|
|||||||
|
|
|
 |
|
|
Strumenti |
10-05-2007, 18:21
|
#1 |
|
Member
Iscritto dal: Sep 2003
Città: Genova
Messaggi: 177
|
Dialer Win32.Morphine.a e PendingFileRenameOperations
Ciao, vorrei rimuovere il Dialer Win32.Morphine.a, come posso fare?
Dovrei eliminare per intero la voce di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw Regedit apre la dialog col messaggio d'errore: Errore durante l'eliminazione della chiave. Ho provato ad usare "Pocket Killbox" per eliminare la DLL caricata all'avvio ma un programma residente elimina la chiave di registro PendingFileRenameOperations aggiunta da Killbox, esistono alternative? Grazie e buona giornata. |
|
|
|
10-05-2007, 19:03
|
#2 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
10-05-2007, 21:37
|
#3 |
|
Member
Iscritto dal: Sep 2003
Città: Genova
Messaggi: 177
|
Il mio problema e' che non riesco ad eliminare la chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw |
|
|
|
|
10-05-2007, 22:14
|
#4 |
|
Senior Member
Iscritto dal: Aug 2005
Messaggi: 1267
|
Ciao
scarica avenger sul desktop http://swandog46.geekstogo.com/avenger.zip Decomprimi l'archivio Avvia il file avenger.exe Seleziona l'opzione "Input Script Manually" Clicca sulla lente di ingrandimento Ti si apre una finestra "View/edit script" All'interno del box bianco,copia e incolla le scritte in rosso Registry keys to delete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw Clicca sul pulsante Done Clicca sull'icona del semaforo verde Rispondi Yes Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente. Ciao
__________________
Il dubbio è il padre del sapere. 
|
|
|
|
|
11-05-2007, 10:07
|
#5 |
|
Member
Iscritto dal: Sep 2003
Città: Genova
Messaggi: 177
|
No, nulla da fare.
Grazie ma avevo già provato e non è possibile cancellare le chiavi dal registro. Could not open registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw for deletion Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw failed! Status: 0xc0000022 |
|
|
|
|
11-05-2007, 10:26
|
#6 | |
|
Member
Iscritto dal: Sep 2003
Città: Genova
Messaggi: 177
|
Quote:
Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 10.30.07, on 11/05/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\AGRSMMSG.exe C:\Programmi\Apoint2K\Apoint.exe C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe C:\Programmi\Apoint2K\Apntex.exe C:\Programmi\File comuni\LightScribe\LSSrvc.exe C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\notepad.exe C:\Oracle\Ora92\bin\omtsreco.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\Programmi\HPQ\SHARED\HPQWMI.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Programmi\Totalcmd\TOTALCMD.EXE C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\regedit.exe c:\Programmi\TortoiseSVN\bin\TSVNCache.exe C:\Programmi\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\svchost.exe D:\SharpSshTest\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oracle.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pxfw.postel.it/newpostel.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.75.2.22:80 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll O2 - BHO: (no name) - {5DDE76D7-34D8-43E4-B176-0ACE0818E86A} - c:\windows\system32\ckekcke.dll (file missing) O2 - BHO: Explorer Helper - {696A82AF-3AD8-5A16-A1CA-32A59A63A863} - C:\WINDOWS\system\bremct32.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O20 - Winlogon Notify: vdnnlguw - ckekcke.dll (file missing) O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\Oracle\Ora92\bin\omtsreco.exe O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Oracle\Ora92\BIN\ONRSD.EXE O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 6456 bytes Ultima modifica di wizardgsz : 11-05-2007 alle 10:31. |
|
|
|
|
|
11-05-2007, 11:19
|
#7 |
|
Member
Iscritto dal: Sep 2003
Città: Genova
Messaggi: 177
|
Autorizzazioni
Queste le autorizzazioni delle chiavi di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5DDE76D7-34D8-43E4-B176-0ACE0818E86A} 
|
|
|
|
|
11-05-2007, 13:32
|
#8 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
fa una scan con gmer e vediamo se trova qualcosa in rosso
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
11-05-2007, 13:32
|
#9 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
Il fatto che tu abbia problemi e nel log di hijackthis appaia come file missing è sospetto...
fai una scansione con gmer e vedi se riporta voci in rosso
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
11-05-2007, 13:33
|
#10 | |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
Quote:
 tiu ho preceduto
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
|
11-05-2007, 13:40
|
#11 | |
|
Member
Iscritto dal: Sep 2003
Città: Genova
Messaggi: 177
|
Quote:
|
|
|
|
|
|
11-05-2007, 13:43
|
#12 |
|
Senior Member
Iscritto dal: Apr 2006
Messaggi: 22462
|
gmer grazie
__________________
amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb|| asus g1
Se striscia fulmina, se svolazza l'ammazza |
|
|
|
|
11-05-2007, 14:17
|
#13 | |
|
Member
Iscritto dal: Sep 2003
Città: Genova
Messaggi: 177
|
Gmer
Quote:
GMER 1.0.12.12244 - http://www.gmer.net Rootkit scan 2007-05-11 14:21:56 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.12 ---- SSDT \SystemRoot\System32\drivers\klif.sys ZwClose SSDT \SystemRoot\System32\drivers\klif.sys ZwCreateProcess SSDT \SystemRoot\System32\drivers\klif.sys ZwCreateProcessEx SSDT \SystemRoot\System32\drivers\klif.sys ZwCreateSection SSDT \SystemRoot\System32\drivers\klif.sys ZwCreateThread SSDT \SystemRoot\System32\drivers\klif.sys ZwOpenProcess SSDT \SystemRoot\System32\drivers\klif.sys ZwQueryInformationFile SSDT \SystemRoot\System32\drivers\klif.sys ZwSetInformationProcess SSDT \SystemRoot\System32\drivers\klif.sys ZwTerminateProcess SSDT \SystemRoot\System32\drivers\klif.sys SSDT[284] SSDT \SystemRoot\System32\drivers\klif.sys SSDT[285] SSDT \SystemRoot\System32\drivers\klif.sys SSDT[286] SSDT \SystemRoot\System32\drivers\klif.sys SSDT[287] SSDT \SystemRoot\System32\drivers\klif.sys SSDT[288] SSDT \SystemRoot\System32\drivers\klif.sys SSDT[289] SSDT \SystemRoot\System32\drivers\klif.sys SSDT[290] SSDT \SystemRoot\System32\drivers\klif.sys SSDT[291] SSDT \SystemRoot\System32\drivers\klif.sys SSDT[292] SSDT \SystemRoot\System32\drivers\klif.sys SSDT[293] SSDT \SystemRoot\System32\drivers\klif.sys SSDT[294] SSDT \SystemRoot\System32\drivers\klif.sys SSDT[295] SSDT \SystemRoot\System32\drivers\klif.sys SSDT[296] ---- Kernel code sections - GMER 1.0.12 ---- .text ntkrnlpa.exe!KiDispatchInterrupt + BA 80540ABA 7 Bytes JMP EE28E668 \SystemRoot\System32\drivers\klif.sys PAGE ntkrnlpa.exe!ObReferenceObjectByHandle + 4BF 805AFA4F 7 Bytes JMP F7A24CFE euhsspiu.sys ? euhsspiu.sys Impossibile trovare il file specificato. ? C:\WINDOWS\system32\DRIVERS\update.sys ---- EOF - GMER 1.0.12 ---- |
|
|
|
|
|
11-05-2007, 14:36
|
#14 |
|
Senior Member
Iscritto dal: Aug 2005
Messaggi: 1267
|
Avvia in modalità provvisoria, apri il registro di sistema e portati sulla chiave, adesso apri il task manager e termina il processo winlogon.exe e prova ad eliminare la chiave, ciao
__________________
Il dubbio è il padre del sapere.
|
|
|
|
|
11-05-2007, 15:26
|
#15 | |
|
Member
Iscritto dal: Sep 2003
Città: Genova
Messaggi: 177
|
Quote:
|
|
|
|
|
|
11-05-2007, 15:38
|
#16 |
|
Senior Member
Iscritto dal: Aug 2005
Messaggi: 1267
|
Avvia gmer, nel tag proceses clicca sul pulsante Safe.. e rispondi Si alla finestra, a questo punto il pc si riavvierà, una finestra ti avviserà che gmer è in safe mode clicca su Ok, gmer è aperto sempre nel tag proceses in fondo trovi la voce "Command" nello spazio bianco digita regedit e clicca su Run, adesso prova ad eliminare la chiave, finito riavvi cliccando sul pulsante Restart di gmer
__________________
Il dubbio è il padre del sapere.
Ultima modifica di lucas84 : 11-05-2007 alle 15:41. |
|
|
|
|
11-05-2007, 16:24
|
#17 |
|
Member
Iscritto dal: Sep 2003
Città: Genova
Messaggi: 177
|
Grazie ma né il mio utente né l'utenza Admnistrator possiedono le autorizzazioni richieste per modificare o cancellare chiavi dal registro. L'uso di regedit è perciò precluso.
Come è possibile riacquisire le giuste autorizzazioni per il controllo completo della chiave? Esistono tool che lavorano più a basso livello senza autenticazione? http://img142.imageshack.us/my.php?i...zazionihx3.png |
|
|
|
|
11-05-2007, 17:57
|
#18 | |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
Quote:
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
|
12-05-2007, 14:02
|
#19 | |
|
Senior Member
Iscritto dal: Aug 2005
Messaggi: 1267
|
Quote:
http://www.malwarebytes.org/RegASSASSIN.zip decomprimi l'archivio e avvia il programma Assicurati che le 2 opzioni siano spuntate Nel box bianco inserisci la chiave da eliminare HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vdnnlguw e clicca su Delete, rispondi Si alla finestra che apparirà ed aspetta il msg di avvenuta eliminazione, durante questa operazione non escludo che ci possa essere un BSOD con riavvio del pc CIAO
__________________
Il dubbio è il padre del sapere.
|
|
|
|
|
|
21-05-2007, 15:23
|
#20 | |
|
Member
Iscritto dal: Sep 2003
Città: Genova
Messaggi: 177
|
Quote:
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 23:06.
