Memstat.exe

**Dracula Rosso** · 07-10-2004, 02:17

MEMSTAT.EXE me lo trovo nei processi e lo chiudo, lo trovo in WINNT-Prefetch e l'ho cancellato anche qui, ma ad ogni riavvio del pc lo ritrovo nei processi.

Oltretutto 4 o 5 volte mi è capitato una finestra che mi informava che "Da un utente o da un programma sono state
richieste informazioni da bla bla bla" e mi chiede quale connessione utilizzare. Ovviamente clicco su annulla.

Come posso rimuoverlo? Ho già utilizzato Ad-aware, Spybot e altro...
Uso windows xp pro.

Grazie!

**mardux** · 07-10-2004, 12:10

controlla che non parta da msconfig.

esegui -> msconfig.

cerca anche nel registro, è possibile che che anche lì sia impostato per partire all'avvio

**Dracula Rosso** · 07-10-2004, 18:12

Originariamente inviato da mardux
controlla che non parta da msconfig.

esegui -> msconfig.

cerca anche nel registro, è possibile che che anche lì sia impostato per partire all'avvio

Ok, controllerò, è che mi sembra strano perchè l'avevo cercato in Start->Cerca...ed era uscito fuori solo sotto WINNT.

**amvinfe** · 07-10-2004, 18:36

prova a controllare in questi percorsi
Start>Esegui scrivi regedit dai l'OK

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion nelle chiavi
Run e RunServices
e nel percorso
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion nella chiave
Run
clicca sulle cartelline gialle Run e RunServices di ogni percorso, dalla finestra di dx verifica se hai il valore
Microsoft Update Machine ========> memstat.exe
in questo caso il tuo pc è infetto da una variante del worm Rbot.

Fai una scansione online, ed assicurati d'avere installate tutte le patch

N.B.
Dimenticavo, ovviamente prima della scansione devi terminare dalla Task il valore memstat.exe

**Dracula Rosso** · 07-10-2004, 18:45

Originariamente inviato da amvinfe
prova a controllare in questi percorsi
Start>Esegui scrivi regedit dai l'OK

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion nelle chiavi
Run e RunServices
e nel percorso
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion nella chiave
Run
clicca sulle cartelline gialle Run e RunServices di ogni percorso, dalla finestra di dx verifica se hai il valore
Microsoft Update Machine ========> memstat.exe
in questo caso il tuo pc è infetto da una variante del worm Rbot.

Fai una scansione online, ed assicurati d'avere installate tutte le patch

N.B.
Dimenticavo, ovviamente prima della scansione devi terminare dalla Task il valore memstat.exe

Come farei senza di te? Ogni volta i passaggi sono gli stessi ma ogni volta li dimentico...adesso me li appunto su un foglio di carta (che perderò) per ricordarmi i passaggi da fare ogni volta

**Dracula Rosso** · 08-10-2004, 02:37

Originariamente inviato da amvinfe
prova a controllare in questi percorsi
Start>Esegui scrivi regedit dai l'OK

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion nelle chiavi
Run e RunServices
e nel percorso
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion nella chiave
Run
clicca sulle cartelline gialle Run e RunServices di ogni percorso, dalla finestra di dx verifica se hai il valore
Microsoft Update Machine ========> memstat.exe
in questo caso il tuo pc è infetto da una variante del worm Rbot.

Fai una scansione online, ed assicurati d'avere installate tutte le patch

N.B.
Dimenticavo, ovviamente prima della scansione devi terminare dalla Task il valore memstat.exe

Confermo, ho Rbot!
Ho terminato il task.

F-secure on line mi ha trovato questo: non me li cancella in automatico, quindi ho cercato nel percorso indicato i file da cancellare...non c'erano tutti, ho trovato solo l'ultimo e l'ho cancellato anche dal cestino.

C:\WINNT\system32\dxb.exe Backdoor.Win32.Rbot.gen
C:\WINNT\system32\weautga.exe Backdoor.Spyboter.by
C:\WINNT\system32\wupdt32x.exe Backdoor.Win32.Rbot.gen

In provvisoria ho fatto lo scan con Ad-aware, pulito tutto, ho fatto fix con Cwshredder e usato Hjack, questo è il log, dove ho visto che c'è memstat.exe:

Logfile of HijackThis v1.98.2
Scan saved at 2.18.44, on 08/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Hjack\Hjack recente\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVG_EMC] C:\PROGRA~1\Grisoft\AVG6\avgemc.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Microsoft Update Machine] memstat.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] memstat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] memstat.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\Launcher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Alice - {32014FA6-A8C5-4309-9CD4-5934F8A1D9E9} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097055943747
O16 - DPF: {72E0F892-B9F1-451D-95A3-2E6C1F45C0DD} (Redirect Control) - http://www.lacasadialice.it/video/cab/Redirect.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

Riavviando in modalità normale ho ritrovato il processo nel task manager e la richiesta di connessione continua ad apparirmi, in più ad ogni riavvio devo installarmi sempre Alice.

Come procedo?
Grazie.

ps: forse la domanda è stupida ma le chiavi di registro da te indicatomi le cancello manualmente o devono essere pulite dai vari scan dei programmi?

**Dracula Rosso** · 08-10-2004, 18:13

**amvinfe** · 08-10-2004, 23:57

dalla modalità provvisoria elimina con HijackThis

O4 - HKLM\..\Run: [Microsoft Update Machine] memstat.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] memstat.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] memstat.exe

verifica sempre dalla provvisoria se il file memstat.exe è ancora presente, nel caso lo elimini.
Riavvia, fai una scansione online usando il servizio TrendMicro (l'indirizzo è in rilievo -links utili-)
Finita la scansione, riavvia e posta un nuovo log

**Dracula Rosso** · 09-10-2004, 01:58

Logfile of HijackThis v1.98.2
Scan saved at 1.56.07, on 09/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\programmi\quicktime6.5\qttask.exe
C:\Programmi\Spamihilator\spamihilator.exe
C:\WINNT\System32\ctfmon.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\WINNT\System32\wuauclt.exe
C:\WINNT\system32\rundll32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Hjack\Hjack recente\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVG_EMC] C:\PROGRA~1\Grisoft\AVG6\avgemc.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\programmi\quicktime6.5\qttask.exe" -atboottime
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\Launcher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Alice - {32014FA6-A8C5-4309-9CD4-5934F8A1D9E9} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097055943747
O16 - DPF: {72E0F892-B9F1-451D-95A3-2E6C1F45C0DD} (Redirect Control) - http://www.lacasadialice.it/video/cab/Redirect.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F9C7FDD-568F-4600-9F3B-3E99A0C1B32A}: NameServer = 80.18.136.22 151.99.125.1

Come va?

**amvinfe** · 09-10-2004, 11:28

Originariamente inviato da Dracula Rosso

Come va?

Bene grazie

il log è ok.
Tieni presente però che quel tipo di worm sfrutta diversi bugs windows corretti con le patch relative, ed il tuo sistema non è certo protetto, fai gli WindowsUpdate

Discussione: Memstat.exe

Strumenti discussione

Ricerca discussione

Visualizza

Memstat.exe

Permessi di invio