www.MegaLab.it

[monykina]

ho cercato nel forum e non mi sembra di aver trovato un altro topic con il problema che si è presentato a me. Improvvisamente al riavvio del computer, ho notato che avast è disattivato. Non solo.. se provo ad aprirlo dal menu start, l'icona mi risulta come se il programma non fosse installato. Prova ad installarlo, ma nulla. Se apro Ewido, si blocca. Se provo ad effettuare una scansione online, si chiude la pagina web. Inoltre ho provato ad avviare in modalità provvisoria, ma non me lo permette.
In effetti in giornata scaricando con emule, avast mi aveva segnalato un trojan, ma sembrava essersi cancellato, poi al riavvio successivo è accaduto quanto ho spiegato. La situazione sembra davvero critica.. qualcuno mi aiutiii.. intanto ho effettuato una scansione con hijackthis, e ed ecco il file log
Logfile of HijackThis v1.99.1
Scan saved at 21.46.40, on 01/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\SYSTEM32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
E:\PROGRA~1\FILECO~1\TerraTec\SCHEDU~1\TTTimer.exe
E:\Programmi\QuickTime\qttask.exe
E:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
E:\Programmi\MSN Messenger\MsnMsgr.Exe
E:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
E:\Programmi\Messenger\msmsgs.exe
E:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
E:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe
E:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Programmi\CyberLink\Shared files\RichVideo.exe
E:\WINDOWS\system32\devldr32.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\Programmi\Internet Explorer\IEXPLORE.EXE
E:\Programmi\WinRAR\WinRAR.exe
E:\DOCUME~1\aa\IMPOST~1\Temp\Rar$EX00.344\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - E:\Programmi\Power Translator\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TerraTec Scheduler] E:\PROGRA~1\FILECO~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AWMON] "E:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKCU\..\Run: [MSMSGS] "E:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://monykinaspace.spaces.live.com//P ... nPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Unknown owner - E:\Programmi\ewido anti-spyware 4.0\guard.exe (file missing)
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - E:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: NBService - Nero AG - E:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - E:\Programmi\CyberLink\Shared files\RichVideo.exe

[Amantide]

Ciao Monykina, iniziamo bene l'anno nuovo, eh?

Nel log di Hijackthis non si vede nulla, prova a fare la scansione online con Kaspersky e posta qui il log.

[monykina]

si infatti.. proprio bene
Comunque ci ho provato, ma così come questo ipotetico virus mi blocca gli antivirus, mi blocca anche la scansione online. Di fatti appena clicco su KASPERSKY ONLINE SCANNER mi si apre una finestra, ma l'attimo dopo non c'è più. Cosa faccio?

[Amantide]

Prova anche con BitDefender... ma immagino che verrà bloccato anche questo.
Riesci ad aprire Gmer?

[Amantide]

Sto guardando che non hai ancora messo un firewall decente, mettere firewall potrebbe risolvere almeno la metà del problema.

[monykina]

esatto mi blocca anche quella. Ora provo con gmer.. cosa devo fare?

[monykina]

eh infatti.. ultimamente ne cercavo uno. Ma online sembra che consiglino sempre tutti.. e non saprei uno più decente rispetto agli altri..

[hunter]

ciao prova a fare una scansione con stinger è standalone e non necessita di installazione lo trovi qui

http://www.ilsoftware.it/querydl.asp?ID=736

fai sapere come è andata

[Amantide]

eh infatti.. ultimamente ne cercavo uno. Ma online sembra che consiglino sempre tutti.. e non saprei uno più decente rispetto agli altri..

Per iniziare ti consiglierei Zone Alarm.
Con Gmer mi devi fare e postare i log delle sezioni Autostart e Rootkit.

[monykina]

Hunter sto facendo la scansione con stringer
intanto questo è il log di gmer in Autostart

GMER 1.0.12.12011 - http://www.gmer.net
Autostart scan 2007-01-01 22:51:11
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = E:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
ewido anti-spyware 4.0 guard /*ewido anti-spyware 4.0 guard*/@ = E:\Programmi\ewido anti-spyware 4.0\guard.exe /*file not found*/
LEC TranslateDotNet Server /*LEC TranslateDotNet Server*/@ = "E:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe"
MDM /*Machine Debug Manager*/@ = "E:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE"
RichVideo /*Cyberlink RichVideo Service(CRVS)*/@ = "E:\Programmi\CyberLink\Shared files\RichVideo.exe" ??????????????????????????????????????????????????
ScsiPort@ = %SystemRoot%\system32\drivers\scsiport.sys
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = E:\WINDOWS\system32\wdfmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@avast!E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe /*file not found*/ = E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe /*file not found*/
@SunJavaUpdateSched"E:\Programmi\Java\jre1.5.0_09\bin\jusched.exe" = "E:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
@KernelFaultCheck%systemroot%\system32\dumprep 0 -k = %systemroot%\system32\dumprep 0 -k
@TerraTec SchedulerE:\PROGRA~1\FILECO~1\TerraTec\SCHEDU~1\TTTimer.exe = E:\PROGRA~1\FILECO~1\TerraTec\SCHEDU~1\TTTimer.exe
@QuickTime Task"E:\Programmi\QuickTime\qttask.exe" -atboottime = "E:\Programmi\QuickTime\qttask.exe" -atboottime

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"E:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" = "E:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
@MsnMsgr"E:\Programmi\MSN Messenger\MsnMsgr.Exe" /background = "E:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
@AWMON"E:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe" = "E:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
@MSMSGS"E:\Programmi\Messenger\msmsgs.exe" /background = "E:\Programmi\Messenger\msmsgs.exe" /background
@drvsyskitE:\Documents and Settings\aa\Dati applicazioni\hidires\hidr.exe = E:\Documents and Settings\aa\Dati applicazioni\hidires\hidr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks >>>
@{57B86673-276A-48B2-BAE7-C6DBB3020EB8}E:\Programmi\ewido anti-spyware 4.0\shellexecutehook.dll = E:\Programmi\ewido anti-spyware 4.0\shellexecutehook.dll
@{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}E:\Programmi\Qualcomm\Eudora\EuShlExt.dll /*file not found*/ = E:\Programmi\Qualcomm\Eudora\EuShlExt.dll /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Previous Versions Property Page*/E:\WINDOWS\system32\twext.dll = E:\WINDOWS\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Previous Versions*/E:\WINDOWS\system32\twext.dll = E:\WINDOWS\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/E:\WINDOWS\system32\extmgr.dll = E:\WINDOWS\system32\extmgr.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/E:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = E:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{00020D75-0000-0000-C000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/E:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL = E:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/E:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL = E:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/E:\Programmi\Microsoft Office\OFFICE11\msohev.dll = E:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{B327765E-D724-4347-8B16-78AE18552FC3} /*NeroDigitalIconHandler*/E:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll = E:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll
@{7F1CF152-04F8-453A-B34C-E609530A9DC8} /*NeroDigitalPropSheetHandler*/E:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll = E:\Programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/E:\Programmi\Alwil Software\Avast4\ashShell.dll = E:\Programmi\Alwil Software\Avast4\ashShell.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/E:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll = E:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/E:\Programmi\WinRAR\rarext.dll = E:\Programmi\WinRAR\rarext.dll
@{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} /*Eudora's Shell Extension*/E:\Programmi\Qualcomm\Eudora\EuShlExt.dll /*file not found*/ = E:\Programmi\Qualcomm\Eudora\EuShlExt.dll /*file not found*/

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = E:\Programmi\Alwil Software\Avast4\ashShell.dll
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = E:\Programmi\ewido anti-spyware 4.0\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = E:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers@{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = E:\Programmi\Nero\Nero 7\Nero BackItUp\NBShell.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = E:\Programmi\ewido anti-spyware 4.0\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = E:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = E:\Programmi\Alwil Software\Avast4\ashShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = E:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers@{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = E:\Programmi\Nero\Nero 7\Nero BackItUp\NBShell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}E:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = E:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}E:\Programmi\Java\jre1.5.0_10\bin\ssv.dll = E:\Programmi\Java\jre1.5.0_10\bin\ssv.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageE:\WINDOWS\system32\blank.htm = E:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = E:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = E:\WINDOWS\system32\msvidctl.dll
its@CLSID = E:\WINDOWS\system32\itss.dll
livecall@CLSID = E:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = E:\WINDOWS\system32\itss.dll
ms-itss@CLSID = E:\Programmi\File comuni\Microsoft Shared\Information Retrieval\MSITSS.DLL
msnim@CLSID = E:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mso-offdap@CLSID = E:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = E:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = E:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = E:\WINDOWS\system32\wiascr.dll

---- EOF - GMER 1.0.12 ----

[monykina]

in rootkit non finisce più.. sta analizzando un file alla volta.. è lentissimo

[Amantide]

in rootkit non finisce più.. sta analizzando un file alla volta.. è lentissimo

Non ti preoccupare... da quel che ho visto dal log di Autostart, forse sono riuscita ad individuare il trojan- Beagle.BZ, usa la tecnica di rootkit ed è per questo che è invisibile nel log di Hijack.

Intanto ti preparo lo script da eseguire con Avenger.

[monykina]

ok grazie..

[monykina]

ciao prova a fare una scansione con stinger è standalone e non necessita di installazione lo trovi qui

http://www.ilsoftware.it/querydl.asp?ID=736

fai sapere come è andata

la scansione è finita, c'è scritto NUMBER OF CLEAN FILES :151118

[Amantide]

Ricordi ancora come si usa Avenger? Esegui questo script e fammi sapere come va:

Files to delete:
E:\Documents and Settings\aa\Dati applicazioni\hidires\hidr.exe
E:\Documents and Settings\aa\Dati applicazioni\hidires\m_hook.sys
C:\Windows\System32\wintems.exe

folders to delete:
E:\Documents and Settings\aa\Dati applicazioni\hidires

registry values to delete:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKCU\Software\DateTime4 | port
HKCU\Software\DateTime4 | uid
HKCU\Software\DateTime4 | wdrn

registry keys to delete:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook


P.S. Mi raccomando... il firewall

[monykina]

Prima di riavviarsi il pc, Avenger mi ha segnalato diversi errori.. comunque ecco il log

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | german.exe


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\DateTime4 | port


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\DateTime4 | uid


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\DateTime4 | wdrn


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\llkvutct

*******************

Script file located at: \??\E:\WINDOWS\awdmvqgg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at E:\Avenger

*******************

Beginning to process script file:

File E:\Documents and Settings\aa\Dati applicazioni\hidires\hidr.exe deleted successfully.
File E:\Documents and Settings\aa\Dati applicazioni\hidires\m_hook.sys deleted successfully.


File C:\Windows\System32\wintems.exe not found!
Deletion of file C:\Windows\System32\wintems.exe failed!

Could not process line:
C:\Windows\System32\wintems.exe
Status: 0xc0000034

Folder E:\Documents and Settings\aa\Dati applicazioni\hidires deleted successfully.
Registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\m_hook deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Amantide]

'spe... forse prima dovevo fare la ricerca più avanzata, in alternativa si poteva usare questo removal tool.

E forse è meglio che vado a dormire :-P

[monykina]

non ho capito.. devo usare questo removal tool? come si usa?

[Amantide]

non ho capito.. devo usare questo removal tool? come si usa?

Avenger non è riuscito ad eliminare qualche valore del registro, i soliti problemi a processare i valori che si trovano in HKCU\ , quindi quelli sono rimasti, pertanto è meglio anche usare il tool per ri muovere il resto.

Per usare il tool lo scarichi, metti in qualche cartella ed avvialo disconnessa dal internet.

[monykina]

ok ora provo ad usare il removal tool.. tu aspetti notizie o vai a dormire?