[HELP]Messaggio di errore strano

[JediMburgo]

Salve.
Sul sitema ho installato Windows XP SP1, e da quando ho eliminato un virus con kaspersky ho un messaggio di errore all'avvio di Windows, che comunque non causa problemi, infatti basta che clicco su OK e posso usare windows senza alcun problema.

Siccome però vorrei sbarazzarmene di questo messaggio di errore vorrei capire da cosa potrebbe essere causato.

Allego uno screen del messaggio sperando nel vostro aiuto

[JediMburgo]

up

[JediMburgo]

up

[Manp]

in

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
C:\Documents and Settings\Tuo nome utente\Menu Avvio\Programmi\Esecuzione automatica

non sono rimaste tracce dell'eseguibile del worm o chiamate strane a rundll32?

[JediMburgo]

No nessun riferimento strano a rundll32

[Manp]

appurato che bridge.dll NON è un componente di Windows XP (o almeno spero ) fai:

Start -> Esegui ->

Quote:

regsvr32 /u bridge.dll

-> Ok

e vedi se va a posto

[urielarry]

Quote:

Originariamente inviato da JediMburgo
Salve.
Sul sitema ho installato Windows XP SP1, e da quando ho eliminato un virus con kaspersky ho un messaggio di errore all'avvio di Windows, che comunque non causa problemi, infatti basta che clicco su OK e posso usare windows senza alcun problema.

Siccome però vorrei sbarazzarmene di questo messaggio di errore vorrei capire da cosa potrebbe essere causato.

Raga..anch'io ho lo stesso problema...ma non riesco a risolverlo!

Il file me lo ha cancellato Nod32 ed ha a che fare con lo spyware interno a Win XP Pro (credo)!

Eseguendo "regsvr32 /u bridge.dll" ho la finestra di warning che allego!

Qualcuno sa come risolvere la cosa ? Grazie!

[Dëck†]

Ho trovato questo...se è il vostro caso controllate la procedura che non vi siano rimasti "superstiti"....

Troj/Briss.A

Alias: Briss, Win32/Spy.Briss.H, Briss.A, TrojanSpy.Win32.Briss, TrojanSpy.Win32.Briss.H, Trj/Briss.A, Keylog-Briss

trojan
Pericolosità: Media
Sistemi operativi interessati: Win9x/ME7NT/2000/XP
Data scoperta: 2004-04-28

a cura dello staff di www.alground.com

Briss è uno spyware creato per BlazeFind, un ricercatore di pagine Web. Solitamente viene installato senza nessun avviso o notificazione, redirezionando di nascosto tutti i dati che riesce a recuperare sull'utilizzatore. Il componente principale di questo trojan si integra con Explorer come un oggetto di tipo BHO (Browser Helper Object). Un oggetto di questo tipo è una DLL che si aggiunge ad ogni lancio di Explorer ed ha la possibilità di eseguire eventi prestabiliti.

Il trojan si aggiorna automaticamente, inviando informazioni sul suo utilizzatore, disco rigido e sistema operativo, ai suoi creatori. Il file principale è un eseguibile che senza nessun avvertimento crea le chiavi:

c:\windows\system\a.exe

c:\windows\system\bridge.dll

c:\windows\system\jao.dll

NOTA: "c:\windows\system" può variare a seconda del sistema operativo installato (con questo nome per difetto in Windows 9x y ME, come "c:\winnt\system32" in Windows NT y 2000 e "c:\windows\system32" in Windows XP e Windows Server 2003).

Il trojan crea le seguenti chiavi per potersi eseguire ad ogni avvio di Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RunDLL = rundll32.exe c:\windows\system\bridge.dll, Load Systray = c:\windows\system\a.exe

HKLM\SOFTWARE\Classes\CLSID \{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}

HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\Browser Helper Objects \{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}

HKEY_CLASSES_ROOT\Bridge.brdg

Questa azione carica in memoria BRIDGE.DLL ad ogni nuova sessiono di Windows.

Lo spyware si connette al sito "www2.flingstone.com" riportando i dati ottenuti, scaricandsi ed installandosi degli aggiornamenti.





Soluzione: N.B. Prima della rimozione fare il backup del registro. Riavviamo in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), entriamo nella Task (Ctrl+Alt+Canc nei sistemi operativi 9x e ME o Ctrl+Shift+Esc nei sistemi operativi NT, 2000 e XP), e terminiamo, se presente, l'applicazione aggiunta dal worm. Chiudiamo la Task.

Eliminiamo manualmente i files aggiunti per il virus:

Da Esplora Risorse, cerchiamo ed eliminiamo i files: c:\windows\system\a.exe c:\windows\system\bridge.dll c:\windows\system\jao.dll Eliminiamo questi files anche dal cestino

Editiamo il registro:

Nota: alcune delle parti qui menzionate potrebbero non essere presenti nel registro: ciò dipende dalla versione di Windows installata.

Start>Esegui>scriviamo REGEDIT e premiamo OK.

Aiutandoci cliccando sui + fino ad ottenere: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run Facciamo click sulla cartellina "Run" e dal pannello di dx, sotto la colonna "Nome" cerchiamo ed eliminiamo i valori RunDLL e Systray

NOTA: da non confondere "Systray" (ELIMINARLO), con "SystemTray" (DA NON cancellare, si tratta di una chiave legittima di Windows.

Aiutandoci ancora cliccando sui + fino ad ottenere: HKEY_LOCAL_MACHINE \SOFTWARE \Classes \CLSID \{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}

Eliminiamo la cartella "{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}"

Torniamo a cliccare sui + fino ad ottenere: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects \{9C691A33-7DDA-4C2F-BE4C-C176083F35CF} Eliminiamo la cartella "{9C691A33-7DDA-4C2F-BE4C-C176083F35CF}"

Clicchiamo un'ultima volta sui + fino ad ottenere: HKEY_CLASSES_ROOT\Bridge.brdg ed eliminiamo "Bridge.brdg". Chiudiamo il registro. Salviamo e riavviamo il computer.

Ripristiniamo la pagina iniziale di Internet Explorer:

Chiudiamo tutte le finestre di Internet Explorer aperte Portiamoci sul Pannello di controllo e selezioniamo "Opzioni Internet" Selezioniamo "Programmi" e premiamo su "Ripristina impostazioni Web" assicurandoci che sia selezionata anche l'opzione di ripristino della pagina iniziale

Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato. Riavviare in modalità normale. N.B. Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Procedure per il Ripristino di configurazione del sistema: Su Sistemi Operativi WinME: Click su Start, da Impostazioni click su Pannello di Controllo, doppio click su Sistema e cliccate sulla scheda Prestazioni. Click su File System quindi sulla scheda Risoluzione dei problemi e selezionate Disattiva ripristino configurazione di sistema, date OK quindi cliccate su Chiudi, vi verrà chiesto di riavviare il computer. Su Sistemi Operativi WinXP: Click su Start, click con il tasto dx del mouse su Risorse del Computer poi su Proprietà. Click sulla scheda Ripristino configurazione di sistema mettere la spunta su Disattiva Ripristino configurazione di sistema o su Disattiva Ripristino configurazione di sistema su tutte le unità, click su Applica click su Sì e poi su OK, riavviare. N.B. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema.