PDA

Visualizza versione completa : rasautou.exe...HELP ME!!!


Morella
03-06-2004, 18.02.07
Ciao.
Ho un problema con un file denominato rasautou.exe, qualcuno mi può aiutare???

Grazie :)

davlak
03-06-2004, 18.15.41
ciao :)

scarica nell'ordine:

http://www.spywareinfo.com/~merijn/files/CWShredder.exe

e fallo andare, poi:

http://www.spywareinfo.com/~merijn/files/HijackThis.exe

e fallo andare, salva il log e postalo qui...intanto cerco un 3d su cui avevamo già risolto il problema.

;)

davlak
03-06-2004, 18.17.38
e infatti c'ero cascato io per primo:

http://www.msni.it/forum/showthread.php?s=&threadid=65318&perpage=10&highlight=rasautou.exe&pagenumber=1

si, confermo, serve il log di hijackthis

Morella
03-06-2004, 18.35.08
Ci sono sul Farlo andare.....ma, il "log" che dovrei salvare quale sarebbe???
Chiedo venia per l'ignoranza....... ^_^

Morella
03-06-2004, 18.38.28
Non sarà mica questa roba qui??? AIUTO..... :(




Logfile of HijackThis v1.97.7
Scan saved at 18.35.31, on 03/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\System32\MsPMSPSv.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\sm56hlpr.exe
F:\WINDOWS\System32\enbiei.exe
F:\Programmi\Logitech\MouseWare\system\em_exec.exe
F:\WINDOWS\System32\ctfmon.exe
F:\WINDOWS\System32\wkssvrs.exe
F:\WINDOWS\System32\wserv32.exe
F:\PROGRA~1\Yahoo!\Messenger\ymsgr_tray.exe
F:\Programmi\Internet Explorer\IEXPLORE.EXE
F:\Documents and Settings\Fulvia\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "F:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe
O4 - HKLM\..\Run: [919CCA94] F:\WINDOWS\System32\nkbukhnd.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvrs.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvrs.exe
O4 - HKLM\..\RunServices: [C3059EF7] F:\WINDOWS\System32\nkbukhnd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] F:\PROGRA~1\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Microsoft Updates] wkssvrs.exe
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{223A59EB-5327-4CD6-9CB0-C90D02DBC91B}: NameServer = 151.99.125.2 151.99.125.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{223A59EB-5327-4CD6-9CB0-C90D02DBC91B}: NameServer = 151.99.125.2 151.99.125.3

davlak
03-06-2004, 18.41.08
Originariamente inviato da Morella
Ci sono sul Farlo andare.....ma, il "log" che dovrei salvare quale sarebbe???
Chiedo venia per l'ignoranza....... ^_^
no te preocupe :D

allora: dando il comando Scan con l'apposito pulsantino, dopo un pò ti appare la schermata che ti allego e tu clicchi dove indicato.

salva il log sul desktop, aprilo col blocco note, fai file>seleziona tutto > modifica > copia e incolli in un post il contenuto.

davlak
03-06-2004, 18.41.52
sò emozionato...ho dimenticato lo shot :inn:

davlak
03-06-2004, 18.52.49
ok, allora intanto ho trovato questo:

http://www.sophos.com/virusinfo/analyses/w32rbotw.html

adesso

scarica intanto questo file

http://download.nai.com/products/mcafee-avert/stinger.exe

mettilo in una cartella, lancialo e verifica che sia F: l'unità su cui farà la scansione, come da shot che ti allego, poi leggi il post successivo.

davlak
03-06-2004, 18.55.23
vai nelle preferenze, impostalo come vedi nell'immagine e dai ok, poi fai la scansione.

p.s.: dal log pare che tu non abbia un antivirus installato...io cerco di prepararti un pacchetto per fare la scansione, tu intanto procedi come detto sopra.

Giorgius
03-06-2004, 18.55.40
C'è una stringa anomala da eliminare:

O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe

Potresti avere una variante del "Lovesan" ;)

a) Protezione del file "Hosts".
b) SafeXp per chiudere i servizi e le porte inutili di Winzozzo.

Morella
03-06-2004, 19.28.01
Dunque...

Partendo dal presupposto che non saprei come eliminare una stringa....
ho fatto la scansione e il risultato è stato:
Number of clean files 76204
Number of infected files 2
Number of deleted files 2



.....e adesso?

davlak
03-06-2004, 19.45.59
e adesso per cominciare rifai lo scan con hijackthis e riposta il log...la stringa di cui parla Giorgius, per eliminarla è semplice:

dopo lo scan ci metti la spunta e dai fix checked

(io ti sto preparando sempre una tool completa, nel frattempo)

Morella
03-06-2004, 19.53.14
Ecco qui.....


Logfile of HijackThis v1.97.7
Scan saved at 19.51.30, on 03/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\System32\MsPMSPSv.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\sm56hlpr.exe
F:\Programmi\Logitech\MouseWare\system\em_exec.exe
F:\WINDOWS\System32\ctfmon.exe
F:\WINDOWS\System32\wserv32.exe
F:\PROGRA~1\Yahoo!\Messenger\ymsgr_tray.exe
F:\Programmi\Internet Explorer\iexplore.exe
F:\Documents and Settings\Fulvia\Documenti\HijackThis.exe
F:\WINDOWS\system32\wserv32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "F:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [919CCA94] F:\WINDOWS\System32\nkbukhnd.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [C3059EF7] F:\WINDOWS\System32\nkbukhnd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] F:\PROGRA~1\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{223A59EB-5327-4CD6-9CB0-C90D02DBC91B}: NameServer = 151.99.125.2 151.99.125.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{223A59EB-5327-4CD6-9CB0-C90D02DBC91B}: NameServer = 151.99.125.2 151.99.125.3

Che dici, sopravvivrà...???

davlak
03-06-2004, 20.24.12
sembra molto + in salute di prima :D

questa, però:

O4 - HKLM\..\Run: [919CCA94] F:\WINDOWS\System32\nkbukhnd.exe

non ho idea di cosa sia, ma per il momento lasciala

_____________________

adesso, con tutta calma (ehm...anche perchè sono 11 mega di roba :inn: )...

scaricati questo (http://davlak.altervista.org/files/sdat.zip) (se non parte, sul collegamento fai clic destro > salva oggetto con nome) e salvalo in F:\

poi con winzip fai clic destro sullo zip e estrai qui.
Ora avrai una cartella F:\sdat
entra nella cartella e troverai un file leggimi.txt.
segui le istruzioni e fai sapere ;)

Morella
03-06-2004, 20.33.34
Oddìo....ce la farò prima di mezzanotte?

Ok, vado.....

Morella
03-06-2004, 20.37.19
Ehm....mi si apre la home page di Altervista ma......poi?
Sono così imbranata???

handyman
03-06-2004, 21.07.15
Se non parte il download fai clic col tasto dx del mouse su "questo" nel post di davlak e scegli salva oggetto con nome ;)

Morella
03-06-2004, 21.16.27
Grazie, handyman :)

spero di non finire su "blob" anche io ma, sono ancora piuttosto ingenua rispetto a Voi Wintrickers!

handyman
03-06-2004, 21.31.52
Non ti preoccupare Morella,qui troverai sempre qualcuno disposto ad aiutarti e vedrai che nel giro di pochi mesi sarai diventata esperta di pc :)



P.S. su Blob ci siamo finiti in parecchi ;)

davlak
03-06-2004, 21.41.43
E poi su, diciamolo...finire su Blob è un onore nonchè un privilegio :D

quando avrai tempo guarda che abbiamo combinato tempo fà io e Fat George

http://www.msni.it/forum/showthread.php?s=&postid=646782#post646782

messi in coppia quel giorno sembravamo usciti da "Scemo e più scemo"... :o

Morella
03-06-2004, 22.10.46
Ecco, appunto...per comprendere i vostri "errori" bisogna già capire qualcosa di computer....:)

Per esempio, mi è piaciuta molto quella del "tanto il pc c'è e si accende".............. ;)

Vado a zippare il file......

Morella
03-06-2004, 22.30.01
Dove dovessi trovare la finestra da impostare secondo le istruzioni, ovviamente, era del tutto evidente.... ;)

Ecco il risultato :)


McAfee VirusScan for Win32 v4.32.0
Copyright (c) 1992-2003 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Nov 27 2003

Scan engine v4.3.20 for Win32.
Virus data file v4364 created Jun 02 2004
Scanning for 91110 viruses, trojans and variants.



06/03/2004 22:17:35


Options:
/ADL /SUB /UNZIP /RPTCOR /RPTERR /REPORT F:\SCAN.TXT /MOVE F:\QUARANTINE

Scanning C: [FUK]
Scanning C:\*.*

Summary report on C:\*.*
File(s)
Total files: ........... 1256
Clean: ................. 402
Not scanned: ........... 854
Possibly Infected: ..... 0
Moved: ................. 0
Master Boot Record(s): ......... 2
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning F: [LILITH]
Scanning F:\*.*
F:\Documents and Settings\Fulvia\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat ... file could not be opened.
F:\Documents and Settings\Fulvia\NTUSER.DAT ... file could not be opened.
F:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat ... file could not be opened.
F:\Documents and Settings\LocalService\NTUSER.DAT ... file could not be opened.
F:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat ... file could not be opened.
F:\Documents and Settings\NetworkService\NTUSER.DAT ... file could not be opened.
F:\hiberfil.sys ... file could not be opened.
F:\pagefile.sys ... file could not be opened.
F:\quarantine ... file could not be opened.
F:\WINDOWS\system32\config\default ... file could not be opened.
F:\WINDOWS\system32\config\SAM ... file could not be opened.
F:\WINDOWS\system32\config\SECURITY ... file could not be opened.
F:\WINDOWS\system32\config\software ... file could not be opened.
F:\WINDOWS\system32\config\system ... file could not be opened.
F:\WINDOWS\system32\nkbukhnd.exe ... Found the W32/Bobax.worm.c virus !!!
File has been relocated.
F:\WINDOWS\system32\wuammgr32.exe ... Found the W32/Sdbot.worm.gen.g virus !!!
File has been relocated.

Summary report on F:\*.*
File(s)
Total files: ........... 73654
Clean: ................. 61236
Not scanned: ........... 12403
Possibly Infected: ..... 2
Moved: ................. 2
Non-critical Error(s): 1
Master Boot Record(s): ......... 2
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0


Time: 00:08.41

davlak
03-06-2004, 23.09.26
questo lo avevo segnalato anche prima e non lo avevo riconosciuto, e nemmeno cercando su Google c'era notizia che fosse un virus...lo sdat della mcafee (Y) funziona sempre, e questa è l'ennesima prova:

F:\WINDOWS\system32\nkbukhnd.exe ... Found the W32/Bobax.worm.c virus !!!
File has been relocated.



quest'altro...idem:


F:\WINDOWS\system32\wuammgr32.exe ... Found the W32/Sdbot.worm.gen.g virus !!!
File has been relocated.

Beh, adesso il tuo XP dovrebbe essere pulito.
Per sicurezza posta un altro log di HijackThis.
Valgono i consigli di Giorgius riguardo a SafeXP (http://www.theorica.net/download/SafeXP.zip) da scaricare, scompattare e lanciare l'exe, seguendo i 3 steps come da shot (il punto 1 serve a salvare le impostazioni attuali in un file che verrà piazzato nella cartella di safexp).

Poi vai nella cartella F:\WINDOWS\system32\drivers\etc e ci troverai un file hosts (senza estensione).
Facci un clic destro > Proprietà e applica le impostazioni che vedi nello shot successivo.

Poi per una migliore prevenzione, vedremo.
Intanto sarebbe importante sapere se ti chiede ancora la connessione in avvio.
Ciao :)

davlak
03-06-2004, 23.10.04
hosts:

Morella
03-06-2004, 23.23.09
Ecco il log...


Logfile of HijackThis v1.97.7
Scan saved at 23.21.32, on 03/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\System32\MsPMSPSv.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\sm56hlpr.exe
F:\Programmi\Logitech\MouseWare\system\em_exec.exe
F:\WINDOWS\System32\ctfmon.exe
F:\WINDOWS\System32\wserv32.exe
F:\PROGRA~1\Yahoo!\Messenger\ymsgr_tray.exe
F:\Programmi\Internet Explorer\IEXPLORE.EXE
F:\WINDOWS\system32\cmd.exe
F:\Documents and Settings\Fulvia\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "F:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [919CCA94] F:\WINDOWS\System32\nkbukhnd.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [C3059EF7] F:\WINDOWS\System32\nkbukhnd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] F:\PROGRA~1\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{223A59EB-5327-4CD6-9CB0-C90D02DBC91B}: NameServer = 151.99.125.2 151.99.125.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{223A59EB-5327-4CD6-9CB0-C90D02DBC91B}: NameServer = 151.99.125.2 151.99.125.3

davlak
03-06-2004, 23.37.01
No, c'è ancora qualcosa.

O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [C3059EF7] F:\WINDOWS\System32\nkbukhnd.exe

queste le puoi fissare con hijackthis.

Poi usa safexp come detto sopra, riavvia XP e cerca questi due file:

1. wserv32.exe in F:\windows
2. nkbukhnd.exe in F:\windows\system32

e se li trovi cestinali (non li eliminare del tutto, per ora)...anche se mi pare che lo sdat li abbia messi in quarantena.

Morella
03-06-2004, 23.40.02
Tutto bene fino al file hosts: peccato che non me lo apra, dicendomi che per farlo occorre indicare il programma con cui è stato creato.... Come se non lo sapesse!!! Beh, io non lo so....

Magari ne riparliamo domani, eh? :)

davlak
03-06-2004, 23.48.37
ok, ti anticipo solo che non lo devi aprire, ma solo farci clic destro > proprietà e procedere come detto sopra...a domani, comunque ;)

Morella
04-06-2004, 00.11.20
Fatto tutto!!! Mi dispiace per la lentezza nella comprensione ma, sono mentalmente e fisicamente a pezzi.


1. wserv32.exe in F:\windows
2. nkbukhnd.exe in F:\windows\system32

non esistono più, ho fatto quello che mi hai suggerito con il file hosts, nonchè riavviato il sistema. La finestra di richiesta di connessione non compare, sembra tutto ok.

Ancora un milione di grazie! :)

Giorgius
04-06-2004, 00.16.48
Occhio ai canali File Sharing (P2P) e alle Mail di origine sconosciuta (specie se in inglese). ;)