Condividi:        

RICHFIND qualcuno mi aiuta?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Dylan666 » 07/04/05 17:00

dato che parliamo di numeri casuali, questo lo consoci?

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi pippox » 07/04/05 17:12

ho cantato vittoria troppo presto.....la chiave sul registro appare ancora!!!!

AAAAAAAAAAAAAAARRRRRRGHHHHHHHHHHHHHHHHHHHHHHHHHHHH


C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE

driver epson C46
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi pippox » 07/04/05 17:59

qualcuno che si prende a cuore il mio caso no? :D
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi Dylan666 » 07/04/05 18:05

Devi riuscire a capire chi avvia quelle DLL. Prova col process explorer, ma non so
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi pippox » 07/04/05 18:20

process explorer????
eccheeeè????
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi Dylan666 » 07/04/05 20:05

http://www.sysinternals.com/ntw2k/freew ... cexp.shtml

potresti provare anche:

http://www.sysinternals.com/ntw2k/source/filemon.shtml

In pratica cerchiamo di capire chi è che manda in esecuzione la DLL (non è detto al 100% che così ci riusciamo).
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi pippox » 07/04/05 20:24

ok...scaricati tutti e due...a prima vista mi sembra sia tutto ok....anche se non lo è!!!

il log

Process PID CPU Description Company Name
System Idle Process 0 77.61
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 440 Windows NT Session Manager Microsoft Corporation
csrss.exe 500 Client Server Runtime Process Microsoft Corporation
winlogon.exe 524 Applicazione Accesso a Windows NT Microsoft Corporation
services.exe 568 2.99 Applicazione Servizi e Controller Microsoft Corporation
svchost.exe 724 Generic Host Process for Win32 Services Microsoft Corporation
WINWORD.EXE 3064 Microsoft Word Microsoft Corporation
iexplore.exe 3628 Internet Explorer Microsoft Corporation
msmsgs.exe 3284 Windows Messenger Microsoft Corporation
svchost.exe 804 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 844 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 900 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 988 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 1080 Spooler SubSystem App Microsoft Corporation
CCPROXY.EXE 2008 Symantec Network Proxy Service Symantec Corporation
CCSETMGR.EXE 2024 Symantec Settings Manager Service Symantec Corporation
ISSVC.EXE 176 IS Service Symantec Corporation
mdm.exe 228 Machine Debug Manager Microsoft Corporation
NAVAPSVC.EXE 280 Norton AntiVirus Auto-Protect Service Symantec Corporation
nvsvc32.exe 296 NVIDIA Driver Helper Service, Version 66.93 NVIDIA Corporation
SNDSrvc.exe 544 Network Driver Service Symantec Corporation
svchost.exe 756 Generic Host Process for Win32 Services Microsoft Corporation
symlcsvc.exe 944 Symantec Core Component Symantec Corporation
wdfmgr.exe 996 Windows User Mode Driver Manager Microsoft Corporation
CCEVTMGR.EXE 1236 Symantec Event Manager Service Symantec Corporation
alg.exe 2292 Application Layer Gateway Service Microsoft Corporation
lsass.exe 580 LSA Shell (Export Version) Microsoft Corporation
explorer.exe 1324 2.99 Esplora risorse Microsoft Corporation
type32.exe 1436 Type32.exe Microsoft Corporation
point32.exe 1460 Point32.exe Microsoft Corporation
realsched.exe 1468 1.49 RealNetworks Scheduler RealNetworks, Inc.
CCAPP.EXE 1476 Symantec User Session Symantec Corporation
NMain.exe 2556 1.49 Symantec Integrator Symantec Corporation
Ad-Watch.exe 1496 2.99 Ad-Watch System Protector Lavasoft Sweden
THGuard.exe 1524
E_S4I0T1.EXE 1540 EPSON Status Monitor 3 SEIKO EPSON CORPORATION
ctfmon.exe 1576 CTF Loader Microsoft Corporation
espmain.exe 1600 SMART PANEL NewSoft
OUTLOOK.EXE 2920 Microsoft Outlook Microsoft Corporation
msnmsgr.exe 3272 MSN Messenger Microsoft Corporation
YPager.exe 3868 Yahoo! Messenger Yahoo! Inc.
iexplore.exe 4012 Internet Explorer Microsoft Corporation
Shareaza.exe 3788 5.97 Shareaza Ultimate File Sharing Shareaza Development Team
iexplore.exe 2172 Internet Explorer Microsoft Corporation
regedit.exe 252 Editor del Registro di sistema Microsoft Corporation
swn2.exe 2584 Spyware Nuker 2005 TrekBlue
wmplayer.exe 3032 1.49 Windows Media Player Microsoft Corporation
procexp.exe 3424 2.99 Sysinternals Process Explorer Sysinternals

Process: smss.exe Pid: 440

Type Name
Directory \GLOBAL??
Directory \Sessions
Directory \KnownDlls
Event \UniqueSessionIdEvent
File C:\WINDOWS\system32
File C:\WINDOWS
Key HKLM\SYSTEM\ControlSet001\Control\CrashControl
Key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib
KeyedEvent \KernelObjects\CritSecOutOfMemoryEvent
Mutant \BaseNamedObjects\mc2SWDIJMutex
Port \SmApiPort
Process csrss.exe(500)
Process csrss.exe(500)
Process winlogon.exe(524)
Process svchost.exe(724)
Section \BaseNamedObjects\mc2SWDIJ1
SymbolicLink \KnownDlls\KnownDllPath
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi Dylan666 » 07/04/05 20:30

Non ho coapito cosa hai postato, ma cose di questo tipo sono poco di iuato, io non so cosa nel tuo PC c'è e cosa invece è strano che appaia.

Intanto ti rimando a questo saggio consiglio circa un'altro spyware che è stato duro da estirpare,

http://www.pc-facile.com/forum/viewtopi ... 348#191348
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi pippox » 07/04/05 20:32

è il log di process explorer...mi leggo il post e quando torno inizio di nuovo a smanettare...grazie ancora....
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi Dylan666 » 07/04/05 22:11

Qui si parla della tua variante con la Q*.DLL

http://users.telenet.be/marcvn/spyware/1972664.htm

vedi dove dice: Richfind.com/ie/

Il brutto è che qui richiami nel tuo LOG non li vedo.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi GAD » 07/04/05 22:26

Hai provato a killare i processi explorer.exe e poi a fare pulizia nel registro?
c'e' caso che sia quello che richiama via registry le componenti del malware, se e' veramente quello e pulisci mentre lui e' disattivo dovresti elimare tutto
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi pippox » 08/04/05 00:34

The CLSID's look to be random, the filenames start with a Q and usually have 6 or more numbers next. (Mimicking MicroSoft KB article numbers?)

eccolo li..dylan hai detto bene ....è quello il brutto ..che nel log dei processi nessuna traccia!!!!
GAD grazie...proverò anche con il tuo suggerimento...poi vi faccio sapere...nel frattempo se avete novità....io sono qui...grazie ancora...notte
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi Dylan666 » 08/04/05 00:42

Se trovi chiavi nel registro che contengano i nomi di quelle DLL facci sapere quali erano.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi pippox » 08/04/05 20:36

mi sono venuti gli occhi storti a furia di frugare sul registro....ho trovato le dll nascoste in queste chiavi

HKEY_CLASSES_ROOT\CLSID\{00EE8553-BFED-4740-92E0-7BC746357908}\InprocServer32


HKEY_CLASSES_ROOT\CLSID\{03C058B7-0157-4535-85F0-1A580F2E5CEC}\InprocServer32

HKEY_CLASSES_ROOT\CLSID\{42F1CF2D-EBF4-4D09-A855-71A49ECA8DA8}\InprocServer32

HKEY_CLASSES_ROOT\CLSID\{8BA63C6B-6254-4176-8DB7-285228DDCFC1}\InprocServer32

HKEY_CLASSES_ROOT\CLSID\{CC590B3B-0EC4-4A68-BAC1-84703C500A25}\InprocServer32


e qui il collegamento a richfind.com

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search

STO INIZIANDO A DIVENTARE NERVOSO!!!!
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi Dylan666 » 09/04/05 01:21

Tolte quelle (mi raccomando esporta chiavi di backup di quello che tocchi) il problema si ripresenta?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi pippox » 09/04/05 09:18

assolutamente no....stesso discorso....
il collegamento searchbar su http://www.richfind sulla chiave di registro rimane..

non so piu dove andare a cercare...aiutatemiiiiiiiiiiiiiiiii
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi Dylan666 » 09/04/05 11:59

se le DLL si ricreano ci deve essere qualcos'altro, ma non saprei dirti cosa. Se hai XP o 2000, hai provato a passare l'anti-spyware Microsoft? È in sezione download
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi pippox » 10/04/05 10:43

fatto....l'antispyware di microsoft non mi rileva niente...tutto ok...
siamo a cavallo!!! :S


XP pro sp2 aggiornato all'altro giorno
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi pippox » 10/04/05 13:47

aggiornamento...
l'AS di microsoft mi riconosce richfind come innocuo...
ho scovato un ulteriore chiave sospetta su

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603

la chiave {SUB_RFC1766}/srchasst/srchasst.htm

che mi sono ritrovato anche

HKEY_LOCAL_MACHINE\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis

e indovinate un po' cosa succede dopo che le rimuovo???

AAAAAAAAAAAAAAAHHHHHHHHRGHHHHHHHH
pippox
Utente Senior
 
Post: 135
Iscritto il: 21/10/02 15:42

Postdi Dylan666 » 10/04/05 18:20

pippox ha scritto:ho scovato un ulteriore chiave sospetta su

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603


MRU nel registro è una siga presente in più parti e significa most-recently-used: in pratica è un elenco delle ultime voci che hai cercato o usato recentemente, nulla di cui preoccuparsi
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "RICHFIND qualcuno mi aiuta?":


Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

cron