Ciao, vorrei rimuovere il Dialer Win32.Morphine.a, come posso fare?

Dovrei eliminare per intero la voce di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw

Regedit apre la dialog col messaggio d'errore:
Errore durante l'eliminazione della chiave.

Ho provato ad usare "Pocket Killbox" per eliminare la DLL caricata all'avvio ma un programma residente elimina la chiave di registro PendingFileRenameOperations aggiunta da Killbox, esistono alternative?

Grazie e buona giornata.

Ciao, vorrei rimuovere il Dialer Win32.Morphine.a, come posso fare?

Dovrei eliminare per intero la voce di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw

Regedit apre la dialog col messaggio d'errore:
Errore durante l'eliminazione della chiave.

Ho provato ad usare "Pocket Killbox" per eliminare la DLL caricata all'avvio ma un programma residente elimina la chiave di registro PendingFileRenameOperations aggiunta da Killbox, esistono alternative?

Grazie e buona giornata.

log di hijackthis per favore

Il mio problema e' che non riesco ad eliminare la chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw

Ciao
scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente.

Ciao

No, nulla da fare.
Grazie ma avevo già provato e non è possibile cancellare le chiavi dal registro.

Could not open registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw for deletion
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw failed!
Status: 0xc0000022

log di hijackthis per favore

Ecco il log, evidenzio ciò che non riesco a rimuove dal registry, grazie.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.30.07, on 11/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\notepad.exe
C:\Oracle\Ora92\bin\omtsreco.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\HPQ\SHARED\HPQWMI.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\regedit.exe
c:\Programmi\TortoiseSVN\bin\TSVNCache.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
D:\SharpSshTest\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oracle.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pxfw.postel.it/newpostel.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.75.2.22:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: (no name) - {5DDE76D7-34D8-43E4-B176-0ACE0818E86A} - c:\windows\system32\ckekcke.dll (file missing)
O2 - BHO: Explorer Helper - {696A82AF-3AD8-5A16-A1CA-32A59A63A863} - C:\WINDOWS\system\bremct32.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O20 - Winlogon Notify: vdnnlguw - ckekcke.dll (file missing)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\Oracle\Ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Oracle\Ora92\BIN\ONRSD.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6456 bytes

Queste le autorizzazioni delle chiavi di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DDE76D7-34D8-43E4-B176-0ACE0818E86A}

http://img142.imageshack.us/img142/2434/autorizzazionihx3.th.png (http://img142.imageshack.us/my.php?image=autorizzazionihx3.png)

fa una scan con gmer e vediamo se trova qualcosa in rosso

Il fatto che tu abbia problemi e nel log di hijackthis appaia come file missing è sospetto...
fai una scansione con gmer e vedi se riporta voci in rosso

Il fatto che tu abbia problemi e nel log di hijackthis appaia come file missing è sospetto...
fai una scansione con gmer e vedi se riporta voci in rosso

e io che ho detto? :mbe:






tiu ho preceduto

Il fatto che tu abbia problemi e nel log di hijackthis appaia come file missing è sospetto...
fai una scansione con gmer e vedi se riporta voci in rosso

Penso che semplicemente le autorizzazioni siano state modificate dal dialer escludendo i diritti al mio utente e persino ad Administrator. Così ora non posso cancellare le entry dal registro.

gmer grazie

gmer grazie

Grazie a voi.

GMER 1.0.12.12244 - http://www.gmer.net
Rootkit scan 2007-05-11 14:21:56
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \SystemRoot\System32\drivers\klif.sys ZwClose
SSDT \SystemRoot\System32\drivers\klif.sys ZwCreateProcess
SSDT \SystemRoot\System32\drivers\klif.sys ZwCreateProcessEx
SSDT \SystemRoot\System32\drivers\klif.sys ZwCreateSection
SSDT \SystemRoot\System32\drivers\klif.sys ZwCreateThread
SSDT \SystemRoot\System32\drivers\klif.sys ZwOpenProcess
SSDT \SystemRoot\System32\drivers\klif.sys ZwQueryInformationFile
SSDT \SystemRoot\System32\drivers\klif.sys ZwSetInformationProcess
SSDT \SystemRoot\System32\drivers\klif.sys ZwTerminateProcess
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[284]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[285]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[286]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[287]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[288]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[289]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[290]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[291]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[292]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[293]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[294]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[295]
SSDT \SystemRoot\System32\drivers\klif.sys SSDT[296]

---- Kernel code sections - GMER 1.0.12 ----

.text ntkrnlpa.exe!KiDispatchInterrupt + BA 80540ABA 7 Bytes JMP EE28E668 \SystemRoot\System32\drivers\klif.sys
PAGE ntkrnlpa.exe!ObReferenceObjectByHandle + 4BF 805AFA4F 7 Bytes JMP F7A24CFE euhsspiu.sys
? euhsspiu.sys Impossibile trovare il file specificato.
? C:\WINDOWS\system32\DRIVERS\update.sys

---- EOF - GMER 1.0.12 ----

Avvia in modalità provvisoria, apri il registro di sistema e portati sulla chiave, adesso apri il task manager e termina il processo winlogon.exe e prova ad eliminare la chiave, ciao

Avvia in modalità provvisoria, apri il registro di sistema e portati sulla chiave, adesso apri il task manager e termina il processo winlogon.exe e prova ad eliminare la chiave, ciao

Grazie ma neppure questa informazione è utile poiché il sistema viene immediatamente riavviato al kill del processo winlogon col tool "Kill box".

Avvia gmer, nel tag proceses clicca sul pulsante Safe.. e rispondi Si alla finestra, a questo punto il pc si riavvierà, una finestra ti avviserà che gmer è in safe mode clicca su Ok, gmer è aperto sempre nel tag proceses in fondo trovi la voce "Command" nello spazio bianco digita regedit e clicca su Run, adesso prova ad eliminare la chiave, finito riavvi cliccando sul pulsante Restart di gmer

Grazie ma né il mio utente né l'utenza Admnistrator possiedono le autorizzazioni richieste per modificare o cancellare chiavi dal registro. L'uso di regedit è perciò precluso.

Come è possibile riacquisire le giuste autorizzazioni per il controllo completo della chiave?
Esistono tool che lavorano più a basso livello senza autenticazione?

http://img142.imageshack.us/my.php?image=autorizzazionihx3.png

fa una scan con gmer e vediamo se trova qualcosa in rosso

:doh:

Grazie ma né il mio utente né l'utenza Admnistrator possiedono le autorizzazioni richieste per modificare o cancellare chiavi dal registro. L'uso di regedit è perciò precluso.

Come è possibile riacquisire le giuste autorizzazioni per il controllo completo della chiave?
Esistono tool che lavorano più a basso livello senza autenticazione?

http://img142.imageshack.us/my.php?image=autorizzazionihx3.png
Sinceramente è una situazione strana, prova con questo programma
http://www.malwarebytes.org/RegASSASSIN.zip
decomprimi l'archivio e avvia il programma
Assicurati che le 2 opzioni siano spuntate
Nel box bianco inserisci la chiave da eliminare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw
e clicca su Delete, rispondi Si alla finestra che apparirà ed aspetta il msg di avvenuta eliminazione, durante questa operazione non escludo che ci possa essere un BSOD con riavvio del pc

CIAO

RegASSASSIN could NOT remove the registry key.

Niente da fare purtroppo.

Ciao, ma tu sei amministratore del pc? se vuoi risposta un log di Hijackthis, ma il regedit lo puoi aprire?
Scarica questo file http://www.heysoft.de/nt/reg/doc/RegDACLE.zip
decomprimi l'archivio, dove viene estratto il file regdacle.exe crea un file .bat ed inserisci questo comando
Regdacl.exe "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw" /SGU:F(CI)
salva il file .bat e doppio click su di esso, adesso prova ad usare avenger per eliminare quella chiave

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente.

Grazie dell'aiuto.

Avenger l'ho gia' provato senza successo ed il messaggio d'errore e':


Could not open registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw for deletion
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw failed!
Status: 0xc0000022

Il log di Hijackthis l'ho gia' postato ma non sembrano esserci cose particolari.

Regedit non riesce a modificare alcuna voce di quella chiave di registro, ne' edit ne' delete.

Il mio e' l'unico utente del sistema ma anche in modalita' provvisoria come Administrator non ho la possibilita' di rimuove la chiave.

Mha, questa è una situazione assurda, vai a capire dove sta il problema :D
Scarica http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Esegui il file, a fine scansione riavvia il pc è posta il log(VirtumundoBeGone.log) generato che trovi nella locazione dove hai salvato ed eseguito il file .

Grazie

Ciao

Posso consigliarti questo programma di rilevazione e pulizia malware: Prevx1

http://info.prevx.com/downloadprevx1.asp

Durante l'istallazione potrai attivare il periodo di prova 30gg avendo così la possibilità di rimuovere i malware!! Esegui tutti i procedimenti con la connessione ad internet attiva!!

Provalo, ti aiuterà!!! Ciao

Ho provato anche VundoFix ma non trova nulla, purtroppo :(

VundoFix V6.5.4
Checking Java version...
Sun Java not detected
Scan started at 17.12.19 05/07/2007
Listing files found while scanning....
No infected files were found.



Non riesco a cancellare quelle chiavi di registro perché mancano le autorizzazioni:

HKEY_CLASSES_ROOT\Orkvzxxx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{5DDE76D7-34D8-43E4-B176-0ACE0818E86A}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5DDE76D7-34D8-43E4-B176-0ACE0818E86A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DDE76D7-34D8-43E4-B176-0ACE0818E86A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Orkvzxxx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5DDE76D7-34D8-43E4-B176-0ACE0818E86A}

prova a riavviare in modalità provvisoria con prompt dei comandi e digita regedit-> invio
a questo punto vedi se riesci a cancellare quelle chiavi anche se ne dubito.
aspita: bello tosto sto bast***o!!! :D

provato così:clicchi con destro sulla chiave in questione selezioni l'opzione "autorizzazioni" poi selezioni il tuo account e selezioni la casella "controllo completo" nella colonna "consenti",poi clicchi con il tasto destro del mouse sulla chiave e scegli elimina,spero ti funzioni almeno di solito mi riesce.....:sperem: