Facendo riferimento a questa discussione:

http://forum.aiutamici.com/yaf_postst71811_pc-infinitamente-lentoLOG-hijack.aspx

Chiedo agli esperti, se mai si degnassero di rispondere, dei chiarimenti in riguardo.

A cosa fa riferimento questa chiave bloccata:

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"


e quest'altra, che nel forum zeusnew, r16 la inserisce sempre nello script CFscript:

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\85.tmp"


Perchè non disinstallare Babylon Pro e OfferBox, portatori di infezioni?

cosa avrei eliminato










ps : ma devi copiare per forza quello che fanno altre persone fdaccc?

credo che appartenga a office

Siamo in discussioni varie fdaccc, posta nellla sezione appropriata, non qui.

Grazie.

---

Sono cosi avanti che quando guardo indietro vedo il futuro.

Mi rimandano di sezione in sezione, posto in Aiutamici Music?

No, fdaccc: va bene questa Sezione.
La voce di cui chiedi si deve a Sophos Anti-Rootkit e NON è affatto un chiaro indice della presenza di malwares.
Non c'è molto in lingua italiana sull'argomento. Una delle poche cose che ho trovato (riguardo a Memsweep2)è QUESTA discussione.
Mentre FM20ENU.DLL è una legittima DLL (di Microsoft Office) targata Microsoft. Puoi averne un'idea leggendo QUESTA pagina Web.

guarda il post precedente il tuo.

Grazie del chiarimento, anche se non condivido con te la veridicità del file 85.tmp, visto che nei log di HJT e Combofix non vi erano segni di Shopos AntiRootkit.
Perchè non disinstallare Babylon Pro e OfferBox, portatori di infezioni?

Babylon Pro è un software a pagamento per fare traduzioni: non so se ci sia un grosso senso a consigliar l'Utente di fare fuori un programma che ha probabilmente pagato e che -di conseguenza- tiene a continuare a usare.
OfferBox è un programma che serve a reperir prezzi scontati. Si tratta di un programma disinstallabile senza particolari problemi, per cui posso solo presumere che si sia scelto di affrontare questo particolare aspetto in un secondo momento (scelta più che legittima, a parer mio).

@fdaccc :
Vediamo se la mia opinione, ti "suona" meglio:

La chiave : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MEMSWEEP2
Appartiene veramente a Sophos Anti-Rootkit
Il file c:\windows\system32\85.tmp viene usato dal programma.

Tale file,(85.tmp) se fai attenzione ai vari log, che vengono postati con Sophos Anti-Rootkit installato, vedrai che cambia.
Alle volte, lo trovi scritto così: 6.temp oppure 4.temp oppure con altri numeri, sempre con estensione .temp.

Ora,l'eliminazione di tale chiave,(MEMSWEEP2) e del suo .tmp possono dipendere da 2 motivi: (ma possono essere anche di più)
1) Non è installato Sophos Anti-Rootkit,(oppure è stato installato, e poi rimosso) quindi, quella chiave non serve.
2)E' possibile, che, (sapendo leggere bene il log), vi sia qualche infezione, che "richiama" il file .temp, e anche in questo caso, si deve eliminare la chiave.

In ogni caso, se dai vari log, emerge che Sophos Anti-Rootkit NON è installato nel pc, quella chiave, per motivi di sicurezza a mio parere, và eliminata.

Non prendere per oro colato la mia opinione.
Mica sono un "esperto".

Scusa fdaccc, ma perchè non chiedi spiegazioni ad r16 del perchè le elimina?
Di sicuro, la sua opinione vale di più della mia.

r16 non se ne è andato,lo HAI fatto andare via con continui interventi di disturbo,mentre cercava di aiutare chi è in difficoltà!idem paolopa e quasi ci siete riusciti pure con shapiro,pure pidue mi sembra che non frequenti più quella sezione.GRAZIE COMPLIMENTI gli altri che non vedo per ora sul forum,mi auguro che siano a trascorrere una bella vacanza