Condividi:        

sempre problemi con gli spyware (?)

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

sempre problemi con gli spyware (?)

Postdi neeuro » 04/11/04 16:22

ciao

scusate, ma ho sempre il solito problema...

vi allego il file che mi ha rilasciato dalla scansione HijackThis.exe
mi evidenzia un file maledetto rhaiem. come vedete lo trovo sotto la dir winnt/sytem32.

ecco vado a vedere per rimuoverlo e lui...non c'è.
mi sapreste dire come faccio a toglierlo?
con il regedit lo rimuovo ma si ricrea...

Codice: Seleziona tutto
Logfile of HijackThis v1.97.7
Scan saved at 18.48.56, on 03/11/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINNT\system32\hidserv.exe
C:\PROGRA~1\Navnt\navapsvc.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Navnt\POPROXY.EXE
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\System32\rhaiem.exe
C:\WINNT\System32\internat.exe
C:\PROGRA~1\MAILWA~1\MAILWA~1.EXE
C:\Programmi\Navnt\navapw32.exe
C:\PROGRA~1\Navnt\alertsvc.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programmi\Navnt\POPROXY.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Compliant] rhaiem.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\RunServices: [Windows Compliant] rhaiem.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MailWasher] C:\PROGRA~1\MAILWA~1\MAILWA~1.EXE
O4 - HKCU\..\Run: [Windows Compliant] rhaiem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Programmi\Navnt\navapw32.exe
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.bancatoscana.it/CertEnroll/CertControl/ita/xenroll.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash4/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{22D0977C-9EF7-4115-A649-FEFE6CF90C8C}: NameServer = 192.168.0.1



grazie per qualsiasi contributo
neeuro

ps: un saluto particolare al mio amico dylan
neeuro
Utente Junior
 
Post: 86
Iscritto il: 07/07/03 09:11

Sponsor
 

Postdi Dylan666 » 04/11/04 16:31

Ricambio il saluto e chiedo: hai attivato la visualizzazione dei file nascosti?
Hai provato a vedere il contenuto della cartella dal prompt del dos? Hai eliminato tutte e 3 le chiavi di quel file? Per assicurarti che il percorso proposto sia corretto aiutati con questo:

http://www.sysinternals.com/ntw2k/freew ... cexp.shtml

PS: HijackThis lo rileva proprio come malevolo: sei sicuro che Ad-aware o spybot non risolvano il problema per te?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

dylan666

Postdi neeuro » 04/11/04 17:01

ciao dylan,

sei sempre gentile, molto disponibile ed altrettanto puntuale.

rispondo in parte al tuo post: spybot e adware non ci cavano altro, in realtà tolgono dal regedit ciò che ho fatto io a manina, ma poi come già detto, si reinstallano...

grazie per il link, mi sembra più facile il procexp.exe.

il sistema che ha subito il guaio, adesso è down, proverò con il command del dos a cercare il task. (si i file sono evidenti).

ti scriverò ancora per farti sapere l'esito...

grazie per adesso

neeuro
neeuro
Utente Junior
 
Post: 86
Iscritto il: 07/07/03 09:11

dylan666

Postdi neeuro » 04/11/04 18:00

allora ho eseguito con il dos, ma il file maledetto non lo trovo

il procexp.exe non rivela altro, se vuoi ti posso inviare il monitor via e.mail. dimmi tu...

al soltio ti stresso.
grazie
neeuro
neeuro
Utente Junior
 
Post: 86
Iscritto il: 07/07/03 09:11

Postdi Dylan666 » 04/11/04 18:42

Ma pure il Process Explorer vede in esecuzione rhaiem.exe nella dir winnt/sytem32?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

dylan666

Postdi neeuro » 05/11/04 08:50

si esatto, stessa cosa, ma non si trova nè con il dos, nè da risorse del computer
neeuro
Utente Junior
 
Post: 86
Iscritto il: 07/07/03 09:11

Postdi Dylan666 » 05/11/04 11:16

Ma dalle priprietà del processo si capisce nulla? Cioè è strano un file fantasma... E poi si capoisce cha file richiama o da che file è richiamato?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

dylan666

Postdi neeuro » 05/11/04 12:04

il procexp magari lo dice anche, ma dovresti pilotarmi per sapere come e cosa fare.

ti basta se ti posto le proprietà?
neeuro
Utente Junior
 
Post: 86
Iscritto il: 07/07/03 09:11

Postdi neeuro » 05/11/04 12:10

dimenticavo...

il file con il trova, anche impostato parzialmente, con la star convention (*) non rende file di sorta...
neeuro
Utente Junior
 
Post: 86
Iscritto il: 07/07/03 09:11

Re: dylan666

Postdi Dylan666 » 05/11/04 12:47

neeuro ha scritto:ti basta se ti posto le proprietà?


Sì va, dovresti mandarmi dati di una finestra piò o meno con queste voci (io ho fatto la prova con MSN Messanfìger):

Codice: Seleziona tutto
  Image File

                MSN Messenger

                Microsoft Corporation
     Version:   6.02.0000.0137

     Time:      28/05/2004 22.22
     Path:      C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE

     Command line:      "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /bac

     Current directory:      C:\WINDOWS


    Parent:    EXPLORER.EXE(FFFD10BD)
                                                         Bring to Front
    Comment:
                                                         Kill

                                                         OK
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 06/11/04 00:27

Allego l'immagine con lo screenshot di neeuro che raffigura la schermata di Process Explorer mentre visualizza le proprietà del file incriminato:

Immagine

Sinceramente non so proprio come si possa eliminare un "file fantasma" di quel tipo... Posso solo augurarti che non sia uno spyware, ma non ho trovato alcuna documentazione su quel nome, ne a conferma ne a smentita della sua natura maligna. Sposto il topic nela sezione Security&Privacy sperando che altri sappiano dirti più di quanto abbia fatto io...
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 06/11/04 00:27

Hem... Non sposto nulla, il topic è già nella sezione giusta! :P
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 06/11/04 00:37

Test a puro scopo sperimentale (nel senso che non so se riesce ne se ci sarà utile): ma se da DOS dai un...

copy C:\WINNT\System32\rhaiem.exe A:

...funziona? Sul floppy arriva qualcosa di visibile o comunque si lo spazio libero su di esso diminuisce?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

dylan666

Postdi neeuro » 06/11/04 11:51

caro amico

la copia mi dice: impossibile trovare il file specificato...

fra iprocessi sul task manager il rhaiem.exe è attivo, nel senso che potrei killarlo, idem su procexp.exe, ma se vado a cercarlo non lo trovo...

mi sta facendo uscir matto, se non hai soluzioni tu...

grazie comunque
neeuro
neeuro
Utente Junior
 
Post: 86
Iscritto il: 07/07/03 09:11

Postdi amvinfe » 06/11/04 16:30

ciao,
scaricati la versione 1.98.2 di HJT quella che hai tu è vecchia. ;)
Crea una nuova cartella sul desktop e metti al suo interno l'eseguibile. Questo ti consentirà di ripristinare i valori che andrai a rimuovere qualora qualcosa andasse sorto.
Riavvia in modalità provvisoria
Apri HJT, fai lo scan metti la spunta sui valori che ti indicherò, assicurati che nessun'altra finestra di altre applicazioni sia aperta, clicca su Fix chekced



O4 - HKLM\..\Run: [Windows Compliant] rhaiem.exe
O4 - HKCU\..\Run: [Windows Compliant] rhaiem.exe


con la visualizzazione attiva dei files nascosti cerca ed elimina se presente

rhaiem.exe

Controlla che in
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices non vi sia il valore
Windows Compliant ===> rhaiem.exe (ti ricordo inoltre che il valore alla destra della chiave sotto la colonna Nome sarà sempre Windows Compliant mentre potrebbe cambiare sotto la colonna Dati)

Riavvia, collegati a questo URL ed esegui una scansione del disco
http://housecall.trendmicro.com/houseca ... t_corp.asp
il tuo problema è causato dalla variante .KZ del worm RBot

Finita la scansione online, riavvia e posta un nuovo log con la nuova versione di HJT
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

amvinfe

Postdi neeuro » 08/11/04 11:24

ciao amico,

grazie per le indicazioni, molto gentile.
eseguirò quanto mi hai indicato, non ero a casa per il w.e.

ti farò sapere

neeuro
neeuro
Utente Junior
 
Post: 86
Iscritto il: 07/07/03 09:11

Postdi piercing » 11/11/04 20:04

Dylan666 ha scritto:Test a puro scopo sperimentale (nel senso che non so se riesce ne se ci sarà utile): ma se da DOS dai un...

copy C:\WINNT\System32\rhaiem.exe A:

...funziona? Sul floppy arriva qualcosa di visibile o comunque si lo spazio libero su di esso diminuisce?


ma dove sta scritto che sto coso sta su C:\WINNT\System32\ ???
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Dylan666 » 11/11/04 20:32

Nel log del primo post, no? :undecided:
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi piercing » 11/11/04 21:10

non è detto che ci sia sul serio...

potrebbe girare una sua copia in qualunque parte del pc... e con un altro nome... (anche nella stessa cache delle dll o nella cartella di ripristino automatico...).

elimina le chiavi di avvio... e poi una bella scansione...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Dylan666 » 11/11/04 22:05

Ma chiave a perte anche il Process Explorer dice che il processo in esecuzione si trova lì...
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "sempre problemi con gli spyware (?)":


Chi c’è in linea

Visitano il forum: Nessuno e 88 ospiti

cron