Condividi:        

Chiave di registro non eliminabile

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Chiave di registro non eliminabile

Postdi C P » 30/12/05 09:44

Ciao a tutti e complimenti per l'utilisimo forum!
Ho cercato fra i vecchi topic ma non ho trovato molto che sia attinente al mio problema, che vi scrivo di seguito:

ho trovato in HKLM\..\Run delle chiavi di registro anomale, che non riesco in nessun modo ad eliminare anche utilizzando i più comuni adaware, spybot, norton antivirus 2005. Vi allego, a proposito, il log di HiJackThis e vi chiedo attenzione su aabbyfinereader7 e regedit -s sysdll. Inoltre, nella cartella temp di system, è presente un file .tmp che se provo a cancellare mi notifica di essere in uso (e cambia nome ad ogni riavvio):

Logfile of HijackThis v1.99.1
Scan saved at 9.26.34, on 30/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programmi\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.carminepellegrini.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmi\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .psd: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Grazie mille per la collaborazione, Carmine
C P
Newbie
 
Post: 7
Iscritto il: 30/12/05 09:36

Sponsor
 

Postdi Luke57 » 30/12/05 10:36

Il log è pulito a parte quella voce sysdll che sembra chiave di registro riferite a un trojan ormai eliminato ( da una ricerca su Google) . Questa è la procedura :Apri Start, Esegui, digita regedit e premi il tasto OK.menu Modifica, selezionaTrova, digita run nel campo trova, deseleziona le caselle Valori e Dati e premi Trova successivo.
Verranno trovate diverse chiavi che contengono la parola run, ma non ci interessano. Premi il tasto F3 per continuare la ricerca nel registro fino a quando si arriva a una cartella con il nome Run.
Controlla se all’interno è presente una chiave o valore contenente il file sysdll.reg e cancellala. clicando con il tasto destro e scegliendo elimina sul menu che si apre. Se questa procedura l'hai già fatta e non si cancella, fai così:
START->Esegui->regedit->OK
-Clicca con il dx sulla chiave che vuoi eliminare, e nel menu contestuale scegli la voce "Autorizzazioni";
metti la spunta su "Controllo completo"->Applica->OK.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 30/12/05 10:38

Dopo aver evidenziato la parola da eliminare, se sul menu contestuale non appare la voce autorizzazioni, la trovi su Modifica.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi C P » 30/12/05 13:10

Ciao Luke e grazie per l'aiuto.
Ho provato ad utilizzare i tuoi consigli ma niente. Quando apro il menù autorizzazioni del regedit, mi appaiono 5 voci di utenti, fra cui Administrators (oltre Creator Owner, Power Users, System, Users). In Administrators le voci "consenti" sono oscurate, ovvero non gestibili (bloccate su consenti). Quale profilo devo utilizzare (anche se ho già provato con tutti)?
Inoltre, la chiave relativa ad Abby Finereader 7 è anomala, in quanto tale programma non risiede sul mio PC.
Dimenticavo, quando ho provato ad eliminare le 2 chiavi ed il file .tmp dalla modalità provvisoria (riuscendoci), al riavvio AdWatch mi ha segnalato che il registro era stato ripristinato (proprio per quelle chiavi) da msconfig.exe\auto... strano!
Credi davvero che sia acqua passata?
Grazie ed a presto, Carmine.
C P
Newbie
 
Post: 7
Iscritto il: 30/12/05 09:36

Postdi Luke57 » 30/12/05 15:06

Ciao, scarica RegSeeker da qui http://www.ilsoftware.it/articoli.asp?ID=2110 e guarda, esaminando il registro, se ti indica queste chiavi
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi C P » 30/12/05 15:55

Nooo, basta con questi programmini!
Ho finalmente scoperto da cosa sono afflitto: CoolWebSearch, nella variante .Mupdate... c***o!
Il fatto grave è che le sto provando proprio tutte, compreso il famigerato cwshredder, ma proprio non riesco a scacciarlo.
Hai qualche idea alternativa a proposito?
C P
Newbie
 
Post: 7
Iscritto il: 30/12/05 09:36

Postdi Luke57 » 30/12/05 16:21

Ciao, ho provato a fare un giro su Google:
Istruzioni uso CwShredder "Ricorda di salvare Cwshredder nella cartella C:\CWS (ovviamente devi creartela)
Quando clicchi su fix per eliminare il coolwebsearch devi essere sicuro che tutte le finestre e tutti i browser siano chiusi... sul tuo desktop deve esserci solo cwshredder. Se non dovessi riuscire a risolvere prova in modalità provvisoria."
Altro programma per l'eliminazione: Xoftspy
CoolweabSearch
http://paretologic.com/xoftspy/lp/16/
all'interno della pagina è presente anche un tool di rimozione ( mai provati, quindi non conosco l'eventuale efficacia)
Istruzioni sul malware:
http://www.psicopolis.com/webmasters/ek ... /50cws.htm
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 30/12/05 16:24

O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg

Fixala da modalità provvisoria
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi C P » 30/12/05 16:39

Caro Dylan, in modalità provvisoria riesco a fixare tutto, solo che quando torno in modalità normale è tutto come prima. AdWatch mi dice che il carissimo msconfig.exe\auto (dove risiede normalmente?) mi ripristina le chiavi modificate, tra cui abbyynewsreader7 e sys.

Ho lanciato xoftspy, che mi ha segnalato la chiave sys come B-S Spy + SurfSideKick (?) come AdWare in C:\Doc and Sett\user\imp loc\temp\^1.tmp

Credo che mi stia ammalando...
C P
Newbie
 
Post: 7
Iscritto il: 30/12/05 09:36

Postdi Dylan666 » 30/12/05 16:55

Nel mio XP Pro ho msconfig.exe in:
F:\WINDOWS\PCHealth\HelpCtr\Binaries
F:\WINDOWS\ServicePackFiles\I386

Il tuo flagello pare essere questo:http://www.sophos.com/virusinfo/analyses/trojstartpaae.html

Lì si dice di levare la chiave da regedit
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi C P » 30/12/05 17:07

Certo, ma puoi ben capire che l'avrò già fatto un centinaio di volte. Il problema è capire chi o cosa rigenera quelle chiavi. MsConfig può essere stato infettato? Se si, cosa posso fare?

Da una ricerca nel PC ho trovato:

MsConfig in

C:\WINDOWS\$NtServicePackUninstall$
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\PCHEALTH\HELPCTR\Binaries
+ un file MsConfig di help in C:\WINDOWS\Help
+ MSCONFIG.EXE-35E4DAE9.pf in C:\WINDOWS\Prefetch

Che fò?
C P
Newbie
 
Post: 7
Iscritto il: 30/12/05 09:36

Postdi Dylan666 » 30/12/05 17:14

Provato a disattivare la voce proprio da MSCONFIG?
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi C P » 30/12/05 17:19

Certo che si, ma al riavvio è tutto come prima!!!
Ti risultano buoni i percorsi trovati sul mio pc che ho inserito?
C P
Newbie
 
Post: 7
Iscritto il: 30/12/05 09:36

Postdi Luke57 » 30/12/05 20:34

Ciao C P, prova a svuotare la cartella Windows\Prefetch, lasciandoci il solo file layout.ini. Per fare velocemente: clicchi su layout.ini, poi su modifica>inverti selezione, tutti i file presenti meno layout.ini si evidenziano, clicchi su uno di quelli evidenziati e poi su elimina. Svuota poi il cestino. Prova poi a eliminare i due file di registro e vedere se si riformano. Generalmente in caso di infezioni la cartella prefetch è opportuno svuotarla.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi C P » 31/12/05 09:48

Grazie a tutti per le info.
In realtà ho risolto, grazie ad una intuizione "geniale"... Era AdWatch stesso che mi ripristinava il registro, dando per scontato che le chiavi maligne fossero benigne.
Morale della favola: AdWatch và installato solo su PC perfettamente puliti!!!

Grazie ed a presto, Carmine
C P
Newbie
 
Post: 7
Iscritto il: 30/12/05 09:36

Postdi silviaroma » 31/12/05 14:04

Luke57 ha scritto:Ciao C P, prova a svuotare la cartella Windows\Prefetch, lasciandoci il solo file layout.ini. Per fare velocemente: clicchi su layout.ini, poi su modifica>inverti selezione, tutti i file presenti meno layout.ini si evidenziano, clicchi su uno di quelli evidenziati e poi su elimina. Svuota poi il cestino. Prova poi a eliminare i due file di registro e vedere se si riformano. Generalmente in caso di infezioni la cartella prefetch è opportuno svuotarla.


ne approfitto per farmi un po' di cultura... i prefetch cosa sono? ho visto la mia cartella ed è piena.... va svuotata ogni tanto?
silviaroma
Utente Junior
 
Post: 32
Iscritto il: 26/12/05 12:34

Postdi Dylan666 » 31/12/05 14:49

Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46


Torna a Sicurezza e Privacy


Topic correlati a "Chiave di registro non eliminabile":


Chi c’è in linea

Visitano il forum: Nessuno e 43 ospiti