestra Dos digita:

CD\

recycl.bat

(leggi se il file è stato eliminato poi premi un tasto qualsiasi)

nel Task manager digita --> nuova operazione --> explorer

Chiudi la finestra dos

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

In modalità provvisoria sulla finestra dos una volta digitato CD\ appare c:\ digito recycl.bat ma dice che il comando non è riconosciuto nè come comando interno nè come eseguibile nè come file batch. che fare?.....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao ,

per curiosità prova a fare un fix con questo ;

Scarica e decomprimi sul desktop clean.zip

Apri la cartella "clean" e fai doppio click su clean.cmd

Si aprirà una finestra nera con delle opzioni, seleziona 1 mediante la tua tastiera e attendi la fine

(Premi un tasto per salvare il log)

Avvia in modalità provvisoria

ricclicca su "clean.cmd", questa volta seleziona 2 e dai l'invio

Alla fine posta il log

Prova anche a fare cosi;

Tx destro sul tuo disco locale / proprietà

Scegli pulizia disco, spunta anche la casella del cestino e conferma con Ok

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao steve

hai per caso messo un link accanto alla frase "prova a farmi un fix con questo; ? Il link non c'è , se faccio una ricerca su internet per clean.zip trovo svariati programmi e scansioni online qual è quello giusto, grazie per la tua risposta.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie adesso c'è. nel frattempo ho avviato la pulitura disco al riavvio del sistema ed è in esecuzione. Se hai bisogno di maggiori info per aiutarti ad aiutarmi io sono in linea da un'altro pc :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

quale defender ?

comunque prima di cantare vittoria aspettiamo ancora un po, anche perché clean sembra non aver trovato niente....

magari è stata la pulitura a svuotare come si deve la cartella Recycler....

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Non era per cantare vittoria, infatti al primo stand by e riavvio la Wlan non c'era più, il fatto è che il mio problema consiste in ciò: ad ogni spegnimento del portatile quando lo accendo o quando lo riavvio la Wlan è scomparsa, non è disabilitata ma scompare proprio da gestione periferiche ->schede di rete,come se non fosse installata e riappare, al successivo riavvio normale, solo se vado in modalità provvisoria e faccio una scansione (anche veloce) con WINDOWS DEFENDER. Oltretutto ho un file di 128 kb nella cartella %Temp%, che non si può eliminare, unlocker dice che non è bloccato da niente, ma non riesce a eliminarlo,inoltre scompare in mod provv,per riapparire dopo. Avast! ogni tanto trova e mette nel cestino file infetti provenienti da C:\Recycler Per finire la data e l'ora del computer non si aggiornano al riavvio dopo uno spegnimento se la batteria non era inserita al momento dello spegnimento e la spia del foro per l'alimentazione a corrente rimane accesa se la batteria è inserita a computer spento e scollegato dalla rete elettrica. Per il resto non c'è nessuno dei tipici segni da malware, niente blocchi ,niente reindirazzamenti a pagine strane in internet,niente nella casella mail, niente applicazioni che partono per conto loro, e tutti i programmi funzionano al meglio,tutto funziona benissimo. Con Kuma abbiamo provato a vedere se era un rootkit ma i log sono tutti puliti(Kaspersky,gmer,Avg,linkoptremover symantec),Scusa per questo pippone ma forse almeno tu sai come restringere il campo delle ipotesi perchè qua prima di eliminarlo bisogna ancora capire che cos'è!!??!!!! :o :) ............Grazie del tuo tempo :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao...

mmmm tutti i controlli li abbiamo fatti e di malware (conosciuto) pare che non ce ne sia :P

anche quel file da 128 kb nel controllo su Virit non risulta infetto (potrebbe essere creato da una periferica all'avvio del PC... per es. la stampante)

Resta il problema del Recycler che forse è collegato a Wlan :leggi:

Avast non è certo il miglior antivirus free in commercio.... potrebbe essere che trovi un falso positivo...

(non è detto però)... comunque...

io lo sostiturei con Antivir PE Classic che ha un riconoscimento ben maggiore

e poi, arrivati a questo punto, metterei anche un programma di monitoraggio, magari con questo riusciamo a capire di cosa si tratta... o quanto meno a bloccarlo...

Il programma sarebbe questo: http://www.wininizio.it/forum/index.php?showtopic=70366 (DYNAMIC SECURITY AGENT )

Tornando al recycler....

start - esegui e digita cmd. ti compare la finestra relativa al prompt del dos.

digita ora cd\ e batti invio. Ora sei in C:\ digita cd recycler e invio. adesso sei nella cartella Recycler. premi tab e ti apparirà una o più cartelle , più o meno con questi nomi (S-1-5 etc).

muoviti con il tasto freccia all'inizio della stringa (S-1-5...) e digita cd [spazio] e batti invio .

Adesso sei nella sottocartella selezionata di Recycler.

Se vuoi eliminare un solo file digita dir,e vedi il contenuto della cartella quando hai trovato il file da cancellare, digita del/q [spazio] nome_del_file.

Se invece vuoi cancellare tutti i file digita del/q *.*

Altro metodo

Altre idee, al momento non me ne vengono :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Kuma ...se digito dir ottengo "il volume nell' nunità C non ha etichetta" segue numero di serie del volume e "file non trovato" se invece digito del/q*.* ottengo "formato del parametro non corretto -del/q*.*". Adesso provo a scaricare il software di monitoraggio. Nel frattempo volevo il tuo parere sulla seguente ipotesi: è possibile, dato che la batteria sembra coinvolta in tutto questo (data ed ora che non si aggiornano al riavvio se essa non era inserita al momento dello spegnimento o non lo è al riavvio, spia alimentazione a corrente che rimane accesa a computer spento e scollegato se la batteria è inserita). che anche il resto dei problemi sia dovuto ad un contatto interno piuttosto che ad un problema di software malware spyware rottkit ecc...? Anche perchè il computer funziona bene anche quando la WLAN è scomparsa, niente rallentamenti, niente blocchi, navigazione internet corretta(pochi pop up e bloccati, niente reindirizzamente a pagine strane), nessun programma che si apre e si chiude e tutti i programmi funzionano al meglio.Questo potrebbe anche spiegare i falsi positivi, ed i log puliti. :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

scusa ho fatto un piccolo errore non ho messo lo spazio tra del/q e *.* comunque nonostante lo digiti da C:\RECYCLER\S-1-5 ecc... dice che è impossibile trovare C:\RECYCLER\S-1-5 ecc... :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

Chiaramente al posto di quell' "ecc..." (C:\RECYCLER\S-1-5 ecc.)

ci metti il percoso completo ??? :)

C:\Recycler\S-1-5-21-2638419950-3697824127-4098474468-1005

Non ho idea (anche se mi pare piuttosto strano) che dipenda dalla batteria,

Sarei più propenso a pensare a qualche settore del disco danneggiato e quindi non leggibile (magari proprio quello dove sta il programma che gestisce il risparmio energetico)

Avevi mai provato a fare un controllo del disco per verificare che non contenga errori )

(non so se possa servire, ma male non fa...)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao... quando controllo il disco mi dice che non è possibile poichè l'accesso ad alcuni file è bloccato mi chiede di farlo al riavvio, lo esegue ma non c'è niente di nuovo. Ho comunque scoperto che il file in C:\Documents and settings\Alex\impostazioni locali\temp è utilizzato dal processo explore.EXE (il maiuscolo c'è) ma se apro prompt e task manager termino explore.exe(qui è minuscolo) e cerco di cancellare il file dal prompt mi dice che non trova il percorso...in modallità provvisoria il file scompare per ricrearsi al successivo avvio normale forse poichè in modalità provvisoria non vengono caricati i servizi ed i file di avvio.... :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

usami questo TAsk MAnager che è più evoluto di quello di Windows:

http://www.kuma215.it/Guide%20K&J/K/Pe...pl%20guida.html

dal menù View - Select Culums

seleziona Image Path Per vedere da dove vengono eseguiti i files

Se vuoi metti qui anche lo screenshot dei processi, ma allaga bene la finestra in modo che si visualizzi il percorso completo...

"potrebbe" trattarsi del GreyBird

Il controllo del disco sarebbe meglio farlo dalla Console di Emergenza e non direttamente da Windows... hi un Cd d'installazione di XP (non il disco immagine fornito con i portatili)?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

In HKLM ho trovato le seguenti chiavi HKLM\SYSTEM\currentcontrolset\control\hivelist

Nome: \REGISTRY\USERS\S-5-1-21-2638419950-3697824127-4098474468-1005

Tipo: REG_SZ

Dati:\Device\HarddiskVolume1\Documents and settings\Alex\NUTSER.DAT e

Nome:\REGISTRY\USERS\S-1-5-21-2638419950-3697824127-4098474468-1005_Classes

Tipo:REG_SZ

Dati: \Device\Harddisckvolume1\Documents and settings\Alex\Impostazioni locali\Dati Applicazioni\Microsoft\Windows\UsrClass.dat

Mi sembra che siano la stessa cartella di C:\Recycler da cui venivano i virus(o i falsi positivi?) trovati da avast....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

non tocchiamo (per ora) le chiavi di registro se non sappiamo a che servono :)

Con l'altro Task Manager hai individuato qualche file non legittimo???

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0