Condividi:        

mah.exe, nah.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

mah.exe, nah.exe

Postdi Ulisse » 08/04/05 14:38

Ciao ragazzi, è da circa una settimana che sto combattendo con un pc più che infetto di "vermi" e skifezze varie (tra cui elitebar)... leggendo i vari topic del forum sono riuscito ad eliminare la maggior parte dei "nemici" ma ancora mi resta qualche dubbio e vi chiedo un aiutino per completare la pulizia.
queso è il file log che viene fuori dopo la scansione con hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 15.24.33, on 08/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Launch Manager\Wbutton.exe
C:\WINDOWS\relsd.exe
C:\WINDOWS\system32\nah.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Launch Manager\PowerKey.exe
C:\WINDOWS\NeroCheck.exe
C:\Programmi\Launch Manager\HotkeyApp.exe
C:\Programmi\Launch Manager\LaunchAp.exe
C:\Programmi\FSI\F-Prot\F-StopW.EXE
C:\Programmi\Launch Manager\CtrlVol.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Pentium 4\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://arianna.libero.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Libero
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {5A5B6916-ED71-4531-8018-E792DD44156E} - (no file)
O4 - HKLM\..\Run: [Wbutton] "C:\Programmi\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [TBllEe] C:\WINDOWS\relsd.exe
O4 - HKLM\..\Run: [System32] nah.exe
O4 - HKLM\..\Run: [System] mah.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programmi\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\NeroCheck.exe /i
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [LaunchAp] C:\Programmi\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [F-StopW] C:\Programmi\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [CtrlVol] C:\Programmi\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmi\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\RunServices: [System] mah.exe
O4 - HKLM\..\RunServices: [System32] nah.exe
O4 - HKCU\..\Run: [System32] nah.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15caf6cc507 ... 601_it.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe

cos'è che devo cancellare per stare tranquillo??? Quei 2 files mah.exe e nah.exe li ho messi in ignore list ma "ricicciano" ad ogni avvio del pc.
Grazie mille per l'aiuto e a presto!
ciao da Max
Avatar utente
Ulisse
Utente Senior
 
Post: 128
Iscritto il: 06/10/01 01:00
Località: Reggio Calabria

Sponsor
 

Postdi GAD » 08/04/05 15:06

Prova ad uccidere quei due processi mah e nah dal taskmanager di windows->processi->termina
poi fai avvio->esegui->regedit e vai alla chiave HKLM\software\microsft\windows\currentversion\Run ed elimina le chiavi che riguardano nah e mah.
Poi spostati a mano nella cartella c:\winnt\system32 e cancella i files nah.exe e mah.exe a mano
In teoria se non hanno dipendenze con altri processi che le invocano e le ricopiano da qualche parte cosi' le dovresti rimuovere completamente
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi Ulisse » 08/04/05 15:54

Ho provato a fare come mi hai suggerito, e sembrano essere scomparsi... speriamo bene, incrocio le dita! Dall'esame del file log di hijack non sembra esserci altro di nocivo vero?? Quindi, in teoria, adesso il pc dovrebbe essere di nuovo pulito.
Grazie mille per i consigli e alla prox!
Ciao da Max
Avatar utente
Ulisse
Utente Senior
 
Post: 128
Iscritto il: 06/10/01 01:00
Località: Reggio Calabria

Postdi GAD » 08/04/05 16:01

questo
C:\WINDOWS\relsd.exe

non so cos'e', hai idea se fa parte di un programma del pc tipo driver di una periferica o simili?
cercando su google mi pare di aver letto che sarebbe da togliere pure quello ma non e' ben chiaro se e' un processo dannoso o no
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi Ulisse » 09/04/05 10:14

C:\WINDOWS\relsd.exe

non so cos'e', hai idea se fa parte di un programma del pc tipo driver di una periferica o simili?


In effetti FPROT me lo segnala come un virus e sembra essere stato rimosso adesso. Dopo queste altre operazioni di pulizia il nuovo log di hijack è il seguente:
Logfile of HijackThis v1.99.1
Scan saved at 11.02.08, on 09/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Launch Manager\Wbutton.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Launch Manager\PowerKey.exe
C:\WINDOWS\NeroCheck.exe
C:\Programmi\Launch Manager\HotkeyApp.exe
C:\Programmi\Launch Manager\LaunchAp.exe
C:\Programmi\FSI\F-Prot\F-StopW.EXE
C:\Programmi\Launch Manager\CtrlVol.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Acer\Notebook Manager\almxptray.exe
C:\Documents and Settings\Pentium 4\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://arianna.libero.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Libero
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\svchost.dll
O4 - HKLM\..\Run: [Wbutton] "C:\Programmi\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programmi\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\NeroCheck.exe /i
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [LaunchAp] C:\Programmi\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [F-StopW] C:\Programmi\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [CtrlVol] C:\Programmi\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmi\Acer\Notebook Manager\almxptray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15caf6cc507 ... 601_it.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe

e mi sembra "pulito". Ancora però non capisco perchè ogni volta che avvio mi si apre la finestra della connessione ad internet, quale processo l'attiva??
Grazie ancora per la pazienza e per l'aiuto!
Ciao e buon week end
Avatar utente
Ulisse
Utente Senior
 
Post: 128
Iscritto il: 06/10/01 01:00
Località: Reggio Calabria

Postdi Ulisse » 09/04/05 10:18

ho dimenticato un'ultima cosa: verificando con msconfig il programmi all'avvio trovo ancora nah.exe e relsd.exe non sono spuntati ovviamente, ma vorrei cancellarli anche da qui. Come posso fare??
Ri Grazie x tutto
Ciao da Max
Avatar utente
Ulisse
Utente Senior
 
Post: 128
Iscritto il: 06/10/01 01:00
Località: Reggio Calabria


Torna a Sicurezza e Privacy

Chi c’è in linea

Visitano il forum: Nessuno e 89 ospiti