PDA

Visualizza versione completa : rasautou.exe ???


davlak
17-03-2004, 19.35.52
Ragazzi ho bisogno del Vs. aiuto.
Win XP PRO sp1 con tutte le patches.
Mi crasha la connessione adsl alice upgradata di recente a 640.
E fin qui ok, ma data la frequenza della cosa, ho cominciato a dubitare che la colpa non fosse solo di mamma Telecom...e infatti.

Ho avviato il Task Manager in occasione degli ultimi crash, che ormai si verificano ogni pochi minuti...e ho trovato in esecuzione un processo del piffero...si insomma mi suona strano assai

rasautou.exe

non faccio in tempo a leggere che il processo scompare e il Task si chiude.

ho trovato questa voce nel registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache]
"C:\\WINDOWS\\System32\\rasautou.exe"="Remote Access Dialer"

che non sembra azzeccarci granch, dato la sua collocazione...e inoltre in C:\WINDOWS\System32 non c' traccia dell'eseguibile in oggetto.

Inutile dire che ho:
1) utilizzato Spybot e AdAware aggiornatissimi.
2) ho Spywareblaster altrettanto aggiornato e attivato.
3) ho scansionato con f-prot da Win e mcafee da console, entrambi aggiornati a oggi e non mi trovano niente di niente.
4) il file Hosts OK
5) ho usato pure CwShredder aggiornato.
6) il log di HijackThis non sembra indicare nulla di nocivo:

Logfile of HijackThis v1.97.7
Scan saved at 19.16.23, on 17/03/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programmi\FSI\F-Prot\F-StopW.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Utilities\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wintricks.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer :: Powered by WinTricks
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [F-StopW] C:\Programmi\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O8 - Extra context menu item: WT apri link in background - C:\PROGRA~1\WinTricks IE Tools\wt_openback.htm
O8 - Extra context menu item: WT apri nuova finestra IE - C:\PROGRA~1\WinTricks IE Tools\wt_ie.htm
O8 - Extra context menu item: WT cerca con Google - C:\PROGRA~1\WinTricks IE Tools\wt_google.htm
O8 - Extra context menu item: WT cerca News - C:\PROGRA~1\WinTricks IE Tools\wt_news.htm
O8 - Extra context menu item: WT cerca Software - C:\PROGRA~1\WinTricks IE Tools\wt_software.htm
O8 - Extra context menu item: WT cerca su WinTricks - C:\PROGRA~1\WinTricks IE Tools\wt_cercawt.htm
O8 - Extra context menu item: WT cerca sul dizionario Garzanti - C:\PROGRA~1\WinTricks IE Tools\wt_garzanti.htm
O8 - Extra context menu item: WT cerca sul Forum di WinTricks - C:\PROGRA~1\WinTricks IE Tools\wt_cercaforum.htm
O8 - Extra context menu item: WT traduci Inglese -> Italiano - C:\PROGRA~1\WinTricks IE Tools\wt_lycos.htm
O8 - Extra context menu item: WT traduci tutta la pagina - C:\PROGRA~1\WinTricks IE Tools\wt_lycos_url.htm
O8 - Extra context menu item: WT vai su WinTricks - C:\PROGRA~1\WinTricks IE Tools\wt_home.htm
O8 - Extra context menu item: WT vai sul Forum di WinTricks - C:\PROGRA~1\WinTricks IE Tools\wt_forum.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Ricerche (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: WinTricks (HKLM)
O9 - Extra 'Tools' menuitem: WinTricks Home (HKLM)
O9 - Extra button: Forum (HKLM)
O9 - Extra 'Tools' menuitem: WinTricker's Forum (HKLM)
O9 - Extra button: News (HKLM)
O9 - Extra button: Flash (HKCU)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37895.2794444444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
(a meno che non mi sfugga qualcosa)

Aggiungo che non riesco assolutamente a fare una ricerca in rete perch quando avvio un qualsiasi motore, Google in primis...mi crasha la connessione o non si apre la pagina.

Che f???



:confused:

Lionsquid
17-03-2004, 19.47.15
quello deve essere il nome che ha assunto la prima volta...

il comportamento proprio da virus... :(


fai una ricerca degli .exe in windows, windows\system32 e in programmi\filecomuni

se noti qualche exe strano prova a rinominarlo e vedi che dice...

hai fatto tutto meno un test con stinger e uno scan online con il NAV (si, il nav!!)

(ed essere sincero sto preoccupato assai... ho messo su f-prot da 2 settimane :eek: )

crazy.cat
17-03-2004, 19.51.07
Ci sono molte segnalazioni la pi diffusa questa.

The problem is a worm virus. Called Sobig. Ditributed by e-mail attachment <Movie_0074.mpeg.pif >
Look in C:\Windows directory, if there is a program called <winmgm32.exe> then you found your virus.
The worm is a Trojan horse. It does not ruin your computer. It just spreads itself by e-mailaddresses found in the Outlook addressbook. Therefor it uses <rasautou.exe> to initialize connections to the internet.
On the internet is more information about this virus.
http://techupdate.zdnet.com/techupdate/stories/main/0,14179,2908481,00.html
A virusscanner will crush this rubbish.
After that, your computer will act normal again.

L'unica in italiano
rasautou l'autodial manager del RAS (quello che ti permette di fare connessioni remote tramite Dial-Up) per intenderci.
Se da linea di comando fai:
rasautou -s hai tutte le informazioni su quanto ha memorizzato
Mentre da
HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial\Addresses
Puoi cancellare voci non volute ad esempio. Molti Dialer utilizzano il RAS per fare dialing, ergo un'occhiata ce la darei.

davlak
17-03-2004, 20.04.20
Originariamente inviato da Lionsquid
quello deve essere il nome che ha assunto la prima volta...

il comportamento proprio da virus... :(


fai una ricerca degli .exe in windows, windows\system32 e in programmi\filecomuni

se noti qualche exe strano prova a rinominarlo e vedi che dice...

hai fatto tutto meno un test con stinger e uno scan online con il NAV (si, il nav!!)

(ed essere sincero sto preoccupato assai... ho messo su f-prot da 2 settimane :eek: )
stinger, l'avevo dimenticato: l'ho gi passato, vers. 2.1.4 data astrale 14/3/2004...risultato nisba. :confused:

la scansione online ho fatto quella Panda...perch il NAV (sar perch gliene dico sempre di tutti i colori??? :devil: ) si sta vendicando dicendomi che non mi pu servire...:rolleyes:
Esito della Panda: negativo.

@crazycat: ti ringrazio, ma non riesco ad aprire il link da win, mi crascha la connessione appena ci provo, ho tentato da Linux e ho letto, ma non trovo nessuna corrispondenza nel mio registro n sul mio HD :confused:


Mi domando se per caso non sono oggetto di una nuova fonte di infezione, ma allo stesso tempo mi pare strano perch da giorni che va avanti sta storia della disconnessione.

Potrei risolvere con un ghost, solo che l'unico di cui sono in possesso risale all'altro ieri e da come stanno le cose...potrebbe essere gi infetto.

Lionsquid
18-03-2004, 00.09.07
scusa dav, ma dato che per la connessione usi un modem adsl ethernet,.... perch non disabiliti il servizio??? magari rinominando temporaneamente l'exe con altra estensione e vedi come si comporta.

davlak
18-03-2004, 00.28.23
Lions...il servizio appare nei tasks solo e unicamente in occasione della disconnessione, e non c' traccia di quell'exe nel path indicato.

@crazycat: quella chiave non ce l'ho proprio :confused: e dal prompt ecco cosa mi da se lancio il comando



C:\Documents and Settings\Administrator>rasautou -s
Checking netcard bindings...
NetworkConnected: RegKeyOpenEx failed (dwError=0)

Enumerating AutoDial addresses...
There are 0 Autodial addresses:



in pratica niente ancora...eppure appena crasha la connessione appare il maldido nei Tasks.

wolf76
18-03-2004, 02.33.44
Ciao Davlak,
ho fatto una ricerca, la pi accurata possibile (visto tutti gli aiuti che dai tu, te lo meritavi...;) ) e, come ha gi scritto crazy.cat, dovrebbe essere quel virus!:mad:

La Symantec ha fatto un tool (http://securityresponse.symantec.com/avcenter/FixSobig.exe) se non riesci a scaricarlo, c' anche una soluzione manuale:
vedi se ti compare quel WINMGM32 nel registro o uno di questi due files, DWN.DAT SNTMLS.DAT in C, se s, cancellali!

Se non ci fosse traccia di tutto ci, allora probabilmente non quel virus, in caso contrario avverti, che ti fornisco la procedura dettagliata per l'eliminazione!!

Lionsquid
18-03-2004, 08.36.30
oltre ai suggerimenti di crazy.cat e wolf76, ti suggerisco di mettere un firewall.

Quel task chi lo richiede?? Se individui chi chiama il ras* saprai cosa cercare ;)

Giorgius
18-03-2004, 10.31.33
Sembrerebbe qualche "porcheria" proveniente da un downloader...

- Controlla su "C:\Windows\System32\Drivers\Etc" se il solito file "Hosts" non contenga indirizzi IP strani, poi accertata la sicurezza, impostalo in modalit "solo lettura". ;)

- Fai una scansione accurata con AdAware, aggiornato al 16/03/04. ;)

- Nel caso che persista il problema, vai On-Line a scansionare il Pc con "a Online-Check". ;)
http://onlinecheck.emsisoft.com/en/

davlak
18-03-2004, 11.33.39
allora, grazie a tutti innanzitutto.

Il file Hosts gi bloccato in lettura e sottoposto alle cure di Spybot.
E tutto il SW che riguarda la sicurezza aggiornatissimo, AdAware incluso.

@Lions: non posso verificare perch il task manager si chiude non appena mi compare il processo (il che succede solo in quei pochi istanti in cui avviene la disconnessione).



credo che il problema sia in questa porta, anche se TCPview PRO non mi segnala traffico sulla medesima.

TCP DISCOVER-*****:1025 DISCOVER-*****:0 LISTENING

Non c' presenza di trojan o worm nel mio PC, di questo sono sicuro, ho seguito tutte le vostre indicazioni oltre a quelle gi attuate.
Perci credo che si tratti di attacchi esterni e occasionali.
Lascio in esecuzione TCPPro e vediamo che dice...purtroppo come spesso accade, al momento non ho il problema della disconnessione, da ieri sera, almeno.

Mi sa che devo installare un FW come dice Lionsquid...cosa che detesto :S

Lionsquid
18-03-2004, 11.44.07
metti quel fw... avresti gi un bel log dettagliato, altro che frazioni di secondo per individuare il colpevole

attacchi esterni?? no, sei in errore ;) quel topaccio dentro, ben nascosto...

quello molto probabilemte un residuo di un worm... qualcosa attiva un tentativo di connessione RAS, e contemporaneamente TERMINA il task manager!! + sospetto di cos!!!


detesti i fw.... vabb... appena risolvi usi il ghost e torni.... ehm.. illibato :p

Lionsquid
18-03-2004, 11.54.58
Originariamente inviato da Lionsquid
scusa dav, ma dato che per la connessione usi un modem adsl ethernet,.... perch non disabiliti il servizio??? magari rinominando temporaneamente l'exe con altra estensione e vedi come si comporta.

mi autoquoto...

ti richiedo... hai disabilitato il servizio di accesso remoto???

prova a disabilitare "auto connection manager di accesso remoto" e vedi se compare +....

poi... ho trovato..

Il file rasautou dell'autodial manager del RAS, utile a creare connessioni remote tramite dial up.
Se dalla linea di comando digiti:
rasautou -s
trovi le informazioni registrate nel tuo registro di sistema, mentre controllando direttamente il registro puoi guardare in:
HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial
quello che impostato.
Qualche dialer sfrutta queste impostazioni...


controlla anche quella chiave

davlak
18-03-2004, 12.11.29
Originariamente inviato da Lionsquid


mi autoquoto...

ti richiedo... hai disabilitato il servizio di accesso remoto???

prova a disabilitare "auto connection manager di accesso remoto" e vedi se compare +....

poi... ho trovato..

Il file rasautou dell'autodial manager del RAS, utile a creare connessioni remote tramite dial up.
Se dalla linea di comando digiti:
rasautou -s
trovi le informazioni registrate nel tuo registro di sistema, mentre controllando direttamente il registro puoi guardare in:
HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial
quello che impostato.
Qualche dialer sfrutta queste impostazioni...


controlla anche quella chiave

Originariamente inviato da davlak

@crazycat: quella chiave non ce l'ho proprio e dal prompt ecco cosa mi da se lancio il comando (sottinteso: rasautou -s)



C:\Documents and Settings\Administrator>rasautou -s
Checking netcard bindings...
NetworkConnected: RegKeyOpenEx failed (dwError=0)

Enumerating AutoDial addresses...
There are 0 Autodial addresses:


;)

p.s.: si, ho disabilitato il servizio di accesso remoto...ecco di nuovo la disconnessione, gli ho fatto lo shot, stavolta, al TM.

Giorgius
18-03-2004, 12.39.43
Prova con questi tool:
http://download.ikarus.at/remover/IkarusRem_Sobig.exe
http://files.avast.com/files/eng/aswclnr.exe

davlak
18-03-2004, 21.31.19
Ordunque :o

aggiornato F-Prot alla versione 3.14d e firme odierne...mi scova il seguente W32/Sdbot.GA (vedi shot)

Non capisco che ciazzecca col mio problema e inoltre la cosa davvero strana sono gli exe che mi da come infetti:

plugins di nero 6 e il ramdisk.exe di TweakXP Pro 3.02

:confused:

cacchio ma sono mesi che ce li ho installati o comunque su HD!!! :S e nessun AV mi aveva mai detto niente???

Cmq, su quella variante .GA non riesco a trovare info...non che si tratta di un abbaglio di F-Prot? (nel frattempo mi sono reinstallato TweakXP Pro e i plugins di Nero e la segnalazione continua)...

Tutte le tools suggerite da Giorgius le ho usate, ma non mi danno nessun worm presente...boh...

Lionsquid
18-03-2004, 23.20.39
il kaspersky lo mette tra i riconsciuti in data 18-03-2004, anche il norman av :eek:

la prima versione conosciuta risale a gennaio http://www.virusbuster.hu/en/product/database/vdb_v7.854

il mio non ha rilevato presenze estranee... speriamo

Bico Bico
19-03-2004, 00.29.16
Azz Davlak... mica male, ti sei beccato una primizia! :p

afterhours
19-03-2004, 02.49.29
prima x curiosita' ho fatto ctrl alt canc e tra i processi vedo pure io rasautau.exe ... ho riavviato e ora nn lo vedo +... ho formattato praticamente da 5 gg... nn ho scaricato nessuna mail...la prima volta mi son collegato col firewall di xp x fare windows update... ora come firewall ho Zone alarm e come anti virus Antivir p.e....

Lionsquid
19-03-2004, 08.47.07
il rasutou.exe in s non "il" colpevole.... ma potrebbe essere una manifestazione... il tentativo di creare/lanciare una connessione dialup molto sospetto, ci non toglie che possa essere lecito.

nelle ricerche fatte ieri ho trovato una spiegazione...

Il file rasautou dell'autodial manager del RAS, utile a creare connessioni remote tramite dial up.
Se dalla linea di comando digiti:
rasautou -s
trovi le informazioni registrate nel tuo registro di sistema, mentre controllando direttamente il registro puoi guardare in:
HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial
quello che impostato.
Qualche dialer sfrutta queste impostazioni...


in parole povere.. bisogna scoprire chi lancia il rasautou.exe


PS: OT, a proposito di processi, conoscete una utility che dia maggiori informazioni sul processo attivo del semplice TaskManager?? io uso il pserv.cpl della p.nand-q.com.. ma non mi soddisfa appieno... ( http://www.p-nand-q.com/download.html )

davlak
19-03-2004, 09.02.49
Originariamente inviato da Lionsquid
il rasutou.exe in s non "il" colpevole.... ma potrebbe essere una manifestazione... il tentativo di creare/lanciare una connessione dialup molto sospetto, ci non toglie che possa essere lecito.

nelle ricerche fatte ieri ho trovato una spiegazione...

Il file rasautou dell'autodial manager del RAS, utile a creare connessioni remote tramite dial up.
Se dalla linea di comando digiti:
rasautou -s
trovi le informazioni registrate nel tuo registro di sistema, mentre controllando direttamente il registro puoi guardare in:
HKEY_CURRENT_USER\Software\Microsoft\RAS Autodial
quello che impostato.
Qualche dialer sfrutta queste impostazioni...


in parole povere.. bisogna scoprire chi lancia il rasautou.exe


PS: OT, a proposito di processi, conoscete una utility che dia maggiori informazioni sul processo attivo del semplice TaskManager?? io uso il pserv.cpl della p.nand-q.com.. ma non mi soddisfa appieno... ( http://www.p-nand-q.com/download.html )
si, non so se after ha digitato correttamente, ma ci sono sia il

rasautou.exe

che il

rasautau.exe

Per quanto riguarda l'OT: dai un'occhiata qui (http://www.msni.it/forum/showthread.php?s=&postid=598850&highlight=msconfig#post598850)

RNicoletto
19-03-2004, 10.32.25
Process Explorer un'ottimo sostituto del Task Mangager (Y).

Tornando al problema di davlak, ne ho letto in pi di un forum ma al momento nessuna risposta certa... (


SALUDOS Y BESOS !!!

Giorgius
19-03-2004, 10.34.51
Controlla nel tuo disco fisso e nei CD i file "ZIP" o "RAR" e occhio a quello che scarichi dal P2P. ;)

Lionsquid
19-03-2004, 10.36.57
Originariamente inviato da davlak

si, non so se after ha digitato correttamente, ma ci sono sia il

rasautou.exe

che il

rasautau.exe

.....

:eek:

dav, sei certo??

la MS non cita il rasautau.exe ma solo il rasautou.exe .. almeno.. io non sono riuscito a trovarlo

afterhours
19-03-2004, 12.28.43
io leggevo rasautau.exe ... ora pero' nn lo vedo + ...