IDE Controller sconosciuto
-
Proprio ora l'ho disinstallato e, dopo il riavvio di Windows, non solo è ancora presente in Gestione Periferiche, ma ha cambiato nome, ora si chiama: ADHB4PU8 IDE Controller !
La ricerca con Google non trova nessun risultato.
-
vorrei rammentarvi che qualsiasi regolare driver di periferica (virtuale o non), mantiene sempre la propria definizione: è scritta all'interno del relativo file .inf, e non cambia
oldman50 ha riferito che l'avvio successivo si ripresenta sempre con una definizione differente.
Alcohol 120% non c'entra nulla, per diversi motivi. Il primo è che il suo driver emula un ctrl SCSI e non IDE, e la sua definizione è
VAX347S SCSI Controller
-
Si, lo confermo.
Ora, dopo dopo un' ulteriore rimozione, ha cambiato di nuovo definizione:
AOCMSPUC IDE Controller
-
purtroppo ormai te lo dò per scontato al 99%: è una variante (ancora sconosciuta) di un malware, possibilmente Conficker, dall'algoritmo in cui riesce a cambiare la definizione del driver.
Se utilizzi un regolare antivirus, potresti anche contattare via e-mail il servizio di ricezione possibili minacce, che ogni Software House Antivirus ha in attività.
Se ci lavorano su, potrebbero evitare ulteriori tentativi di infezione di questa possibile nuova variante.
-
Proteggo il mio PC con Avira Premium Security Suite, attivato con regolare licenza della casa tedesca.
Ho già avuto modo in passato di contattare i loro assistenti per altri problemi, proverò anche questa volta.
Grazie di tutto
-
..... figurati
Facci sapere
-
Dal momento che me lo avete chiesto, ritorno sull'argomento.
Il supporto di Avira, dopo aver avanzato le solite ipotesi più ovvie, quali appunto la possibilità che si tratti di un Rootkit, o di un programma come daemon tools, o addirittura che si tratti di un device senza driver ( ma quale device se cambia definizione ad ogni riavvio!), alla fine hanno gettato la spugna lasciandomi con il mio problema.
Visto che proprio ieri ho rinnovato la loro licenza, speravo di meritare almeno un pò più di attenzione...
A voi è venuta qualche altra idea ?
-
mi farebbe piacere interessarmene, il problema vero è che non avendo la tua macchina sotto mano sarebbero troppe le cose da chiederti e farti fare, che non saprei realmente da dove iniziare.
Proviamo così:
Risorse del Computer -> click dx -> Proprietà -> Gestione Periferiche
a questo punto:
click dx (sulla definizione del controller che ti spunta) -> Proprietà -> Dettagli
e mi fai sapere, se esistono, le esatte definizioni corrispondenti a:
ID istanza periferica
Servizio
Dopodiché:
Start -> Esegui -> regedit -> OK -> Modifica -> Trova
all'interno inserirai la definizione di Servizio che avevi trovato sopra
quindi Trova successivo
Dopo aver trovato il primo riferimento dovresti provare ad intravedere, sul lato dx dell'editor di registro, un valore di stringa tipo il riferimento a un file o cartella da poter identificare sul disco fisso.
Per continuare a cercare i riferimenti successivi premi F3.
-
Innanzitutto grazie per avere ancora la costanza di interessarti al mio problema.
Ecco quanto mi hai chiesto:
ID Istanza Periferica : ACPIPNPA0004&5D18F2DF&0
Servizio : a4huv7tz
La ricerca nel registro trova le seguenti 5 chiavi ( ho effettuato la ricerca con il check in "stringa intera"):
1) HKEY_LOCAL_MACHINESYSTEMControlSet002EnumACPIPNPA0004&5d18f2df&0
Dati:
[HKEY_LOCAL_MACHINESYSTEMControlSet002EnumACPIPNPA0004&5d18f2df&0]
"DeviceDesc"="ASQJLO8A IDE Controller"
"Capabilities"=dword:000000f4
"ConfigFlags"=dword:00000000
"Service"="a4huv7tz"
"Class"="SCSIAdapter"
"ClassGUID"="{4D36E97B-E325-11CE-BFC1-08002BE10318}"
"HardwareID"=hex(7):41,00,43,00,50,00,49,00,5c,00,50,00,4e,00,50,00,41,00,30,
00,30,00,30,00,00,00,2a,00,50,00,4e,00,50,00,41,00,30,00,30,00,30,00,00,00,
00,00
"CompatibleIDs"=hex(7):47,00,45,00,4e,00,5f,00,53,00,43,00,53,00,49,00,41,00,
44,00,41,00,50,00,54,00,45,00,52,00,00,00,00,00
[HKEY_LOCAL_MACHINESYSTEMControlSet002EnumACPIPNPA0004&5d18f2df&0Device Parameters]
[HKEY_LOCAL_MACHINESYSTEMControlSet002EnumACPIPNPA0004&5d18f2df&0LogConf]
"BasicConfigVector"=hex(a):68,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,01,00,01,00,02,00,00,00,00,01,
01,00,11,00,00,00,10,00,00,00,10,00,00,00,10,00,00,00,00,00,00,00,f0,ff,00,
00,00,00,00,00,00,02,03,00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00
2) HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0
Dati:
[HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0]
"DeviceDesc"="ASQJLO8A IDE Controller"
"Capabilities"=dword:000000f4
"ConfigFlags"=dword:00000000
"Service"="a4huv7tz"
"Class"="SCSIAdapter"
"ClassGUID"="{4D36E97B-E325-11CE-BFC1-08002BE10318}"
"HardwareID"=hex(7):41,00,43,00,50,00,49,00,5c,00,50,00,4e,00,50,00,41,00,30,
00,30,00,30,00,00,00,2a,00,50,00,4e,00,50,00,41,00,30,00,30,00,30,00,00,00,
00,00
"CompatibleIDs"=hex(7):47,00,45,00,4e,00,5f,00,53,00,43,00,53,00,49,00,41,00,
44,00,41,00,50,00,54,00,45,00,52,00,00,00,00,00
"Driver"="{4D36E97B-E325-11CE-BFC1-08002BE10318}\0003"
[HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0Device Parameters]
[HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0LogConf]
"BasicConfigVector"=hex(a):68,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,01,00,01,00,02,00,00,00,00,01,
01,00,11,00,00,00,10,00,00,00,10,00,00,00,10,00,00,00,00,00,00,00,f0,ff,00,
00,00,00,00,00,00,02,03,00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00
[HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0Control]
3) HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesa4huv7tz
Dati:
[HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesa4huv7tz]
"Start"=dword:00000003
"Type"=dword:00000001
"Group"="SCSI miniport"
[HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesa4huv7tzEnum]
"0"="ACPI\PNPA000\4&5d18f2df&0"
"Count"=dword:00000001
"NextInstance"=dword:00000001
"INITSTARTFAILED"=dword:00000001
4) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0
Dati:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0]
"DeviceDesc"="ASQJLO8A IDE Controller"
"Capabilities"=dword:000000f4
"ConfigFlags"=dword:00000000
"Service"="a4huv7tz"
"Class"="SCSIAdapter"
"ClassGUID"="{4D36E97B-E325-11CE-BFC1-08002BE10318}"
"HardwareID"=hex(7):41,00,43,00,50,00,49,00,5c,00,50,00,4e,00,50,00,41,00,30,
00,30,00,30,00,00,00,2a,00,50,00,4e,00,50,00,41,00,30,00,30,00,30,00,00,00,
00,00
"CompatibleIDs"=hex(7):47,00,45,00,4e,00,5f,00,53,00,43,00,53,00,49,00,41,00,
44,00,41,00,50,00,54,00,45,00,52,00,00,00,00,00
"Driver"="{4D36E97B-E325-11CE-BFC1-08002BE10318}\0003"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0Device Parameters]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0LogConf]
"BasicConfigVector"=hex(a):68,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,01,00,01,00,02,00,00,00,00,01,
01,00,11,00,00,00,10,00,00,00,10,00,00,00,10,00,00,00,00,00,00,00,f0,ff,00,
00,00,00,00,00,00,02,03,00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0Control]
5) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesa4huv7tz
Dati:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesa4huv7tz]
"Start"=dword:00000003
"Type"=dword:00000001
"Group"="SCSI miniport"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesa4huv7tzEnum]
"0"="ACPI\PNPA000\4&5d18f2df&0"
"Count"=dword:00000001
"NextInstance"=dword:00000001
"INITSTARTFAILED"=dword:00000001
-
* scarica l'ultima versione di HijackThis, la v2.0.2 dal sito TrendMicro.
* scarica l'ultima versione trial di MalwareBytes AntiMalware (MBAM) da Download.com
Dopo aver scompattato HiJackThis.zip, estrarrai il file HijackThis.exe, in una cartella sulla root (C:HijackThis) e lo avvierai.
Dopo aver accettato i termini del programma, sceglierai la prima opzione in alto:
Do a system scan and save a logfile
Dopo brevissimo tempo dovrebbe aprirti una finestra dal nome
hijackthis.log
Selezionerai tutto il contenuto e lo posterai nuovamente qui, che ci daremo un'occhiata per proseguire nella disinfezione
Quindi, finchè non ti darò risposta, non fare più nulla se non, avviare l'installazione di MBAM avviando il pacchetto scaricato mbam-setup.exe, avendo cura di selezionare l'opzione di aggiornamento del programma, quando verrà proposta alla fine dell'installazione.
Prima di utilizzarlo pienamente, infatti, dobbiamo attendere il lavoro di fix che faremo successivamente tramite HijackThis.
Comunque i passi da seguire con Malwarebytes, saranno grossomodo questi:
* selezionare Effettua una scansione completa, quindi Scansiona ... a seconda del quantitativo di file, potrebbe metterci anche diverse diecine di minuti.
* una volta completato, click su OK, quindi Mostra i risultati per visualizzarli
* fai attenzione che ogni cosa sia selezionata, quindi clicca su Rimuovi Selezionati.
*a disinfezione completata, verrà aperta una finestra di log, e si verrà avvisati della necessità di riavviare il pc.
* quelle informazioni di log sono comunque automaticamente salvate, quindi dopo aver riavviato, clicca sull'etichetta File di Log nel menù all'interno di MBAM, facendo quindi copia/incolla dell'intero report qui sul forum
-
Questo è il log di Hijack. Nel frattempo Mbam sta effettuando la scansione,
non appena avrò il log lo invio.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:46:29, on 21/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiAviraAvira Premium Security Suitesched.exe
C:WINDOWSExplorer.EXE
C:ProgrammiAviraAvira Premium Security Suiteavguard.exe
C:ProgrammiAPCAPC PowerChute Personal Editionmainserv.exe
C:ProgrammiAviraAvira Premium Security Suiteavesvc.exe
C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe
C:WINDOWSsystem32svchost.exe
C:ProgrammiJavajre6injqs.exe
C:ProgrammiLogMeInx86LogMeIn.exe
C:ProgrammiLogMeInx86LMIGuardian.exe
C:ProgrammiMcAfeeSiteAdvisorMcSACore.exe
C:ProgrammiFile comuniMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSsystem32IoctlSvc.exe
C:WINDOWSsystem32HPHipm11.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:ProgrammiAviraAvira Premium Security Suiteavmailc.exe
C:ProgrammiAviraAvira Premium Security SuiteAVWEBGRD.EXE
G:Rimozione e Protezione MalwareHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = Google
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = MSN.com
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = Live Search
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = Live Search
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = MSN.com
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = %s - Risultati di Yahoo! Italia Search
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:ProgrammiFile comuniAdobeAcrobatActiveXAcroIEHelperShim.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:ProgrammiFile comuniMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:PROGRA~1mcafeesiteadvisormcieplg.dll
O2 - BHO: Java? Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:ProgrammiJavajre6injp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:ProgrammiJavajre6libdeployjqsiejqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:PROGRA~1mcafeesiteadvisormcieplg.dll
O4 - HKLM..Run: [startupDelayer] "C:Programmi 2 StudiosStartup DelayerStartup Launcher GUI.exe"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:windowssystem32 wprovau.dll
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229038833218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229038765875
O17 - HKLMSystemCCSServicesTcpip..{ED565B17-7AE4-4DE4-A7CA-AFDA3174C547}: NameServer = 193.12.150.2,212.247.152.2
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:PROGRA~1mcafeesiteadvisormcieplg.dll
O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll
O23 - Service: McAfee Application Installer Cleanup (0038181237418457) (0038181237418457mcinstcleanup) - Unknown owner - C:WINDOWSTEMP
-
A questo indirizzo
puoi inserire (copia/incolla) il log e farlo analizzare in automatico
-
L'analisi automatica del log di Hijack consiglia di fixare la seguente voce:
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = %s - Risultati di Yahoo! Italia Search
ed ho eseguito la cancellazione.
Questo poi è il Log di MBAM:
Malwarebytes' Anti-Malware 1.34
Versione del database: 1881
Windows 5.1.2600 Service Pack 3
21/03/2009 22.14.20
mbam-log-2009-03-21 (22-14-20).txt
Tipo di scansione: Scansione completa (C:|)
Elementi scansionati: 212620
Tempo trascorso: 1 hour(s), 47 minute(s), 30 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 0
Elementi dato del registro infetti: 3
Cartelle infette: 0
File infetti: 0
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{5e2402a0-5f99-4188-b30d-d8743996b340} (Adware.LuckyTender) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREWebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterAntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterFirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterUpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
(Nessun elemento malevolo rilevato)
Ho provveduto a fixare le chiavi infette, ho riavviato, ma l'IDE Controller sconosciuto è sempre presente in gestione periferiche con il punto esclamativo giallo.
-
a parte la gran mole di programmi anti-malware in esecuzione, sembrerebbe tutto perfettamente a posto
l'unico dettaglio che non mi quadra, è la presenza di questo eseguibile residente:
C:WINDOWSsystem32RUNDLL32.EXE
RUNDLL32.EXE (Modulo di esecuzione DLL come applicazioni) è un file di sistema, utilizzato da Windows per far partire delle .dll (estensioni di un'applicazione), alcuni tipi di script e/o altri tipi di file, o per attività particolari di sistema.
Ad esempio, la riproduzione dei suoni di sistema viene avviata col suo tramite, impostando come parametri la .dll interessata e il suono stesso:
rundll32 winmm.dll,sndPlaySoundA "c:file.wav"
per cancellare una coda di stampa locale che collega ad una coda di rete:
rundll32 printui.dll,PrintUIEntry /dn /n "\ /q
per bloccare la sessione corrente:
rundll32 user32.dll, LockWorkStation'
oppure (in Vista) per estendere di ulteriori 30 giorni il periodo di attivazione:
rundll32 slc.dll, SLReArmWindows
Tali file o attività hanno bisogno di essere avviate da RUNDLL32.EXE, quindi, perchè in realtà non hanno la possibilità di essere avviabili direttamente, e vengono rese eseguibili tramite questo file di sistema.
Tale file, in buona sostanza, permette di svolgere dei compiti ben precisi, ma di solito brevi.
Normalmente non rimane in esecuzione che per pochi secondi, o comunque per un periodo abbastanza limitato nel tempo.
Questo meccanismo è tra i più utilizzati dai virus che, eseguendo degli script o porzioni di codice, risultano alla fine praticamente invisibili; il fatto che si trovi residente in memoria, quindi, mi dà molto da pensare.
Stabiliamo, andando alle cose più pratiche, se è l'originale:
click dx -> Proprietà su
C:WINDOWSsystem32RUNDLL32.EXE
e, dato che hai installato il Service Pack 3, dovresti avere questo risultato
tab -> Generale
[table]dimensioni: 32,5 KB (33.280 byte)
dimensioni su disco: 36,0 KB (36.864 byte)
data creazione: venerdì 31 agosto 2001, 13.00.00
modificato: lunedì 14 aprile 2008, 3.14.18[/table]
tab -> Versione
Versione file: 5.1.2600.5512
Quindi controlla all'interno del registro di sistema tutto ciò che viene fatto partire con rundll32
Start -> Esegui -> regedit -> OK -> Modifica -> Trova -> rundll32 -> Trova successivo
se tutto è a posto, dovresti trovare solo 2 riferimenti.
Se vedi anche solo una volta il suo nome seguito da quello di un altro file, all'interno di un valore, annotalo e postalo
-
Buongiorno Totocellux.
Grazie innanzitutto per le dettagliate delucidazioni sul file Rundll32.exe.
Ritornando al problema,mi meraviglia che tu abbia trovato in esecuzione molti programmi anti-malaware.
Normalmente faccio da tempo una scansione completa del pc,in media ogni 10 giorni,con SuperAntispyware e Malwarebytes, dopo naturalmente averli aggiornati, ma non mi risulta che questi programmi, essendo free, abbiano attiva la protezione in tempo reale.
Mi farebbe piacere se tu mi indicassi a cosa ti riferisci.
Passo poi ad elencare quanto mi hai richiesto:
Nelle proprietà del File Rundll32.exe, tutto corrisponde tranne la data di creazione:
Lunedi 14 Aprile 2008 03.14.18 anzichè Venerdì 31 agosto 2001, 13.00.00
Per quanto riguarda invece la ricerca nel Registro, non ho chiaro se debbo mettere o no il check su " stringa Intera ".
Se non lo metto trova moltissime chiavi ( se lo ritieni necessario posso provare ad elencartele tutte), se invece lo spunto trova le seguenti tre voci:
1 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftESENTProcess undll32DEBUG
Nome-> Predefinito
Tipo-->REG_SZ
Dati-->(valore non impostato)
Nome->TraceLevel
Tipo-->REG_SZ
Dati-->( nessun valore)
2 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregBluetoothAuthenticationAgent
Nome->Predefinito
Tipo-->REG_SZ
Dati-->(valore non impostato)
Nome->Command
Tipo-->REG_SZ
Dati-->rundll32.exebthprops.cpl,,BluetoothAuthenticationAgent
Nome->hkey
Tipo-->REG_SZ
Dati-->HKLM
Nome->inimapping
Tipo-->REG_SZ
Dati-->0
Nome->item
Tipo-->REG_SZ
Dati-->rundll32
Nome->key
Tipo-->REG_SZ
Dati-->SOFTWAREMicrosoftWindowsCurrentVersionRun
3 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerCompatibilityApplicationsRUNDLL32
Nome->Predefinito
Tipo-->REG_SZ
Dati-->(valore non impostato)
Nome->Flags
Tipo-->REG_DWORD
Dati-->0X00000408 (1032)
-
oldman50 ha scritto:
......Ritornando al problema,mi meraviglia che tu abbia trovato in esecuzione molti programmi anti-malaware.
Normalmente faccio da tempo una scansione completa del pc,in media ogni 10 giorni,con SuperAntispyware e Malwarebytes, dopo naturalmente averli aggiornati, ma non mi risulta che questi programmi, essendo free, abbiano attiva la protezione in tempo reale.
Mi farebbe piacere se tu mi indicassi a cosa ti riferisci.
.............
queste sono le voci interessate
C:ProgrammiAviraAvira Premium Security Suitesched.exe
C:ProgrammiAviraAvira Premium Security Suiteavguard.exe
C:ProgrammiAviraAvira Premium Security Suiteavesvc.exe
C:ProgrammiMcAfeeSiteAdvisorMcSACore.exe
C:ProgrammiAviraAvira Premium Security Suiteavmailc.exe
C:ProgrammiAviraAvira Premium Security SuiteAVWEBGRD.EXE
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:PROGRA~1mcafeesiteadvisormcieplg.dll
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:PROGRA~1mcafeesiteadvisormcieplg.dll
O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll
oldman50 ha scritto:
.............
Passo poi ad elencare quanto mi hai richiesto:
Nelle proprietà del File Rundll32.exe, tutto corrisponde tranne la data di creazione:
Lunedi 14 Aprile 2008 03.14.18 anzichè Venerdì 31 agosto 2001, 13.00.00
.............
dovrebbe essere corretto, quantomeno se hai messo su WinXP direttamente col pacchetto di installazione comprensivo di SP3.
Quel riferimento a Venerdì 31 agosto 2001, 13.00.00, sarebbe stato corretto nel caso fosse stato installato SP3, passando per SP1 e SP2, su Windows XP prima versione, come nel mio caso.
oldman50 ha scritto:
.............
Per quanto riguarda invece la ricerca nel Registro, non ho chiaro se debbo mettere o no il check su " stringa Intera ".
Se non lo metto trova moltissime chiavi ( se lo ritieni necessario posso provare ad elencartele tutte)
.............
infatti impostando come criterio "rundll32" e stringa intera, la maggior dei riferimenti viene saltata, in quanto nel registro di norma è presente invece il riferimento rundll32 (o rundll32.exe) seguito dalle voci di parametro.
Quindi non impostare stringa intera, controllando per quanto possibile che nella parte dx della finestra di regedit, all'interno delle stringhe dei valori, esista un qualche riferimento ad un file o cartella sospetta.
So che è lunga la faccenda, ma si deve per forza di cose fare così, altrimenti può sfuggire un qualche elemento importante.
oldman50 ha scritto:
.............
se invece lo spunto trova le seguenti tre voci:
.............
sono OK
osservando ancore più approfonditamente i precedenti report, esiste la possibilità cha la presenza in memoria di rundll32.exe abbia una spiegazione quantomeno logica, e che possa dipendere da questi riferimento trovati da HijackThis
O10 - Unknown file in Winsock LSP: c:windowssystem32 wprovau.dll
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
nwprovau.dll è una libreria di appoggio al client Netware (quello certificato Microsoft).
Quindi, se tra i componenti di una delle schede di rete installate
click dx -> Risorse di Rete -> Proprietà ->Scheda interessata ->Proprietà -> Generale
hai anche il Client per reti Netware oltre ai soliti:
Client per reti Microsoft
Condivisione file e stampanti per reti Microsoft
Utilità di pianificazione pacchetti QOS
Protocollo Internet (TCP/IP)
potrebbe essere; ma rimane del tutto anormala la sua presenza residente in memoria
-
Le voci di protezione che mi elenchi credo siano tutte giustificate:
di Avira ho installato la Suite completa ( Antivirus + Firewall), mentre il McAfee SiteAdvisor è un componente aggiuntivo di Firefox, che, durante la navigazione in Internet, segnala i siti da evitare.
L' unica che non riesco a decifrare è : O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll.
Per quanto riguarda la libreria nwprovau.dll, tra i componenti delle 2 schede di rete installate non c'è nessun Client per Reti Netware, ma oltre a quelli che mi hai elencato c'è in ambedue " AvFw Packet Filter Driver ".
Ora controllo il registro per Rundll32, senza impostare stringa intera, e poi ti riferisco.
Senti, ma se provassi ad eliminare fisicamente le 5 chiavi che si evidenziano dalla ricerca del servizio " a4huv7tz " che avevo elencato a pagina 2 di questo thread ?
Del resto quel servizio si riferisce proprio alla periferica misteriosa della quale non riesco a liberarmi !
-
oldman50 ha scritto:
..........
L' unica che non riesco a decifrare è : O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll.
.............
verosimilmente è il modulo di SuperAntiSpyware che si incarica di intercettare le attività eseguite durante le operazioni di logon, logoff e shutdown di WinXP.
Un innesto software sul WinLogon è molto rischioso: se la dll non funziona perfettamente o il meccanismo ne è compromesso, anche solo a causa di una disinstallazione non portata automaticamente bene a termine, potrebbe provocare una non più fruibile procedura di logon ...... e sarebbero guai seri.
oldman50 ha scritto:
.............
Per quanto riguarda la libreria nwprovau.dll, tra i componenti delle 2 schede di rete installate non c'è nessun Client per Reti Netware, ma oltre a quelli che mi hai elencato c'è in ambedue " AvFw Packet Filter Driver ".
Ora controllo il registro per Rundll32, senza impostare stringa intera, e poi ti riferisco.
.............
AvFw Packet Filter Driver è il miniport driver del pacchetto AVIRA, e più precisamente del Firewall. Non c'entra nulla con nwprovau.dll.
oldman50 ha scritto:
.............
Senti, ma se provassi ad eliminare fisicamente le 5 chiavi che si evidenziano dalla ricerca del servizio " a4huv7tz " che avevo elencato a pagina 2 di questo thread ?
Del resto quel servizio si riferisce proprio alla periferica misteriosa della quale non riesco a liberarmi !
sono pressoché convinto che verrebbero ricreate al successivo riavvio. Se pensi che valga la pena cancellarle, naturalmente fa pure: provare, oculatamente, a proprie spese fa senza dubbio crescere la propria esperienza.
Quelle voci nel registro sono caricate dal modulo della pseudo-minaccia che verosimilmente ti porti dietro, e che viene avviato di volta in volta ad ogni partenza: cancellarle dovrebbe non bastare ad eliminarlo.
-
Avevi proprio ragione: dopo Backup del registro ho eliminato le chiavi che si riferivano al servizio della periferica, ma al riavvio vengono puntualmente ricreate sotto altra definizione.
Sto anche anallizzando tutte le chiavi trovate con ricerca " Rundll32.exe " nel registro di Windows, ma non è facile capire quale possa essere quella infetta. Oltretutto ce sono tantissime...
Ho provato a fare una scansione con Gmer, ma non ha trovato nulla.
Usare qualche altro scanner ?
-
prova anche sBS Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
non dimenticare la scansione con i vari: drweb cureit, prevx, spybot search & destroy
ciao
Ciao! Sembra che tu sia interessato a questa conversazione, ma non hai ancora un account.
Stanco di dover scorrere gli stessi post a ogni visita? Quando registri un account, tornerai sempre esattamente dove eri rimasto e potrai scegliere di essere avvisato delle nuove risposte (tramite email o notifica push). Potrai anche salvare segnalibri e votare i post per mostrare il tuo apprezzamento agli altri membri della comunità.
Con il tuo contributo, questo post potrebbe essere ancora migliore 💗
Registrati Accedi