neem.exe mi porta al computericidio!!

apicella

Digital-Forum Junior
Registrato
24 Luglio 2003
Messaggi
38
sono alla frutta, invoco il vostro aiuto!! Da due mesi un Trojan si è insediato sul mio Toshiba e mi stacca la connessione, collegandosi ad altro numero (lo so, lo so, dovrei prendere l'ADSL, ci sto pensando...).
In pratica collegandomi partiva un programma indicato come neem.exe (a volte neem1.exe, neem2.exe, ecc...) che risultava nella cartella Windows/temp e che riuscivo ad eliminare solo riavviando il PC.
Ho seguito tutti i vostri suggerimenti, (complimenti ad Ercolino per lo sticky molto molto chiaro e utile) ho usato AVAST e all'inizio questo antivirus mi beccava il Trojan, lo passava nel chest e lo eliminavo. Ho disattivato il ripristino configurazione, purtroppo però, ad ogni nuovo collegamento si ripresenteva il programma, che veniva ri-bloccato da AVAST. In questo modo comunque riuscivo a collegarmi senza essere scollegato da neem.exe.
Ora da due settimane, questo bas..ardo non è più visto da AVAST (ho scaricato gli aggiornamenti senza risultato) e sono al punto di prima. Ho fatto una googlata con "neem.exe" e varianti, nella speranza di qualche notizia, ma senza risultati...

sono alla frutta, non sono un esperto e dopo aver provato vari tool sono preso da un raptus violento contro il mio povero laptop....

siete la mia unica speranza, prima di dover portare il laptop in qualche centro a farmi rapinare...

P.S. aggiungo, a peggiorare le cose, che nella ultima bolletta mi sono beccato 80 Euro di chiamate ad altri servizi, nonostante tutti i numeri 144, 166, 899, internazionali e similari fossero disabilitati (essendo già successa la cosa, ma con un virus diverso anni fa...). Al tempo avevo avuto il rimborso da Telecom dietro denucia alla polizia postale, sapete per caso se è ancora possibile fare la stessa cosa???


vi ringrazio tutti per l'aiuto che vorrete darmi e mi scuso per le informazioni frammentarie e naif......non mastico molto di PC....
 
Prova cosi: Vai in start, esegui, digita regedit, invio, Hkeylocalmachine,
software,windows, cerca le cartelle con scritto run, e all' interno di esse
cancella col tasto destro quello che ti sembra il problema, successivamente
devi essere sicuro che in esecuzione automatica non sia attivo tale
problema...
 
ERCOLINO ha scritto:
Ua questo Tool e poi copia ed incolla il log sul forum ;)


ecco qui, Ercolino, grazie per la disponibilità e il tempo che mi dedichi.....



Logfile of HijackThis v1.99.1
Scan saved at 21.58.13, on 25/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\luca\utility\avast\aswUpdSv.exe
C:\luca\utility\avast\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\luca\utility\avast\ashDisp.exe
C:\Programmi\TOSHIBA\TME3\Tmesbs32.exe
C:\luca\utility\avast\ashMaiSv.exe
C:\luca\utility\avast\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\luca\utility\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {5AA06644-BC46-4220-A460-47A6EB47C96D} - (no file)
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [avast!] C:\luca\utility\avast\ashDisp.exe
O4 - HKLM\..\Run: [neem1.exe] C:\WINDOWS\Temp\neem1.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: www.yeak.net
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\luca\utility\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\luca\utility\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\luca\utility\avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\luca\utility\avast\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SrvCxv - Unknown owner - C:\:hOF.exe
O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programmi\TOSHIBA\TME3\Tmesbs32.exe


in effetti appare in HKLM il malefico neem1.exe.....ho anche fatto la procedura consigliata da cudy (mille grazie anche a te, spiegazione chiarissima) dopo aver fatto HijackThis e ho trovato nella cartella RUN il programmino neem1.exe.
Ho fatto una prova di collegamento e il programmino non mi sembra sia apparso, però non ho potuto fare prove estensive (tipo riavviare il PC o restare collegato molto a lungo...).

Mi rimane il dubbio su moltissime cose ancora adesso:
1 - perchè AVAST dopo un mese circa non ha più riconosciuto il virus Trojan??
2 - perchè sulla bolletta mi hanno caricato tutte le chiamate anche se tutti numeri speciali erano disattivati?
3 - il programma installava una seconda connessione chiamata "internet" che andava in loop (cioè continuava a tentare il collegamento anche staccando il filo telefonico) ed era inarrestabile a meno di spegnere il PC. Però nelle proprietà non c'era modo di trovare alcun numero telefonico o altro...


Comunque vi ringrazio per i suggerimenti che mi avete dato, spero di saltarci fuori del tutto e se qualcuno ha altri suggerimenti da darmi sono i benvenuti (a parte prendere l'ADSL che farò, prima o poi.... )
 
ho notato che nel log risultava come trusted questo sito www.yeak.net. Facendo una ricerca su google ho trovato "belle" notizie confermando che è segno di un dialer, anche se nel mio caso ci sono alcune diversità, rispetto alla descrizione fatta qui:

http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=DIAL_XVIDEO.A

secondo voi seguendo tutte le indicazioni di questa pagina posso cavermela, mi riferisco solo al procedimento manuale con regedit?

grazie ancora....
 
Prova anche con il sistema di cui parli oltre a quello che ti ho consigliato.
Io solo cosi sono riuscito a sbarazzarmi di un trojan che mi assillava da settimane.
 
O4 - HKLM\..\Run: [neem1.exe] C:\WINDOWS\Temp\neem1.exe
da eliminare, devi inoltre aggiornare xp scaricando sp2 e i relativi aggiornamenti di sicurezza
 
Come ti è stato detto devi eliminare subito questa
O4 - HKLM\..\Run: [neem1.exe] C:\WINDOWS\Temp\neem1.exe


Il ripristino di configurazione deve essere disattivato ed eventualmente fa fatto in modalità provvisoria(tasto f8 all'accensione del PC)


Inoltre cancella tutto il contenuto della cartella Temp

c:windows\temp
 
grazie cudy, ercolino e giacomo....

ho eseguito le procedure da voi suggerite, eiliminando neem.exe e (per sicurezza) anche quelle indicate nel sito che ho postato (in sostanza cancellare dal registry editor alcuni riferimenti a internet domains del tipo www.yeak.net, www.sgrunt.biz e www.master69.biz, dato che nel log c'era anche la riga:
O15 - Trusted Zone: www.yeak.net

ho quasi paura a dirlo, ma forse l'ho eliminato, ieri sera sono rimasto collegato per 30 minuti (e intanto ho aggiornato Avast!) e nulla è successo...
anche il log di HijackThis non mostra più nè il neem.exe che www.yeak.net.
Speriamo sia la volta buona!!!

non so come ringraziarvi, ero ormai pronto a sacrificare un pacco di euro e lasciare il mio laptop in pasto a qualcuno, che sicuramente ne avrebbe saputo meno di voi......
 
da start, apri esegui e digita msconfig, controlla che in avvio vi sia un programma di nome simile all'incriminato e nel caso togli la spunta, non temere chi la dura la vince
 
Se non mi ricordo male ieri mattina, durante tutto quel trambusto che è successo, ed ora risolto :D , prima che i post fossero stati cancellati, ad Apicella gli si era ripresentato il problema, e dal log postato compariva di nuovo il file neem.exe.
Inoltre ha detto che si rifarà vivo lunedì. :icon_wink:
 
vianello_85 ha scritto:
Se non mi ricordo male ieri mattina, durante tutto quel trambusto che è successo, ed ora risolto :D , prima che i post fossero stati cancellati, ad Apicella gli si era ripresentato il problema, e dal log postato compariva di nuovo il file neem.exe.
Inoltre ha detto che si rifarà vivo lunedì. :icon_wink:

esatto, eccomi qui, vi posso dire che ho verificato che il dialer si collega ad un 892 (ne ho parlato anche nel thread relativo agli 892), quindi NON disattivabile...
farò la denuncia alla polizia postale, però devo eliminare questo terribile dialer...

dopo lo scan di Hijack ho di nuovo eliminato l'eseguibile neem.exe, però il problema è che appena mi collego alla rete in qualche modo questo eseguibile si rigenera....
ho eliminato tutti i contenuti della directory Windows/temp, ho controllato il registry editor, eliminando tutti i riferimenti ai siti citati nella pagina Microtrend che ho linkato sopra, cioeè: yeak.net, sgrunt.biz, master69.biz (in Internet/domains/...)

vi metto il log di Hijack, prima che togliessi neem.exe:

Logfile of HijackThis v1.99.1
Scan saved at 20.37.03, on 02/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\luca\utility\avast\aswUpdSv.exe
C:\luca\utility\avast\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\luca\utility\avast\ashDisp.exe
C:\Programmi\TOSHIBA\TME3\Tmesbs32.exe
C:\luca\utility\avast\ashWebSv.exe
C:\luca\utility\avast\ashMaiSv.exe
C:\WINDOWS\System32\svchost.exe
C:\luca\utility\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {5AA06644-BC46-4220-A460-47A6EB47C96D} - (no file)
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [avast!] C:\luca\utility\avast\ashDisp.exe
O4 - HKLM\..\Run: [neem1.exe] C:\WINDOWS\Temp\neem1.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\luca\utility\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\luca\utility\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\luca\utility\avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\luca\utility\avast\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SrvCxv - Unknown owner - C:\:hOF.exe
O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programmi\TOSHIBA\TME3\Tmesbs32.exe


adesso ovviamente neem.exe non c'è più, ma se mi ricollego so che partirà

tenterò con il tuo consiglio, giacomo58, ti ringrazio e con te ringrazio tutti voi....speriamo bene....
 
Veramente c'è ancora

O4 - HKLM\..\Run: [neem1.exe] C:\WINDOWS\Temp\neem1.exe

Va disattivato nel task manager e poi eliminato.
 
E se non fai come dice giacomo58 ci sarà sempre...
 
a questo punto puoi solo fare una cosa usare winpooch che ti fa vedere nel log tutto quello che succede nel pc cosi capisci quale programma ti ricrea il dialer, in poche parole cerca con regedit il file in questione nel registro esporta prima di eliminare la striga e poi aspetta di solito il programma ti avverte che qualcuno sta scrivendo nel registro e vedi quale programma è e lo elimini, di solito lo trovi in c:\windows o in c:\windows\system32 è un eseguibile nascosto (per questo devi dire su strumenti/opzioni cartelle/visualizza/visualizza cartelle e files nascosti e togliere lo spunto da nascondi i files dprotetti di sistema) e ha una dimensione inferiore ai 100 kb, anche qui prima di eliminarlo rinominalo in mdodo che se non è un dialer ma un file che serve a windows lo puoi ripristinare, la cosa è piu facile a fare che a dire, cmq nell'avvio ci deve essere un programma strano che non è riconosciuto da hijackthis cmq prova ad usare a-squared free
 
ERCOLINO ha scritto:
Veramente c'è ancora

O4 - HKLM\..\Run: [neem1.exe] C:\WINDOWS\Temp\neem1.exe

Va disattivato nel task manager e poi eliminato.

scusami, Ercolino, mi ero spiegato male, intendevo dire che nel log di HijackThis c'era ancora, ma che dopo aver fatto il log, lo avevo eliminato....questo per darvi modo di vedere se c'era qualcosa di sospetto oltre a neem.exe

in ogni caso ieri sera ho seguito tutti i vostri consigli, dall'avvio l'avevo già tolto, come suggeriva giacomo....

ho provato a-squared, maxsatII, ma ha beccato una serie di Cookies e uno spyware, ma non questo malefico neem.exe...
ho installato winpooch che in effetti ha rilevato neem.exe....a questo punto l'ho eliminato per l'ennesima volta dal registry editor, dall'avvio e dalla cartella Windows/Temp e ho ritentato un collegamento ad internet con aperti TaskManager, Winpooch e la cartella Windows/Temp per vedere se e come riappariva.....beh, sono rimasto collegato per 50 minuti e nulla è successo....

farò altre prove, anche l'altra volta sembrava sparito e dopo una settimana è ricomparso.....


vi ringrazio ancora tutti, siete la mia speranza per un collegamento alla rete senza angosce (la momento l'angoscia riguarda la bolletta Telecom....)
 
può anche darsi che la rimozione vada a buon fine ma che poi il problema si ripresenta appena vai in qualche sito che te lo reinstalla
 
dopo quasi un mesetto e varie prove sono arrivato al punto che riesco a "controllare" il dialer neem.exe , ma non ad impedire che si ri-installi sul sistema....

ormai so che sta in Windows/Temp e ho messo in automatico WinPooch con un filtro specifico per lui così da impedirgli di collegarmi al 892 (in questo modo anche se mia moglie usa internet mi sento protetto...).
Purtroppo però anche WinPooch non mi segnala nulla su chi e come ri-installa il dialer, riesce solo a segnalarmi che c'è e tenta la disconnessione....

In sostanza, controllo sempre la cartella Windows/Temp e se c'è lo elimino, ripulisco il registry editor da ogni suo segno, controllo il msconfig e lascio su WinPooch durante la connessione....nell'ultima bolletta per fortuna non c'è nessuna chiamata al 892 (nei prossimi giorni andrò alla polizia postale per la denuncia per le bolletta precedente) quindi così l'ho reso meno dannoso....

è comunque un bel fastidio collegarsi con questa ansia in sottofondo e mi chiedevo se c'era qualche altra prova possibile oltre a tutte quelle che mi avete già suggerito (di cui vi ringrazio molto, in quanto mi hanno permesso di capire bene il problema e di proteggermi in qualche modo...)

grazie ancora a tutti per l'aiuto...
 
Hai riprovato a usare il tool in modalità provvisoria?

Usa anche ad-aware e l'antivirus

Tasto f8 all'accensione.


Poi cancella sempre in modalità provvisoria tutto il contenuto di Temp.
 
ERCOLINO ha scritto:
Hai riprovato a usare il tool in modalità provvisoria?

Usa anche ad-aware e l'antivirus

Tasto f8 all'accensione.


Poi cancella sempre in modalità provvisoria tutto il contenuto di Temp.


grazie ancora per la tua cortesia e pazienza, Ercolino.....
ho fatto come mi hai suggerito tu il tutto in modalità provvisoria. Purtroppo però il programma si è di nuovo ri-installato appena collegato alla rete, cambiando anche nome da neem1.exe a neem0.exe, sempre in Windows/Temp..

ri-incollo qui il log di HijackThis, dopo l'ennesima rimozione del programma, la ripulitura del registry editor e di msconfig....

Logfile of HijackThis v1.99.1
Scan saved at 15.05.13, on 08/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\luca\utility\avast\aswUpdSv.exe
C:\luca\utility\avast\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\luca\utility\avast\ashDisp.exe
C:\Programmi\TOSHIBA\TME3\Tmesbs32.exe
C:\luca\utility\avast\ashWebSv.exe
C:\luca\utility\avast\ashMaiSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Winpooch\Winpooch.exe
C:\WINDOWS\regedit.exe
C:\luca\utility\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [avast!] C:\luca\utility\avast\ashDisp.exe
O4 - HKLM\..\Run: [Winpooch] C:\Programmi\Winpooch\Winpooch.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\luca\utility\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\luca\utility\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\luca\utility\avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\luca\utility\avast\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SrvCxv - Unknown owner - C:\:hOF.exe
O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programmi\TOSHIBA\TME3\Tmesbs32.exe


un'altra informazione che sono riuscito a recuperare è il controllo tramite WinPooch dei processi che neem.exe fa (anche se non sono riuscito a vedere chi e come ri-installa il programma)...
vi incollo qui parte del log di WinPooch (mi sembra di aver messo tutto, perchè ci sono molto ripetizioni degli stessi processi), forse ci sono informazioni utili, ma io non ci capisco moltissimo :-(

- neem1.exe (3108) : File::Read (C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Connections\Pbk\rasphone.pbk) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, ParseAutoexec) -> rejected
- neem1.exe (3108) : File::Read (c:\autoexec.bat) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, AppData) -> rejected
- neem1.exe (3108) : File::Read (C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Connections\Pbk\rasphone.pbk) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\RASModule\Data, Value) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\RASModule\Data, Value) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Afqaf, Value) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Afqaf, Value) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\RASModule\Data, Index) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\RASModule\Data, Index) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Afqaf, Index) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Afqaf, Index) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\RASModule\Data, Data) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\RASModule\Data, Data) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Afqaf, Data) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Afqaf, Data) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\RASModule\Data, Groups) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\RASModule\Data, Groups) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Afqaf, Groups) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Afqaf, Groups) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\RASModule\Data, Times) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\RASModule\Data, Times) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Afqaf, Times) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Afqaf, Times) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\RASModule\Data, Diff) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\RASModule\Data, Diff) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Afqaf, Diff) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Afqaf, Diff) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\RASModule\Data, Limit) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\RASModule\Data, Limit) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Afqaf, Limit) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Afqaf, Limit) -> rejected
- neem1.exe (3108) : File::Read (C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Connections\Pbk\rasphone.pbk) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, ParseAutoexec) -> rejected
- neem1.exe (3108) : File::Read (c:\autoexec.bat) -> rejected
- neem1.exe (3108) : Reg::SetValue (HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, AppData) -> rejected
- neem1.exe (3108) : File::Read (C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Connections\Pbk\rasphone.pbk) -> rejected


infine c'è anche questo strano processo (C:\:hOF.exe) che parte all'avvio del PC e poi viene chiuso....è qualcosa di sistema o può avere a che fare con il dialer??

giovedÏ 7 dicembre 2006 - 18.12.37 - Pc
- services.exe (644) : Sys::KillProcess (C:\:hOF.exe) -> accepted


grazie a tutti ancora una volta...magari non riesco a fare fuori del tutto il dialer, ma almeno sto imparando molto sull'uso e protezione del PC....
 
Indietro
Alto Basso