Salta al contenuto
  • Categorie
  • Recenti
  • Tag
  • Popolare
  • Utenti
  • Gruppi
Collassa
Logo del marchio
  1. Home
  2. Periferiche Hardware
  3. Periferiche di memorizzazione
  4. IDE Controller sconosciuto

IDE Controller sconosciuto

Pianificato Fissato Bloccato Spostato Periferiche di memorizzazione
28 Post 0 Autori 12.4k Visualizzazioni
  • Da Vecchi a Nuovi
  • Da Nuovi a Vecchi
  • Più Voti
Rispondi
  • Risposta alla discussione
Effettua l'accesso per rispondere
Questa discussione è stata eliminata. Solo gli utenti con diritti di gestione possono vederla.
  • O Non in linea
    O Non in linea
    oldman50
    scritto su ultima modifica di
    #16

    Innanzitutto grazie per avere ancora la costanza di interessarti al mio problema.

    Ecco quanto mi hai chiesto:

    ID Istanza Periferica : ACPIPNPA0004&5D18F2DF&0

    Servizio : a4huv7tz

    La ricerca nel registro trova le seguenti 5 chiavi ( ho effettuato la ricerca con il check in "stringa intera"):

    1) HKEY_LOCAL_MACHINESYSTEMControlSet002EnumACPIPNPA0004&5d18f2df&0

    Dati:

    [HKEY_LOCAL_MACHINESYSTEMControlSet002EnumACPIPNPA0004&5d18f2df&0]

    "DeviceDesc"="ASQJLO8A IDE Controller"

    "Capabilities"=dword:000000f4

    "ConfigFlags"=dword:00000000

    "Service"="a4huv7tz"

    "Class"="SCSIAdapter"

    "ClassGUID"="{4D36E97B-E325-11CE-BFC1-08002BE10318}"

    "HardwareID"=hex(7):41,00,43,00,50,00,49,00,5c,00,50,00,4e,00,50,00,41,00,30,

    00,30,00,30,00,00,00,2a,00,50,00,4e,00,50,00,41,00,30,00,30,00,30,00,00,00,

    00,00

    "CompatibleIDs"=hex(7):47,00,45,00,4e,00,5f,00,53,00,43,00,53,00,49,00,41,00,

    44,00,41,00,50,00,54,00,45,00,52,00,00,00,00,00

    [HKEY_LOCAL_MACHINESYSTEMControlSet002EnumACPIPNPA0004&5d18f2df&0Device Parameters]

    [HKEY_LOCAL_MACHINESYSTEMControlSet002EnumACPIPNPA0004&5d18f2df&0LogConf]

    "BasicConfigVector"=hex(a):68,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,

    00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,01,00,01,00,02,00,00,00,00,01,

    01,00,11,00,00,00,10,00,00,00,10,00,00,00,10,00,00,00,00,00,00,00,f0,ff,00,

    00,00,00,00,00,00,02,03,00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,00,00,00,00,

    00,00,00,00,00,00,00,00,00,00,00,00

    2) HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0

    Dati:

    [HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0]

    "DeviceDesc"="ASQJLO8A IDE Controller"

    "Capabilities"=dword:000000f4

    "ConfigFlags"=dword:00000000

    "Service"="a4huv7tz"

    "Class"="SCSIAdapter"

    "ClassGUID"="{4D36E97B-E325-11CE-BFC1-08002BE10318}"

    "HardwareID"=hex(7):41,00,43,00,50,00,49,00,5c,00,50,00,4e,00,50,00,41,00,30,

    00,30,00,30,00,00,00,2a,00,50,00,4e,00,50,00,41,00,30,00,30,00,30,00,00,00,

    00,00

    "CompatibleIDs"=hex(7):47,00,45,00,4e,00,5f,00,53,00,43,00,53,00,49,00,41,00,

    44,00,41,00,50,00,54,00,45,00,52,00,00,00,00,00

    "Driver"="{4D36E97B-E325-11CE-BFC1-08002BE10318}\0003"

    [HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0Device Parameters]

    [HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0LogConf]

    "BasicConfigVector"=hex(a):68,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,

    00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,01,00,01,00,02,00,00,00,00,01,

    01,00,11,00,00,00,10,00,00,00,10,00,00,00,10,00,00,00,00,00,00,00,f0,ff,00,

    00,00,00,00,00,00,02,03,00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,00,00,00,00,

    00,00,00,00,00,00,00,00,00,00,00,00

    [HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0Control]

    3) HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesa4huv7tz

    Dati:

    [HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesa4huv7tz]

    "Start"=dword:00000003

    "Type"=dword:00000001

    "Group"="SCSI miniport"

    [HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesa4huv7tzEnum]

    "0"="ACPI\PNPA000\4&5d18f2df&0"

    "Count"=dword:00000001

    "NextInstance"=dword:00000001

    "INITSTARTFAILED"=dword:00000001

    4) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0

    Dati:

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0]

    "DeviceDesc"="ASQJLO8A IDE Controller"

    "Capabilities"=dword:000000f4

    "ConfigFlags"=dword:00000000

    "Service"="a4huv7tz"

    "Class"="SCSIAdapter"

    "ClassGUID"="{4D36E97B-E325-11CE-BFC1-08002BE10318}"

    "HardwareID"=hex(7):41,00,43,00,50,00,49,00,5c,00,50,00,4e,00,50,00,41,00,30,

    00,30,00,30,00,00,00,2a,00,50,00,4e,00,50,00,41,00,30,00,30,00,30,00,00,00,

    00,00

    "CompatibleIDs"=hex(7):47,00,45,00,4e,00,5f,00,53,00,43,00,53,00,49,00,41,00,

    44,00,41,00,50,00,54,00,45,00,52,00,00,00,00,00

    "Driver"="{4D36E97B-E325-11CE-BFC1-08002BE10318}\0003"

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0Device Parameters]

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0LogConf]

    "BasicConfigVector"=hex(a):68,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,

    00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,01,00,01,00,02,00,00,00,00,01,

    01,00,11,00,00,00,10,00,00,00,10,00,00,00,10,00,00,00,00,00,00,00,f0,ff,00,

    00,00,00,00,00,00,02,03,00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,00,00,00,00,

    00,00,00,00,00,00,00,00,00,00,00,00

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0Control]

    5) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesa4huv7tz

    Dati:

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesa4huv7tz]

    "Start"=dword:00000003

    "Type"=dword:00000001

    "Group"="SCSI miniport"

    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesa4huv7tzEnum]

    "0"="ACPI\PNPA000\4&5d18f2df&0"

    "Count"=dword:00000001

    "NextInstance"=dword:00000001

    "INITSTARTFAILED"=dword:00000001

    1 Risposta Ultima Risposta
    0
    • T Non in linea
      T Non in linea
      Totocellux
      scritto su ultima modifica di
      #17

      * scarica l'ultima versione di HijackThis, la v2.0.2 dal sito TrendMicro.

      * scarica l'ultima versione trial di MalwareBytes AntiMalware (MBAM) da Download.com

      Dopo aver scompattato HiJackThis.zip, estrarrai il file HijackThis.exe, in una cartella sulla root (C:HijackThis) e lo avvierai.

      Dopo aver accettato i termini del programma, sceglierai la prima opzione in alto:

      Do a system scan and save a logfile

      Dopo brevissimo tempo dovrebbe aprirti una finestra dal nome

      hijackthis.log

      Selezionerai tutto il contenuto e lo posterai nuovamente qui, che ci daremo un'occhiata per proseguire nella disinfezione

      Quindi, finchè non ti darò risposta, non fare più nulla se non, avviare l'installazione di MBAM avviando il pacchetto scaricato mbam-setup.exe, avendo cura di selezionare l'opzione di aggiornamento del programma, quando verrà proposta alla fine dell'installazione.

      Prima di utilizzarlo pienamente, infatti, dobbiamo attendere il lavoro di fix che faremo successivamente tramite HijackThis.

      Comunque i passi da seguire con Malwarebytes, saranno grossomodo questi:

      * selezionare Effettua una scansione completa, quindi Scansiona ... a seconda del quantitativo di file, potrebbe metterci anche diverse diecine di minuti.

      * una volta completato, click su OK, quindi Mostra i risultati per visualizzarli

      * fai attenzione che ogni cosa sia selezionata, quindi clicca su Rimuovi Selezionati.

      *a disinfezione completata, verrà aperta una finestra di log, e si verrà avvisati della necessità di riavviare il pc.

      * quelle informazioni di log sono comunque automaticamente salvate, quindi dopo aver riavviato, clicca sull'etichetta File di Log nel menù all'interno di MBAM, facendo quindi copia/incolla dell'intero report qui sul forum

      :)

      1 Risposta Ultima Risposta
      0
      • O Non in linea
        O Non in linea
        oldman50
        scritto su ultima modifica di
        #18

        Questo è il log di Hijack. Nel frattempo Mbam sta effettuando la scansione,

        non appena avrò il log lo invio.

        Logfile of Trend Micro HijackThis v2.0.2

        Scan saved at 15:46:29, on 21/03/2009

        Platform: Windows XP SP3 (WinNT 5.01.2600)

        MSIE: Internet Explorer v8.00 (8.00.6001.18702)

        Boot mode: Normal

        Running processes:

        C:WINDOWSSystem32smss.exe

        C:WINDOWSsystem32winlogon.exe

        C:WINDOWSsystem32services.exe

        C:WINDOWSsystem32lsass.exe

        C:WINDOWSsystem32Ati2evxx.exe

        C:WINDOWSsystem32svchost.exe

        C:WINDOWSSystem32svchost.exe

        C:WINDOWSsystem32svchost.exe

        C:WINDOWSsystem32Ati2evxx.exe

        C:WINDOWSsystem32spoolsv.exe

        C:ProgrammiAviraAvira Premium Security Suitesched.exe

        C:WINDOWSExplorer.EXE

        C:ProgrammiAviraAvira Premium Security Suiteavguard.exe

        C:ProgrammiAPCAPC PowerChute Personal Editionmainserv.exe

        C:ProgrammiAviraAvira Premium Security Suiteavesvc.exe

        C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe

        C:WINDOWSsystem32svchost.exe

        C:ProgrammiJavajre6injqs.exe

        C:ProgrammiLogMeInx86LogMeIn.exe

        C:ProgrammiLogMeInx86LMIGuardian.exe

        C:ProgrammiMcAfeeSiteAdvisorMcSACore.exe

        C:ProgrammiFile comuniMicrosoft SharedVS7DEBUGMDM.EXE

        C:WINDOWSsystem32IoctlSvc.exe

        C:WINDOWSsystem32HPHipm11.exe

        C:WINDOWSsystem32svchost.exe

        C:WINDOWSsystem32RUNDLL32.EXE

        C:ProgrammiAviraAvira Premium Security Suiteavmailc.exe

        C:ProgrammiAviraAvira Premium Security SuiteAVWEBGRD.EXE

        G:Rimozione e Protezione MalwareHijackThis.exe

        R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = Google

        R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = MSN.com

        R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = Live Search

        R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = Live Search

        R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = MSN.com

        R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = %s - Risultati di Yahoo! Italia Search

        R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti

        R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

        O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:ProgrammiFile comuniAdobeAcrobatActiveXAcroIEHelperShim.dll

        O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:ProgrammiFile comuniMicrosoft SharedWindows LiveWindowsLiveLogin.dll

        O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:PROGRA~1mcafeesiteadvisormcieplg.dll

        O2 - BHO: Java? Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:ProgrammiJavajre6injp2ssv.dll

        O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:ProgrammiJavajre6libdeployjqsiejqs_plugin.dll

        O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:PROGRA~1mcafeesiteadvisormcieplg.dll

        O4 - HKLM..Run: [startupDelayer] "C:Programmi 2 StudiosStartup DelayerStartup Launcher GUI.exe"

        O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000

        O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL

        O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe

        O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe

        O10 - Unknown file in Winsock LSP: c:windowssystem32 wprovau.dll

        O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab

        O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab

        O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab

        O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229038833218

        O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229038765875

        O17 - HKLMSystemCCSServicesTcpip..{ED565B17-7AE4-4DE4-A7CA-AFDA3174C547}: NameServer = 193.12.150.2,212.247.152.2

        O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:PROGRA~1mcafeesiteadvisormcieplg.dll

        O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll

        O23 - Service: McAfee Application Installer Cleanup (0038181237418457) (0038181237418457mcinstcleanup) - Unknown owner - C:WINDOWSTEMP

        1 Risposta Ultima Risposta
        0
        • M Non in linea
          M Non in linea
          MM
          scritto su ultima modifica di
          #19

          A questo indirizzo

          HijackThis Logfileauswertung

          puoi inserire (copia/incolla) il log e farlo analizzare in automatico

          1 Risposta Ultima Risposta
          0
          • O Non in linea
            O Non in linea
            oldman50
            scritto su ultima modifica di
            #20

            L'analisi automatica del log di Hijack consiglia di fixare la seguente voce:

            R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = %s - Risultati di Yahoo! Italia Search

            ed ho eseguito la cancellazione.

            Questo poi è il Log di MBAM:

            Malwarebytes' Anti-Malware 1.34

            Versione del database: 1881

            Windows 5.1.2600 Service Pack 3

            21/03/2009 22.14.20

            mbam-log-2009-03-21 (22-14-20).txt

            Tipo di scansione: Scansione completa (C:|)

            Elementi scansionati: 212620

            Tempo trascorso: 1 hour(s), 47 minute(s), 30 second(s)

            Processi delle memoria infetti: 0

            Moduli della memoria infetti: 0

            Chiavi di registro infette: 2

            Valori di registro infetti: 0

            Elementi dato del registro infetti: 3

            Cartelle infette: 0

            File infetti: 0

            Processi delle memoria infetti:

            (Nessun elemento malevolo rilevato)

            Moduli della memoria infetti:

            (Nessun elemento malevolo rilevato)

            Chiavi di registro infette:

            HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{5e2402a0-5f99-4188-b30d-d8743996b340} (Adware.LuckyTender) -> Quarantined and deleted successfully.

            HKEY_LOCAL_MACHINESOFTWAREWebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.

            Valori di registro infetti:

            (Nessun elemento malevolo rilevato)

            Elementi dato del registro infetti:

            HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterAntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

            HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterFirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

            HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterUpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

            Cartelle infette:

            (Nessun elemento malevolo rilevato)

            File infetti:

            (Nessun elemento malevolo rilevato)

            Ho provveduto a fixare le chiavi infette, ho riavviato, ma l'IDE Controller sconosciuto è sempre presente in gestione periferiche con il punto esclamativo giallo.

            1 Risposta Ultima Risposta
            0
            • T Non in linea
              T Non in linea
              Totocellux
              scritto su ultima modifica di
              #21

              a parte la gran mole di programmi anti-malware in esecuzione, sembrerebbe tutto perfettamente a posto

              l'unico dettaglio che non mi quadra, è la presenza di questo eseguibile residente:

              C:WINDOWSsystem32RUNDLL32.EXE

              RUNDLL32.EXE (Modulo di esecuzione DLL come applicazioni) è un file di sistema, utilizzato da Windows per far partire delle .dll (estensioni di un'applicazione), alcuni tipi di script e/o altri tipi di file, o per attività particolari di sistema.

              Ad esempio, la riproduzione dei suoni di sistema viene avviata col suo tramite, impostando come parametri la .dll interessata e il suono stesso:

              rundll32 winmm.dll,sndPlaySoundA "c:file.wav"

              per cancellare una coda di stampa locale che collega ad una coda di rete:

              rundll32 printui.dll,PrintUIEntry /dn /n "\ /q

              per bloccare la sessione corrente:

              rundll32 user32.dll, LockWorkStation'

              oppure (in Vista) per estendere di ulteriori 30 giorni il periodo di attivazione:

              rundll32 slc.dll, SLReArmWindows

              Tali file o attività hanno bisogno di essere avviate da RUNDLL32.EXE, quindi, perchè in realtà non hanno la possibilità di essere avviabili direttamente, e vengono rese eseguibili tramite questo file di sistema.

              Tale file, in buona sostanza, permette di svolgere dei compiti ben precisi, ma di solito brevi.

              Normalmente non rimane in esecuzione che per pochi secondi, o comunque per un periodo abbastanza limitato nel tempo.

              Questo meccanismo è tra i più utilizzati dai virus che, eseguendo degli script o porzioni di codice, risultano alla fine praticamente invisibili; il fatto che si trovi residente in memoria, quindi, mi dà molto da pensare.

              Stabiliamo, andando alle cose più pratiche, se è l'originale:

              click dx -> Proprietà su

              C:WINDOWSsystem32RUNDLL32.EXE

               

              e, dato che hai installato il Service Pack 3, dovresti avere questo risultato

              tab -> Generale

              [table]dimensioni: 32,5 KB (33.280 byte)

              dimensioni su disco: 36,0 KB (36.864 byte)

              data creazione: venerdì 31 agosto 2001, 13.00.00

              modificato: lunedì 14 aprile 2008, 3.14.18[/table]

              tab -> Versione

              Versione file: 5.1.2600.5512

              Quindi controlla all'interno del registro di sistema tutto ciò che viene fatto partire con rundll32

              Start -> Esegui -> regedit -> OK -> Modifica -> Trova -> rundll32 -> Trova successivo

              se tutto è a posto, dovresti trovare solo 2 riferimenti.

              Se vedi anche solo una volta il suo nome seguito da quello di un altro file, all'interno di un valore, annotalo e postalo

              :)

              1 Risposta Ultima Risposta
              0
              • O Non in linea
                O Non in linea
                oldman50
                scritto su ultima modifica di
                #22

                Buongiorno Totocellux.

                Grazie innanzitutto per le dettagliate delucidazioni sul file Rundll32.exe.

                Ritornando al problema,mi meraviglia che tu abbia trovato in esecuzione molti programmi anti-malaware.

                Normalmente faccio da tempo una scansione completa del pc,in media ogni 10 giorni,con SuperAntispyware e Malwarebytes, dopo naturalmente averli aggiornati, ma non mi risulta che questi programmi, essendo free, abbiano attiva la protezione in tempo reale.

                Mi farebbe piacere se tu mi indicassi a cosa ti riferisci.

                Passo poi ad elencare quanto mi hai richiesto:

                Nelle proprietà del File Rundll32.exe, tutto corrisponde tranne la data di creazione:

                Lunedi 14 Aprile 2008 03.14.18 anzichè Venerdì 31 agosto 2001, 13.00.00

                Per quanto riguarda invece la ricerca nel Registro, non ho chiaro se debbo mettere o no il check su " stringa Intera ".

                Se non lo metto trova moltissime chiavi ( se lo ritieni necessario posso provare ad elencartele tutte), se invece lo spunto trova le seguenti tre voci:

                1 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftESENTProcess undll32DEBUG

                Nome-> Predefinito

                Tipo-->REG_SZ

                Dati-->(valore non impostato)

                Nome->TraceLevel

                Tipo-->REG_SZ

                Dati-->( nessun valore)

                2 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregBluetoothAuthenticationAgent

                Nome->Predefinito

                Tipo-->REG_SZ

                Dati-->(valore non impostato)

                Nome->Command

                Tipo-->REG_SZ

                Dati-->rundll32.exebthprops.cpl,,BluetoothAuthenticationAgent

                Nome->hkey

                Tipo-->REG_SZ

                Dati-->HKLM

                Nome->inimapping

                Tipo-->REG_SZ

                Dati-->0

                Nome->item

                Tipo-->REG_SZ

                Dati-->rundll32

                Nome->key

                Tipo-->REG_SZ

                Dati-->SOFTWAREMicrosoftWindowsCurrentVersionRun

                3 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerCompatibilityApplicationsRUNDLL32

                Nome->Predefinito

                Tipo-->REG_SZ

                Dati-->(valore non impostato)

                Nome->Flags

                Tipo-->REG_DWORD

                Dati-->0X00000408 (1032)

                1 Risposta Ultima Risposta
                0
                • T Non in linea
                  T Non in linea
                  Totocellux
                  scritto su ultima modifica di
                  #23

                  oldman50 ha scritto:

                  ......

                  Ritornando al problema,mi meraviglia che tu abbia trovato in esecuzione molti programmi anti-malaware.

                  Normalmente faccio da tempo una scansione completa del pc,in media ogni 10 giorni,con SuperAntispyware e Malwarebytes, dopo naturalmente averli aggiornati, ma non mi risulta che questi programmi, essendo free, abbiano attiva la protezione in tempo reale.

                  Mi farebbe piacere se tu mi indicassi a cosa ti riferisci.

                  .............

                  queste sono le voci interessate

                  C:ProgrammiAviraAvira Premium Security Suitesched.exe

                  C:ProgrammiAviraAvira Premium Security Suiteavguard.exe

                  C:ProgrammiAviraAvira Premium Security Suiteavesvc.exe

                  C:ProgrammiMcAfeeSiteAdvisorMcSACore.exe

                  C:ProgrammiAviraAvira Premium Security Suiteavmailc.exe

                  C:ProgrammiAviraAvira Premium Security SuiteAVWEBGRD.EXE

                   

                  O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:PROGRA~1mcafeesiteadvisormcieplg.dll

                  O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:PROGRA~1mcafeesiteadvisormcieplg.dll

                  O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll

                  oldman50 ha scritto:

                  .............

                  Passo poi ad elencare quanto mi hai richiesto:

                  Nelle proprietà del File Rundll32.exe, tutto corrisponde tranne la data di creazione:

                  Lunedi 14 Aprile 2008 03.14.18 anzichè Venerdì 31 agosto 2001, 13.00.00

                  .............

                  dovrebbe essere corretto, quantomeno se hai messo su WinXP direttamente col pacchetto di installazione comprensivo di SP3.

                  Quel riferimento a Venerdì 31 agosto 2001, 13.00.00, sarebbe stato corretto nel caso fosse stato installato SP3, passando per SP1 e SP2, su Windows XP prima versione, come nel mio caso.

                  oldman50 ha scritto:

                  .............

                  Per quanto riguarda invece la ricerca nel Registro, non ho chiaro se debbo mettere o no il check su " stringa Intera ".

                  Se non lo metto trova moltissime chiavi ( se lo ritieni necessario posso provare ad elencartele tutte)

                  .............

                  infatti impostando come criterio "rundll32" e stringa intera, la maggior dei riferimenti viene saltata, in quanto nel registro di norma è presente invece il riferimento rundll32 (o rundll32.exe) seguito dalle voci di parametro.

                  Quindi non impostare stringa intera, controllando per quanto possibile che nella parte dx della finestra di regedit, all'interno delle stringhe dei valori, esista un qualche riferimento ad un file o cartella sospetta.

                  So che è lunga la faccenda, ma si deve per forza di cose fare così, altrimenti può sfuggire un qualche elemento importante.

                  oldman50 ha scritto:

                  .............

                  se invece lo spunto trova le seguenti tre voci:

                  .............

                  sono OK

                  osservando ancore più approfonditamente i precedenti report, esiste la possibilità cha la presenza in memoria di rundll32.exe abbia una spiegazione quantomeno logica, e che possa dipendere da questi riferimento trovati da HijackThis

                  O10 - Unknown file in Winsock LSP: c:windowssystem32 wprovau.dll

                  O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

                  nwprovau.dll è una libreria di appoggio al client Netware (quello certificato Microsoft).

                  Quindi, se tra i componenti di una delle schede di rete installate

                  click dx -> Risorse di Rete -> Proprietà ->Scheda interessata ->Proprietà -> Generale

                  hai anche il Client per reti Netware oltre ai soliti:

                  Client per reti Microsoft

                  Condivisione file e stampanti per reti Microsoft

                  Utilità di pianificazione pacchetti QOS

                  Protocollo Internet (TCP/IP)

                  potrebbe essere; ma rimane del tutto anormala la sua presenza residente in memoria

                  :)

                  1 Risposta Ultima Risposta
                  0
                  • O Non in linea
                    O Non in linea
                    oldman50
                    scritto su ultima modifica di
                    #24

                    Le voci di protezione che mi elenchi credo siano tutte giustificate:

                    di Avira ho installato la Suite completa ( Antivirus + Firewall), mentre il McAfee SiteAdvisor è un componente aggiuntivo di Firefox, che, durante la navigazione in Internet, segnala i siti da evitare.

                    L' unica che non riesco a decifrare è : O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll.

                    Per quanto riguarda la libreria nwprovau.dll, tra i componenti delle 2 schede di rete installate non c'è nessun Client per Reti Netware, ma oltre a quelli che mi hai elencato c'è in ambedue " AvFw Packet Filter Driver ".

                    Ora controllo il registro per Rundll32, senza impostare stringa intera, e poi ti riferisco.

                    Senti, ma se provassi ad eliminare fisicamente le 5 chiavi che si evidenziano dalla ricerca del servizio " a4huv7tz " che avevo elencato a pagina 2 di questo thread ?

                    Del resto quel servizio si riferisce proprio alla periferica misteriosa della quale non riesco a liberarmi !

                    1 Risposta Ultima Risposta
                    0
                    • T Non in linea
                      T Non in linea
                      Totocellux
                      scritto su ultima modifica di
                      #25

                      oldman50 ha scritto:

                      ..........

                      L' unica che non riesco a decifrare è : O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll.

                      .............

                      verosimilmente è il modulo di SuperAntiSpyware che si incarica di intercettare le attività eseguite durante le operazioni di logon, logoff e shutdown di WinXP.

                      Un innesto software sul WinLogon è molto rischioso: se la dll non funziona perfettamente o il meccanismo ne è compromesso, anche solo a causa di una disinstallazione non portata automaticamente bene a termine, potrebbe provocare una non più fruibile procedura di logon ...... e sarebbero guai seri.

                      oldman50 ha scritto:

                      .............

                      Per quanto riguarda la libreria nwprovau.dll, tra i componenti delle 2 schede di rete installate non c'è nessun Client per Reti Netware, ma oltre a quelli che mi hai elencato c'è in ambedue " AvFw Packet Filter Driver ".

                      Ora controllo il registro per Rundll32, senza impostare stringa intera, e poi ti riferisco.

                      .............

                      AvFw Packet Filter Driver è il miniport driver del pacchetto AVIRA, e più precisamente del Firewall. Non c'entra nulla con nwprovau.dll.

                      oldman50 ha scritto:

                      .............

                      Senti, ma se provassi ad eliminare fisicamente le 5 chiavi che si evidenziano dalla ricerca del servizio " a4huv7tz " che avevo elencato a pagina 2 di questo thread ?

                      Del resto quel servizio si riferisce proprio alla periferica misteriosa della quale non riesco a liberarmi !

                      sono pressoché convinto che verrebbero ricreate al successivo riavvio. Se pensi che valga la pena cancellarle, naturalmente fa pure: provare, oculatamente, a proprie spese fa senza dubbio crescere la propria esperienza.

                      Quelle voci nel registro sono caricate dal modulo della pseudo-minaccia che verosimilmente ti porti dietro, e che viene avviato di volta in volta ad ogni partenza: cancellarle dovrebbe non bastare ad eliminarlo.

                      :)

                      1 Risposta Ultima Risposta
                      0
                      • O Non in linea
                        O Non in linea
                        oldman50
                        scritto su ultima modifica di
                        #26

                        Avevi proprio ragione: dopo Backup del registro ho eliminato le chiavi che si riferivano al servizio della periferica, ma al riavvio vengono puntualmente ricreate sotto altra definizione.

                        Sto anche anallizzando tutte le chiavi trovate con ricerca " Rundll32.exe " nel registro di Windows, ma non è facile capire quale possa essere quella infetta. Oltretutto ce sono tantissime...

                        Ho provato a fare una scansione con Gmer, ma non ha trovato nulla.

                        Usare qualche altro scanner ?

                        1 Risposta Ultima Risposta
                        0
                        • M Non in linea
                          M Non in linea
                          megthebest
                          scritto su ultima modifica di
                          #27

                          prova anche sBS Combofix:

                          http://download.bleepingcomputer.com/sUBs/ComboFix.exe

                          non dimenticare la scansione con i vari: drweb cureit, prevx, spybot search & destroy

                          ciao

                          1 Risposta Ultima Risposta
                          0
                          • O Non in linea
                            O Non in linea
                            oldman50
                            scritto su ultima modifica di
                            #28

                            Effettuate tutte le scansioni consigliate.

                            Risultato : sistema pulito !

                            Ma Gestione periferiche si presenta ancora cosi:

                            http://www.xtremeshack.com/immagine/i13826_IdeController.JPG

                            1 Risposta Ultima Risposta
                            0
                            • T Non in linea
                              T Non in linea
                              Totocellux
                              scritto su ultima modifica di
                              #29

                              in questo periodo purtroppo non ho molto tempo a disposizione, ed è veramente arduo trovare il punto di innesto di un malware così progredito, non avendo a portata di mano la tastiera del tuo pc.

                              Spero che la minaccia non stia utilizzando gli ADS, altrimenti diverrebbe ancora più complicato.

                              Se hai qualche altro indizio o un'intuizione falla sapere .... a volte in questi casi sono proprio le intuizioni a dare una svolta alla dinamica degli eventi :)

                              1 Risposta Ultima Risposta
                              0

                              Ciao! Sembra che tu sia interessato a questa conversazione, ma non hai ancora un account.

                              Stanco di dover scorrere gli stessi post a ogni visita? Quando registri un account, tornerai sempre esattamente dove eri rimasto e potrai scegliere di essere avvisato delle nuove risposte (tramite email o notifica push). Potrai anche salvare segnalibri e votare i post per mostrare il tuo apprezzamento agli altri membri della comunità.

                              Con il tuo contributo, questo post potrebbe essere ancora migliore 💗

                              Registrati Accedi
                              Rispondi
                              • Risposta alla discussione
                              Effettua l'accesso per rispondere
                              • Da Vecchi a Nuovi
                              • Da Nuovi a Vecchi
                              • Più Voti


                              • Accedi

                              • Non hai un account? Registrati

                              • Accedi o registrati per effettuare la ricerca.
                              Powered by NodeBB Contributors
                              • Primo post
                                Ultimo post
                              0
                              • Categorie
                              • Recenti
                              • Tag
                              • Popolare
                              • Utenti
                              • Gruppi