Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Chiarimenti-RISOLTO- Opzioni
fdaccc
Inviato: Saturday, August 21, 2010 1:27:43 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
Facendo riferimento a questa discussione:

http://forum.aiutamici.com/yaf_postst71811_pc-infinitamente-lentoLOG-hijack.aspx

Chiedo agli esperti, se mai si degnassero di rispondere, dei chiarimenti in riguardo.

A cosa fa riferimento questa chiave bloccata:

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"


e quest'altra, che nel forum zeusnew, r16 la inserisce sempre nello script CFscript:

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\85.tmp"


Perchè non disinstallare Babylon Pro e OfferBox, portatori di infezioni?

Sponsor
Inviato: Saturday, August 21, 2010 1:27:43 PM

 
thepiratebay
Inviato: Saturday, August 21, 2010 1:45:46 PM
Rank: AiutAmico

Iscritto dal : 12/27/2008
Posts: 2,018
cosa avrei eliminato


Code:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.it

Code:
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - (no file)

Code:
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll

Code:
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll

Code:
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)

Code:
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)



ps : ma devi copiare per forza quello che fanno altre persone fdaccc?

Commenta:
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
credo che appartenga a office Think
fdaccc
Inviato: Saturday, August 21, 2010 2:03:26 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
85.tmp mi sembra un file sospetto, solo per il nome, se poi guardi la posizione..
dead
Inviato: Saturday, August 21, 2010 2:11:17 PM

Rank: AiutAmico

Iscritto dal : 9/20/2004
Posts: 1,597
Siamo in discussioni varie fdaccc, posta nellla sezione appropriata, non qui.

Grazie.


Sono cosi avanti che quando guardo indietro vedo il futuro.
triskell
Inviato: Saturday, August 21, 2010 2:16:17 PM

Rank: AiutAmico

Iscritto dal : 8/9/2009
Posts: 195
dead ha scritto:
Siamo in discussioni varie fdaccc, posta nellla sezione appropriata, non qui.Grazie.

Il fatto è che hanno indirizzato fdaccc proprio qui.....per cui ha ragione lui.
fdaccc
Inviato: Saturday, August 21, 2010 2:16:52 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
Mi rimandano di sezione in sezione, posto in Aiutamici Music?
kobold
Inviato: Saturday, August 21, 2010 2:19:39 PM
Rank: AiutAmico

Iscritto dal : 7/2/2010
Posts: 483
fdaccc, penso proprio di sì. pare anche a me che ti stiano un po' sbatacchiando.
monsee
Inviato: Saturday, August 21, 2010 2:28:36 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
No, fdaccc: va bene questa Sezione.
La voce di cui chiedi si deve a Sophos Anti-Rootkit e NON è affatto un chiaro indice della presenza di malwares.
Non c'è molto in lingua italiana sull'argomento. Una delle poche cose che ho trovato (riguardo a Memsweep2)è QUESTA discussione.
Mentre FM20ENU.DLL è una legittima DLL (di Microsoft Office) targata Microsoft. Puoi averne un'idea leggendo QUESTA pagina Web.
fdaccc
Inviato: Saturday, August 21, 2010 2:28:52 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
già kobold.

Si fa vivo qualcuno? :)
kobold
Inviato: Saturday, August 21, 2010 2:29:50 PM
Rank: AiutAmico

Iscritto dal : 7/2/2010
Posts: 483
guarda il post precedente il tuo.
monsee
Inviato: Saturday, August 21, 2010 2:29:57 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Pazienza, fdaccc: ricordati che "rispondere è cortesia" (non "obbligo"). Inoltre, almeno per metà, t'avevo già risposto.
fdaccc
Inviato: Saturday, August 21, 2010 2:32:27 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
Grazie del chiarimento, anche se non condivido con te la veridicità del file 85.tmp, visto che nei log di HJT e Combofix non vi erano segni di Shopos AntiRootkit.
Perchè non disinstallare Babylon Pro e OfferBox, portatori di infezioni?
thepiratebay
Inviato: Saturday, August 21, 2010 2:34:38 PM
Rank: AiutAmico

Iscritto dal : 12/27/2008
Posts: 2,018
Commenta:
Perchè non disinstallare Babylon Pro e OfferBox, portatori di infezioni?


risolviamo subito ubuntu Think


ciao :-)
monsee
Inviato: Saturday, August 21, 2010 2:45:59 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
fdaccc ha scritto:
Perchè non disinstallare Babylon Pro e OfferBox, portatori di infezioni?

Babylon Pro è un software a pagamento per fare traduzioni: non so se ci sia un grosso senso a consigliar l'Utente di fare fuori un programma che ha probabilmente pagato e che -di conseguenza- tiene a continuare a usare.
OfferBox è un programma che serve a reperir prezzi scontati. Si tratta di un programma disinstallabile senza particolari problemi, per cui posso solo presumere che si sia scelto di affrontare questo particolare aspetto in un secondo momento (scelta più che legittima, a parer mio).
fdaccc
Inviato: Saturday, August 21, 2010 2:59:48 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
Riesci ad arrampicarti sugli specchi anche quando sei in un vicolo cieco, ti ammiro :)
kyron
Inviato: Saturday, August 21, 2010 3:52:41 PM
Rank: AiutAmico

Iscritto dal : 12/28/2009
Posts: 234
@fdaccc :
Vediamo se la mia opinione, ti "suona" meglio:

La chiave : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MEMSWEEP2
Appartiene veramente a Sophos Anti-Rootkit
Il file c:\windows\system32\85.tmp viene usato dal programma.

Tale file,(85.tmp) se fai attenzione ai vari log, che vengono postati con Sophos Anti-Rootkit installato, vedrai che cambia.
Alle volte, lo trovi scritto così: 6.temp oppure 4.temp oppure con altri numeri, sempre con estensione .temp.

Ora,l'eliminazione di tale chiave,(MEMSWEEP2) e del suo .tmp possono dipendere da 2 motivi: (ma possono essere anche di più)
1) Non è installato Sophos Anti-Rootkit,(oppure è stato installato, e poi rimosso) quindi, quella chiave non serve.
2)E' possibile, che, (sapendo leggere bene il log), vi sia qualche infezione, che "richiama" il file .temp, e anche in questo caso, si deve eliminare la chiave.

In ogni caso, se dai vari log, emerge che Sophos Anti-Rootkit NON è installato nel pc, quella chiave, per motivi di sicurezza a mio parere, và eliminata.

Non prendere per oro colato la mia opinione.
Mica sono un "esperto".

Scusa fdaccc, ma perchè non chiedi spiegazioni ad r16 del perchè le elimina?
Di sicuro, la sua opinione vale di più della mia.
fdaccc
Inviato: Saturday, August 21, 2010 3:55:33 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
r16?
No, se ne è andato, e di andare sul "suo" forum proprio non mi va.

Grazie Kyron, del tuo parere :)
tamagon
Inviato: Saturday, August 21, 2010 4:27:55 PM

Rank: AiutAmico

Iscritto dal : 3/6/2009
Posts: 2,913
r16 non se ne è andato,lo HAI fatto andare via con continui interventi di disturbo,mentre cercava di aiutare chi è in difficoltà!idem paolopa e quasi ci siete riusciti pure con shapiro,pure pidue mi sembra che non frequenti più quella sezione.GRAZIE COMPLIMENTI Applause gli altri che non vedo per ora sul forum,mi auguro che siano a trascorrere una bella vacanza Dancing
kobold
Inviato: Saturday, August 21, 2010 4:35:09 PM
Rank: AiutAmico

Iscritto dal : 7/2/2010
Posts: 483
@tamagon. non dare a fdaccc troppe responsabilità.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.