gmer sophos antyspyware antivir kaperskyonline oltre i cookie nn trovano nulla.ho provato anche l'antirootkit avira e vi allego lo scan

http://www.fileup.itadib.com/download.php?id=B1sBsBNH2zkTYdZM0hcT

in pratica a fine scansione escono quei due file(hidden result)in rosso ma nn me li fa cancellare o altro solo vederli....sapete cosa sono?

Io non so cosa sono però farei così:

start->esegui->regedit

naviga fino a HKEY_USERS\S-1-5-21-839522115-562591055-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6ACF79DB-489D-D271-2EDA-ABB45F0863A8}

poi tasto destro su {6ACF79DB-489D-D271-2EDA-ABB45F0863A8} e fai esporta, così hai una copia di backup.
Poi elimini le due voci:

ialpklmppokmbnlpli
habooiaochdefhoc

Se non noti nessun problema bene, altrimenti usa la copia di backup e rimetti tutto com'era.

io ho paura nn parta piu windows:doh:
qualcuno sa cosa sono?

Non credo che rischi tanto, non sono delle chiavi di registro essenziali, anzi non ci sono normalmente quelle voci. Sono state sicuramente aggiunte da qualche programma.

Potresti allegare un log completo di Gmer

ecco il log di gmer

http://fileup.itadib.com/download.php?id=mCblWOhDyNxZTiqrziv1

Log completo come da immagine spuntanto tutti i campi a dx

http://www.megalab.it/immagini/articoli/gmer_/gmer_1_.jpg

clicca su copy e copi ed incolli il log nel bllocco note e lo alleghi

lo fatto con l'ultima versione di gmer 1.0.14 spuntando tutti i campi.adesso lo rifaccio facendo copy in un file di testo....

log fatto con gmer 1.0.14,tutta la colonna a destra spuntata.
cliccato su copy e poi incollato nel file di testo uppato

http://fileup.itadib.com/download.php?id=g65krCiL3YQTlaaID4Fp

hai il tea timer di spyboot attivo? così non fà accedere al registro per la cancellazione

Io non so cosa sono però farei così:

start->esegui->regedit

naviga fino a HKEY_USERS\S-1-5-21-839522115-562591055-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6ACF79DB-489D-D271-2EDA-ABB45F0863A8}

poi tasto destro su {6ACF79DB-489D-D271-2EDA-ABB45F0863A8} e fai esporta, così hai una copia di backup.
Poi elimini le due voci:

ialpklmppokmbnlpli
habooiaochdefhoc

Se non noti nessun problema bene, altrimenti usa la copia di backup e rimetti tutto com'era.


ciao ho provato a fare come dici tu ma quando arrivo all'ultima cartella mi esce scritto
"impossibile apritre {6ACF79DB-489D-D271-2EDA-ABB45F0863A8} errore durante l'apertura della chiave"

ps si ho teatimer attivo!lo disattivo e rifaccio il log.....

Dal log di gmer considerando la valenza del software non si evince nulla di particolare a parte questo:
System32\Drivers\an8zmg3m.SYS

ma riscontri problemi, se si di quale natura?

Dal log di gmer considerando la valenza del software non si evince nulla di particolare a parte questo:
System32\Drivers\an8zmg3m.SYS

ma riscontri problemi, se si di quale natura?

no nessun problema particolare

hum....avocati i diritti per farlo dopo disattivato spyboot quando sei sulla voce clicchi col destro seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella controllo completo nella colonna "consenti".Clik con destro->elimina

http://fileup.itadib.com/download.php?id=svJIqPkuWlWVThSUpQXy

scansione fatta disattivando spybot e anche antivir per stare piu sicuri :)
speriamo vada bene!

hum....avocati i diritti per farlo dopo disattivato spyboot quando sei sulla voce clicchi col destro seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella controllo completo nella colonna "consenti".Clik con destro->elimina

se faccio come dici sulla chiave in questione mi dice impossibile visualizzare le impostazione sulla protezione(ho disattivato spy bot e antivir)

se faccio come dici sulla chiave in questione mi dice impossibile visualizzare le impostazione sulla protezione(ho disattivato spy bot e antivir)

Potresti provare con RegASSASSIN. Lo avvii e inserisci prima ialpklmppokmbnlpli e poi habooiaochdefhoc al resto pensa lui.

http://www.malwarebytes.org/RegASSASSIN.exe

Prima però fai un punto di ripristino o un backup del registro.

Accidenti con grande stupore stasera mi sono ritrovato delle chiavi di registro molto simili segnalate come rootkit da Avira (jaoaknbfloeapigbbjif e iamioceicnockmgolf). Non sono riuscito a capire quale software le abbia create.
Comunque resta la difficoltà nel rimuoverle.
Ho fatto le scansioni con gmer, avira rootkit, sophos, rootkitbuster, Mcafee Rootkit Detective, F-Secure blacklight, Panda Antirootkit, regrun reanimator e prevxcsi. Come per l'autore del thread solo avira li segnala come rootkit (allego il log), mentre in gmer non ci sono righe rosse. Però mostra la chiave di registro in rosso:

http://img122.imageshack.us/img122/4948/rootkitvs1.th.jpg (http://img122.imageshack.us/my.php?image=rootkitvs1.jpg)

Log di gmer : Clicca qui per scaricare (http://www.fileup.itadib.com/download.php?id=2kFnW8UWfrYi0q9QjLfa)

Log di avira: Clicca qui per scaricare (http://www.fileup.itadib.com/download.php?id=wTo4hzKMqvLJ15zU2BqC)

La rimozione manuale non ha avuto successo, nemmeno in modalità provvisoria e nemmeno usando un cd di recovery (ubcd4win).
Non si possono modificare le autorizzazioni della chiave come aveva suggerito lancetta.
Ho provato con regassassins ma niente.
Ho provato anche l'utility per dos RegDelNull, ma non ha effetto.Ho tentato la rimozione con avenger, usando tutte e quattro le opzioni per il registro e anche in questo caso non si risolve.
Sono a corto di idee, qualcuno ha da proporre qualche altro tentativo?

Nuz un log di gmer solo della sezione Autostart, thx.
Il fatto che solo Avira rilevi le chiavi come Hidden gioca a favore, il fatto che siano ineliminabili mi dà da pensare.

Ecco il log. Intanto ho provato anche swreg.exe ma mi dice che la chiave non c'è.

Log autostart gmer: Clicca qui per scaricare (http://www.fileup.itadib.com/download.php?id=rD2PoJl4OLndimMn1jko)

Stò cercando di capire da dove escono quelle 2 chiavi già viste in altri log ma con nomi diversi ovviamente oltre a quello di alvaruccio

Poco fa ho trovato un log con due voci simili:

http://www.megalab.it/forum/viewtopic.php?p=264179&sid=4d4ec6fa7ff6e381f8689bff721d02de

Edit: Anche qui:

http://www.hwupgrade.it/forum/showpost.php?p=16541138&postcount=86

Ho fatto altri tentativi, anche usare un punto di ripristino dove ero sicuro che il problema non ci fosse.
Ulteriori dettagli sugli errori che mi da:

http://img166.imageshack.us/img166/894/errgw2.th.jpg (http://img166.imageshack.us/my.php?image=errgw2.jpg)

http://img181.imageshack.us/img181/1305/err2wi3.th.jpg (http://img181.imageshack.us/my.php?image=err2wi3.jpg)

Purtroppo San Google questa volta pare che non faccia miracoli.:D
La vedo dura.

In questo caso Avenger è inutilizzabile si può provare con un Fix.reg

Ho fatto dei tentativi in questo senso, ma senza successo. Si può riprovare magari sbaglio io. :)

Ho fatto dei tentativi in questo senso, ma senza successo. Si può riprovare magari sbaglio io. :)

In che senso?

Ti posto il backup delle chiavi di registro.
Io ho provato a sostituire al valore hex sia dei valori a caso, sia un valore dword.
Però succede che mi ritrovo due chiavi {90D53889-1BD5-57D4-0853-621149B3138D} nella stessa posizione e se faccio elimina su una delle due succede che una sparisce mentre resta sempre quella bloccata.

http://img127.imageshack.us/img127/4584/catsag8.th.jpg (http://img127.imageshack.us/my.php?image=catsag8.jpg)

Non c'è bisogno di ricordarlo ma non si sa mai, quindi procedi con una copia del Registro di Sistema ;)

Facciamo questo tentativo

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{90D53889-1BD5-57D4-0853-621149B3138D}]
"jaoaknbfloeapigbbjif"=-
"iamioceicnockmgolf"=-

salva il file col nome di fix.reg in C:\

Poi inserisci in Avenger questo Script

Programs to launch on reboot:
C:\fix.reg

Ho fatto poco fa un tentativo simile. Questo è quello che ho usato:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{90D53889-1BD5-57D4-0853-621149B3138D}]
"jaoaknbfloeapigbbjif"=
"iamioceicnockmgolf"=

[HKEY_USERS\S-1-5-21-789336058-1604221776-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{90D53889-1BD5-57D4-0853-621149B3138D}]
"jaoaknbfloeapigbbjif"=
"iamioceicnockmgolf"=


Non ho messo il trattino dopo l'uguale.
Ora riprovo.

Devi inserire il trattino, io mi sono limitato ad una chiave per vedere se sortisce gli effetti sperati se si andiamo via anche con l'altra :sperem:

Purtroppo succede quello che ho scritto nel post #27.
Comincio a pensare che sia danneggiato il registro. Altrimenti non mi spiego come mai non si riescono a cancellare nemmeno usando un cd bootable (ubcd4win).

Purtroppo succede quello che ho scritto nel post #27.
Comincio a pensare che sia danneggiato il registro. Altrimenti non mi spiego come mai non si riescono a cancellare nemmeno usando un cd bootable (ubcd4win).

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{90D53889-1BD5-57D4-0853-621149B3138D}]
"jaoaknbfloeapigbbjif"=
"iamioceicnockmgolf"=

[HKEY_USERS\S-1-5-21-789336058-1604221776-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{90D53889-1BD5-57D4-0853-621149B3138D}]
"jaoaknbfloeapigbbjif"=
"iamioceicnockmgolf"=

hai inserito questo, ovviamente con trattino?

Si.

Si.

prova così:

Windows Registry Editor Version 5.00

[- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{90D53889-1BD5-57D4-0853-621149B3138D}]

col trattino davanti HKEY_CURRENT_USER?

col trattino davanti HKEY_CURRENT_USER?

si

Neanche ora è andata bene. Non mi ha aggiunto un'altra chiave identica, come era successo prima, ma resta ancora l'errore.

Quindi la situazione attuale è questa:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{90D53889-1BD5-57D4-0853-621149B3138D}]
"jaoaknbfloeapigbbjif"=hex:6b,61,63,65,6e,6e,68,67,66,63,68,6e,66,64,62,66,62,67,67,67,65,69,00,00
"iamioceicnockmgolf"=hex:6b,61,63,65,6e,6e,68,67,66,63,68,6e,66,64,62,66,62,67,67,67,65,69,00,00

[HKEY_USERS\S-1-5-21-789336058-1604221776-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{90D53889-1BD5-57D4-0853-621149B3138D}]
"jaoaknbfloeapigbbjif"=hex:6b,61,63,65,6e,6e,68,67,66,63,68,6e,66,64,62,66,62,67,67,67,65,69,00,00
"iamioceicnockmgolf"=hex:6b,61,63,65,6e,6e,68,67,66,63,68,6e,66,64,62,66,62,67,67,67,65,69,00,00

Purtroppo si.

Edit: ho già pronto tutto il necessario per l'eutanasia. :bsod:
Ehm volevo dire il formattone. :D

Purtroppo si.

Potresti provare il fix.reg da un altro account

[- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{90D53889-1BD5-57D4-0853-621149B3138D}]
[- HKEY_USERS\S-1-5-21-789336058-1604221776-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{90D53889-1BD5-57D4-0853-621149B3138D}]

L'altro account è Admin e da lì nel registro non ci sono quelle voci. Eseguendo il fix.reg come fa a capire che deve modificare il registro dell'altro profilo?

L'altro account è Admin e da lì nel registro non ci sono quelle voci. Eseguendo il fix.reg come fa a capire che deve modificare il registro dell'altro profilo?

E ti sembra una notizia da poco

Fatto pure questo, esito negativo.

Come suggerito da Chill in pvt ho provveduto a rimuovere l'account e quindi anche il relativo registro. problema sparito. Ora non mi resta che risistemare qualche impostazione, sempre meglio che formattare.
Grazie Chill. :D

P.S. Speriamo che prima o poi si riesca anche a capire la fonte di queste chiavi di registro.

Come suggerito da Chill in pvt ho provveduto a rimuovere l'account e quindi anche il relativo registro. problema sparito. Ora non mi resta che risistemare qualche impostazione, sempre meglio che formattare.
Grazie Chill. :D

di nulla, come ho già avuto occasione di dire siamo un Team

P.S. Speriamo che prima o poi si riesca anche a capire la fonte di queste chiavi di registro.

infatti NUz questa è la cosa che mi fà impazzire da dove arrivano quelle chiavi

;)

Altra possibile soluzione trovata su forum straniero è:

http://www.hwupgrade.it/forum/showpost.php?p=21519236&postcount=133

Purtroppo però un utente ha provato ma non ha risolto. :(

io ho ancora quelle due chiavi segnalate nel post iniziale.ma nel peggiore dei casi quelle due chiavi che potrebbero combinare?