IDE Controller sconosciuto

oldman50 · March 11, 2009

Da qualche giorno mi ritrovo in gestione periferiche questo IDE Controller con il punto esclamativo giallo.

Se lo disinstallo, al riavvio mi ricompare con un altra sigla, se aggiorno il driver ricevo l'errore " il servizio specicificato non esiste come servizio installato " : qualcuno mi sa dire di che si tratta e come eliminarlo ?

Totocellux · March 11, 2009

.... mmhhhh ....... molto molto molto molto strano.

E la cosa più brutta, è che sto cominciando a pensare che potrebbero anche esserci i presupposti (considerato che ho la certezza che tu non abbia installato alcun nuovo controller) che questo possa essere il tentativo di attivazione di uno dei meccanismi virali di una possibile nuova variante di Conficker aka Downadup aka Kido.

Spero di sbagliarmi, altrimenti il o i team di creatori, che finora sono restati solo allo stato dell'arte, sono veramente ad un passo dalla perfezione nello sviluppo.

Sarebbe troppo lungo spiegare tutti i meccanismi di innesco di tale worm: se te la cavi con l'inglese, ti rimando alla descrizione più completa che ho trovato finora, quella a cura di SRI International:

Conficker

oldman50 · March 12, 2009

Buongiorno Totocellux e grazie innanzitutto per avermi risposto.

Con la lingua inglese me la cavo, ora vado nel link che mi hai indicato e poi

ti riferisco.

megthebest · March 12, 2009

non è che hai installato qualche software di periferiche virtuali cd/dvd (Alcohol, daemon tools) ?

oldman50 · March 12, 2009

A metà febbraio avevo installato alcohol 120% per tentare di montare un' immagine del CD di ripristino di un altro mio pc, ma poi, non essendovi riuscito, lo avevo disinstallato.

Pensi che, nonostatnte ciò, sia rimasta la periferica virtuale?

Comunque, le scansioni con PrevxCsi, PrevxEdge, con i tool Anti-downadup di Bitdefender e F-Secure hanno dato esito negativo per il virus Conficker.

MM · March 12, 2009

Beh potrebbe anche essere una periferica virtuale, anche se... non torna molto...

Comunque disinstallalo e riavvia, se non è vistuale ti chiederà i driver

oldman50 · March 12, 2009

Proprio ora l'ho disinstallato e, dopo il riavvio di Windows, non solo è ancora presente in Gestione Periferiche, ma ha cambiato nome, ora si chiama: ADHB4PU8 IDE Controller !

La ricerca con Google non trova nessun risultato.

Totocellux · March 12, 2009

vorrei rammentarvi che qualsiasi regolare driver di periferica (virtuale o non), mantiene sempre la propria definizione: è scritta all'interno del relativo file .inf, e non cambia

oldman50 ha riferito che l'avvio successivo si ripresenta sempre con una definizione differente.

Alcohol 120% non c'entra nulla, per diversi motivi. Il primo è che il suo driver emula un ctrl SCSI e non IDE, e la sua definizione è

VAX347S SCSI Controller

Edited March 12, 2009 by Totocellux

oldman50 · March 12, 2009

Si, lo confermo.

Ora, dopo dopo un' ulteriore rimozione, ha cambiato di nuovo definizione:

AOCMSPUC IDE Controller

Totocellux · March 12, 2009

purtroppo ormai te lo dò per scontato al 99%: è una variante (ancora sconosciuta) di un malware, possibilmente Conficker, dall'algoritmo in cui riesce a cambiare la definizione del driver.

Se utilizzi un regolare antivirus, potresti anche contattare via e-mail il servizio di ricezione possibili minacce, che ogni Software House Antivirus ha in attività.

Se ci lavorano su, potrebbero evitare ulteriori tentativi di infezione di questa possibile nuova variante.

oldman50 · March 12, 2009

Proteggo il mio PC con Avira Premium Security Suite, attivato con regolare licenza della casa tedesca.

Ho già avuto modo in passato di contattare i loro assistenti per altri problemi, proverò anche questa volta.

Grazie di tutto

Totocellux · March 12, 2009

..... figurati

Facci sapere

oldman50 · March 18, 2009

Dal momento che me lo avete chiesto, ritorno sull'argomento.

Il supporto di Avira, dopo aver avanzato le solite ipotesi più ovvie, quali appunto la possibilità che si tratti di un Rootkit, o di un programma come daemon tools, o addirittura che si tratti di un device senza driver ( ma quale device se cambia definizione ad ogni riavvio!), alla fine hanno gettato la spugna lasciandomi con il mio problema.

Visto che proprio ieri ho rinnovato la loro licenza, speravo di meritare almeno un pò più di attenzione...

A voi è venuta qualche altra idea ?

Totocellux · March 18, 2009

mi farebbe piacere interessarmene, il problema vero è che non avendo la tua macchina sotto mano sarebbero troppe le cose da chiederti e farti fare, che non saprei realmente da dove iniziare.

Proviamo così:

Risorse del Computer -> click dx -> Proprietà -> Gestione Periferiche

a questo punto:

click dx (sulla definizione del controller che ti spunta) -> Proprietà -> Dettagli

e mi fai sapere, se esistono, le esatte definizioni corrispondenti a:

ID istanza periferica

Servizio

Dopodiché:

Start -> Esegui -> regedit -> OK -> Modifica -> Trova

all'interno inserirai la definizione di Servizio che avevi trovato sopra

quindi Trova successivo

Dopo aver trovato il primo riferimento dovresti provare ad intravedere, sul lato dx dell'editor di registro, un valore di stringa tipo il riferimento a un file o cartella da poter identificare sul disco fisso.

Per continuare a cercare i riferimenti successivi premi F3.

oldman50 · March 21, 2009

Innanzitutto grazie per avere ancora la costanza di interessarti al mio problema.

Ecco quanto mi hai chiesto:

ID Istanza Periferica : ACPIPNPA0004&5D18F2DF&0

Servizio : a4huv7tz

La ricerca nel registro trova le seguenti 5 chiavi ( ho effettuato la ricerca con il check in "stringa intera"):

1) HKEY_LOCAL_MACHINESYSTEMControlSet002EnumACPIPNPA0004&5d18f2df&0

Dati:

[HKEY_LOCAL_MACHINESYSTEMControlSet002EnumACPIPNPA0004&5d18f2df&0]

"DeviceDesc"="ASQJLO8A IDE Controller"

"Capabilities"=dword:000000f4

"ConfigFlags"=dword:00000000

"Service"="a4huv7tz"

"Class"="SCSIAdapter"

"ClassGUID"="{4D36E97B-E325-11CE-BFC1-08002BE10318}"

"HardwareID"=hex(7):41,00,43,00,50,00,49,00,5c,00,50,00,4e,00,50,00,41,00,30,

00,30,00,30,00,00,00,2a,00,50,00,4e,00,50,00,41,00,30,00,30,00,30,00,00,00,

00,00

"CompatibleIDs"=hex(7):47,00,45,00,4e,00,5f,00,53,00,43,00,53,00,49,00,41,00,

44,00,41,00,50,00,54,00,45,00,52,00,00,00,00,00

[HKEY_LOCAL_MACHINESYSTEMControlSet002EnumACPIPNPA0004&5d18f2df&0Device Parameters]

[HKEY_LOCAL_MACHINESYSTEMControlSet002EnumACPIPNPA0004&5d18f2df&0LogConf]

"BasicConfigVector"=hex(a):68,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,

00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,01,00,01,00,02,00,00,00,00,01,

01,00,11,00,00,00,10,00,00,00,10,00,00,00,10,00,00,00,00,00,00,00,f0,ff,00,

00,00,00,00,00,00,02,03,00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,00,00,00,00,

00,00,00,00,00,00,00,00,00,00,00,00

2) HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0

Dati:

[HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0]

"DeviceDesc"="ASQJLO8A IDE Controller"

"Capabilities"=dword:000000f4

"ConfigFlags"=dword:00000000

"Service"="a4huv7tz"

"Class"="SCSIAdapter"

"ClassGUID"="{4D36E97B-E325-11CE-BFC1-08002BE10318}"

"HardwareID"=hex(7):41,00,43,00,50,00,49,00,5c,00,50,00,4e,00,50,00,41,00,30,

00,30,00,30,00,00,00,2a,00,50,00,4e,00,50,00,41,00,30,00,30,00,30,00,00,00,

00,00

"CompatibleIDs"=hex(7):47,00,45,00,4e,00,5f,00,53,00,43,00,53,00,49,00,41,00,

44,00,41,00,50,00,54,00,45,00,52,00,00,00,00,00

"Driver"="{4D36E97B-E325-11CE-BFC1-08002BE10318}\0003"

[HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0Device Parameters]

[HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0LogConf]

"BasicConfigVector"=hex(a):68,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,

00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,01,00,01,00,02,00,00,00,00,01,

01,00,11,00,00,00,10,00,00,00,10,00,00,00,10,00,00,00,00,00,00,00,f0,ff,00,

00,00,00,00,00,00,02,03,00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,00,00,00,00,

00,00,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINESYSTEMControlSet003EnumACPIPNPA0004&5d18f2df&0Control]

3) HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesa4huv7tz

Dati:

[HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesa4huv7tz]

"Start"=dword:00000003

"Type"=dword:00000001

"Group"="SCSI miniport"

[HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesa4huv7tzEnum]

"0"="ACPI\PNPA000\4&5d18f2df&0"

"Count"=dword:00000001

"NextInstance"=dword:00000001

"INITSTARTFAILED"=dword:00000001

4) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0

Dati:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0]

"DeviceDesc"="ASQJLO8A IDE Controller"

"Capabilities"=dword:000000f4

"ConfigFlags"=dword:00000000

"Service"="a4huv7tz"

"Class"="SCSIAdapter"

"ClassGUID"="{4D36E97B-E325-11CE-BFC1-08002BE10318}"

"HardwareID"=hex(7):41,00,43,00,50,00,49,00,5c,00,50,00,4e,00,50,00,41,00,30,

00,30,00,30,00,00,00,2a,00,50,00,4e,00,50,00,41,00,30,00,30,00,30,00,00,00,

00,00

"CompatibleIDs"=hex(7):47,00,45,00,4e,00,5f,00,53,00,43,00,53,00,49,00,41,00,

44,00,41,00,50,00,54,00,45,00,52,00,00,00,00,00

"Driver"="{4D36E97B-E325-11CE-BFC1-08002BE10318}\0003"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0Device Parameters]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0LogConf]

"BasicConfigVector"=hex(a):68,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,

00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,01,00,01,00,02,00,00,00,00,01,

01,00,11,00,00,00,10,00,00,00,10,00,00,00,10,00,00,00,00,00,00,00,f0,ff,00,

00,00,00,00,00,00,02,03,00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,00,00,00,00,

00,00,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumACPIPNPA0004&5d18f2df&0Control]

5) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesa4huv7tz

Dati:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesa4huv7tz]

"Start"=dword:00000003

"Type"=dword:00000001

"Group"="SCSI miniport"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesa4huv7tzEnum]

"0"="ACPI\PNPA000\4&5d18f2df&0"

"Count"=dword:00000001

"NextInstance"=dword:00000001

"INITSTARTFAILED"=dword:00000001

Totocellux · March 21, 2009

* scarica l'ultima versione di HijackThis, la v2.0.2 dal sito TrendMicro.

* scarica l'ultima versione trial di MalwareBytes AntiMalware (MBAM) da Download.com

Dopo aver scompattato HiJackThis.zip, estrarrai il file HijackThis.exe, in una cartella sulla root (C:HijackThis) e lo avvierai.

Dopo aver accettato i termini del programma, sceglierai la prima opzione in alto:

Do a system scan and save a logfile

Dopo brevissimo tempo dovrebbe aprirti una finestra dal nome

hijackthis.log

Selezionerai tutto il contenuto e lo posterai nuovamente qui, che ci daremo un'occhiata per proseguire nella disinfezione

Quindi, finchè non ti darò risposta, non fare più nulla se non, avviare l'installazione di MBAM avviando il pacchetto scaricato mbam-setup.exe, avendo cura di selezionare l'opzione di aggiornamento del programma, quando verrà proposta alla fine dell'installazione.

Prima di utilizzarlo pienamente, infatti, dobbiamo attendere il lavoro di fix che faremo successivamente tramite HijackThis.

Comunque i passi da seguire con Malwarebytes, saranno grossomodo questi:

* selezionare Effettua una scansione completa, quindi Scansiona ... a seconda del quantitativo di file, potrebbe metterci anche diverse diecine di minuti.

* una volta completato, click su OK, quindi Mostra i risultati per visualizzarli

* fai attenzione che ogni cosa sia selezionata, quindi clicca su Rimuovi Selezionati.

*a disinfezione completata, verrà aperta una finestra di log, e si verrà avvisati della necessità di riavviare il pc.

* quelle informazioni di log sono comunque automaticamente salvate, quindi dopo aver riavviato, clicca sull'etichetta File di Log nel menù all'interno di MBAM, facendo quindi copia/incolla dell'intero report qui sul forum

oldman50 · March 21, 2009

Questo è il log di Hijack. Nel frattempo Mbam sta effettuando la scansione,

non appena avrò il log lo invio.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:46:29, on 21/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32Ati2evxx.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSsystem32Ati2evxx.exe

C:WINDOWSsystem32spoolsv.exe

C:ProgrammiAviraAvira Premium Security Suitesched.exe

C:WINDOWSExplorer.EXE

C:ProgrammiAviraAvira Premium Security Suiteavguard.exe

C:ProgrammiAPCAPC PowerChute Personal Editionmainserv.exe

C:ProgrammiAviraAvira Premium Security Suiteavesvc.exe

C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe

C:WINDOWSsystem32svchost.exe

C:ProgrammiJavajre6injqs.exe

C:ProgrammiLogMeInx86LogMeIn.exe

C:ProgrammiLogMeInx86LMIGuardian.exe

C:ProgrammiMcAfeeSiteAdvisorMcSACore.exe

C:ProgrammiFile comuniMicrosoft SharedVS7DEBUGMDM.EXE

C:WINDOWSsystem32IoctlSvc.exe

C:WINDOWSsystem32HPHipm11.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSsystem32RUNDLL32.EXE

C:ProgrammiAviraAvira Premium Security Suiteavmailc.exe

C:ProgrammiAviraAvira Premium Security SuiteAVWEBGRD.EXE

G:Rimozione e Protezione MalwareHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = Google

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = MSN.com

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = Live Search

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = Live Search

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = MSN.com

R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = %s - Risultati di Yahoo! Italia Search

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:ProgrammiFile comuniAdobeAcrobatActiveXAcroIEHelperShim.dll

O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:ProgrammiFile comuniMicrosoft SharedWindows LiveWindowsLiveLogin.dll

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:PROGRA~1mcafeesiteadvisormcieplg.dll

O2 - BHO: Java? Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:ProgrammiJavajre6injp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:ProgrammiJavajre6libdeployjqsiejqs_plugin.dll

O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:PROGRA~1mcafeesiteadvisormcieplg.dll

O4 - HKLM..Run: [startupDelayer] "C:Programmi 2 StudiosStartup DelayerStartup Launcher GUI.exe"

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe

O10 - Unknown file in Winsock LSP: c:windowssystem32 wprovau.dll

O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab

O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229038833218

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229038765875

O17 - HKLMSystemCCSServicesTcpip..{ED565B17-7AE4-4DE4-A7CA-AFDA3174C547}: NameServer = 193.12.150.2,212.247.152.2

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:PROGRA~1mcafeesiteadvisormcieplg.dll

O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll

O23 - Service: McAfee Application Installer Cleanup (0038181237418457) (0038181237418457mcinstcleanup) - Unknown owner - C:WINDOWSTEMP

MM · March 21, 2009

A questo indirizzo

HijackThis Logfileauswertung

puoi inserire (copia/incolla) il log e farlo analizzare in automatico

oldman50 · March 21, 2009

L'analisi automatica del log di Hijack consiglia di fixare la seguente voce:

R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = %s - Risultati di Yahoo! Italia Search

ed ho eseguito la cancellazione.

Questo poi è il Log di MBAM:

Malwarebytes' Anti-Malware 1.34

Versione del database: 1881

Windows 5.1.2600 Service Pack 3

21/03/2009 22.14.20

mbam-log-2009-03-21 (22-14-20).txt

Tipo di scansione: Scansione completa (C:|)

Elementi scansionati: 212620

Tempo trascorso: 1 hour(s), 47 minute(s), 30 second(s)

Processi delle memoria infetti: 0

Moduli della memoria infetti: 0

Chiavi di registro infette: 2

Valori di registro infetti: 0

Elementi dato del registro infetti: 3

Cartelle infette: 0

File infetti: 0

Processi delle memoria infetti: