Precedente :: Successivo |
Autore |
Messaggio |
myland Mortale devoto

Registrato: 01/03/07 23:17 Messaggi: 10
|
Inviato: 01 Mar 2007 23:19 Oggetto: log hijackthis |
|
|
Mi si continuava a riavviare il portatile. Ho trovato il ttool (quello che crea un file .exe con tanti numeri, ora non li ricordo); è ancora residente sul mio pc.
Questo è il log, secondo voi cosa devo fare? Grazie in anticipo!
Andrea
Logfile of HijackThis v1.99.1
Scan saved at 22.17.48, on 01/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Corel\Graphics8\programs\MFIndexer.exe
C:\Programmi\HPQ\SHARED\HPQWMI.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Programmi\Microsoft Office\Office\OUTLOOK.EXE
C:\WINDOWS\regedit.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\SpamPal\spampal.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programmi\vmntoolbar\vmntoolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programmi\vmntoolbar\vmntoolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NielsenOnline] C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - Startup: SpamPal.lnk = C:\Programmi\SpamPal\spampal.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Controllo del Calendario di Ulead Photo Express.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\programs\MFIndexer.exe
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O12 - Plugin for .UVR: C:\Programmi\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {96A10D6D-49EB-468E-BB36-A00DFE219147} (PhotoEdit Control) - http://joy.it.lgmobile.com/enjoy/photoeditor/UK/woweditor.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe |
|
Top |
|
 |
Orange Dio maturo

Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 02 Mar 2007 09:18 Oggetto: |
|
|
ciao, myland e benvenuto nel forum
dal log non risulta nulla, a parte che non stai usando nessun firewall...
pero sono in dubbio su questo:
O4 - HKLM\..\Run: [NielsenOnline] C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe (lo conosci questo sito?)
il problema del riavvio potrebbe anche essere causato da qualcos'altro..
prova:
pulsante destro su risorse del computer--> proprietà--> Avanzate,
nella sezione "avvio e ripristino" clicca su "impostazioni"
togli togli la spunta da "riavvia automaticamente"
al primo problema, windows lascerà la schermata blu con un codice di errore, riporta qui quel codice. |
|
Top |
|
 |
myland Mortale devoto

Registrato: 01/03/07 23:17 Messaggi: 10
|
Inviato: 02 Mar 2007 10:08 Oggetto: |
|
|
Ciao Orange, grazie per il benvenuto e per la risposta
Il firewall è integrato nel modem wireless, quindi non dovrebbero esserci problemi... quel programmino l'ha installato mio fratello, è tutto ok.
Stasera a casa provo il suggerimento che mi hai dato. Il mio grosso problema è che adesso ogni volta che accendo lo spyboat vieta a ttool di elimare la voce di registro 9129837.exe
Se non ho capito male è un trojan... se guardo nel registro non trovo quella voce. Lo spyboat (siccome per sbaglio gli ho fatto memorizzare l'azione) continua a respingere la modifia in loop.  |
|
Top |
|
 |
Orange Dio maturo

Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 02 Mar 2007 10:28 Oggetto: |
|
|
allora aspetta, il file 9129837.exe è della famiglia di service32.exe e cioè di rootkit.
scarica questi due tool
della PREVX
di SIMANTEC
Scarica GMER
Decomprimi il programma
Avvialo,portati sul tag "Rootkit"
Clicca su "Scan"
Se individua il processo service32.exe come ***Hidden***
Cliccaci sopra con il tasto destro e seleziona KILL Process
lo Spy Bot lo devi momentaneamente disattivare, perche vieta le modifiche al registro |
|
Top |
|
 |
otrebla900 Comune mortale

Registrato: 02/03/07 10:29 Messaggi: 1
|
Inviato: 02 Mar 2007 11:16 Oggetto: Ciao |
|
|
non sono felice ma ne hai bisogno, hai in virus infilato via posta che per l'esattezza si chiama Wroom e si inocula, dopo il riavvio, creando in file.exe nella cartella sistem32 ,se hai xp e mi pare che sia così, si nasconde grazie alla "signature microsoft" che porta al suo interno, è per questo che l'antivirus non lo rileva, ora calmati, la minaccia è alta ma la cura semplice, il file.exe mette la porta 46 in ascolto ed invia secondo la richiesta file, pw, e tutte le notizie che il tuo aggressore richiede, se fai uno scan.ip vedrai che invii ,a tua insaputa, una emile, e la ricevi anche, dall'indirizzo 121.01.1.1 detto "loopdor" o "back end" al momento non posso dirti perchè non li so' a memoria, gli "oggetto" e le "estensioni" con cui sguazza sul tuo disco fisso, anche perchè sono davvero tante.
La descrizione sommaria è questa: il modo per togliere tutti questi indesiderati è abbastanza facile però devi farlo a mano e non sperare in qualche programmino che ti aiuti perchè non lo fà, per i motivi descritti sù, però puoi iniziare a togliere lo smistatore di posta che osipiti: avviare il sistema in modalità provvisoria entrare come administrator e eliminare: C:\WINDOWS\System32\svchost.exe questi li vedo nel tuo post esono due ma è in seplice doppio avvio dello stesso sembrano sevizi "dell'oste" ma non è il tuo è dell'aggressore, infatti se vai poi a leggerlo vedi le sorprese, il resto te lo posto appena posso perchè e molto lungo.Ma una volta eliminata la talpa che essendo in un file di sitema diventa "propietario" quindi non rilevabile dagli antivirus, a questo punto forsre, forse, possono aiutarti degli antivirus ma non ci credo tanto devi andare a mano, qomunque dopo questa operazione pui cercare il file "SVCHOST" con cui il wrom è entrato e che genere il file svchost.exe e per il momento pui vivere molto meglio. appena posso ti posto il seguito ciao Alberto |
|
Top |
|
 |
myland Mortale devoto

Registrato: 01/03/07 23:17 Messaggi: 10
|
Inviato: 02 Mar 2007 23:25 Oggetto: |
|
|
Non me lo lascia cancellare in nessun modo. Neppure da dos.
Ho cercato di rimuovere i processi attivi e win mi da 50 secondi prima di spegnersi. Al che sono riuscito a rinominarlo... il problema è che mi è andato a farsi benedire tutto il pc. ho reinstallato win, ma i problemi persistono e se ne sono aggiunti di altri (è una cagata, ma per esempio, non riesco più a mettere il theme tipico di win xp)
sono disperato...
ah, ovviamente spybot continua a negare la scrittura al ttool  |
|
Top |
|
 |
Orange Dio maturo

Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 02 Mar 2007 23:38 Oggetto: |
|
|
scusa, ma quali consigli hai seguito???
Citazione: | Ho cercato di rimuovere i processi attivi | QUALI... quelli di svchost.exe??? ma se sono i processi leggittimi del sistema!! |
|
Top |
|
 |
myland Mortale devoto

Registrato: 01/03/07 23:17 Messaggi: 10
|
Inviato: 03 Mar 2007 00:00 Oggetto: |
|
|
Orange, ho seguito i tuoi consigli, provati tutti ma niente... trova anche un processo hidden (l'exe col numero però), ma non me lo fa killare.
Ho provato a seguire il consiglio di rimuovere svchost, ma a quel punto è successo il degenero  |
|
Top |
|
 |
Orange Dio maturo

Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 03 Mar 2007 00:46 Oggetto: |
|
|
riesci a fare il ripristino? PRIMA che hai fatto il casino... altrimenti l'unica soluzione è quella di fare il backup dei dati piu importanti e fare un bel C:/ format........... mi dispiace...
@otrebla900 La prossima volta astieniti a fare dei commenti quando un utente viene già seguito...
Per quanto le operazioni date da otrebla900 siano scorrette non vi è nessun problema nel fatto che un utente ne aiuti altro.
Inoltre è scorretto attaccare l'utente come hai fatto tu - edited by Smjert |
|
Top |
|
 |
myland Mortale devoto

Registrato: 01/03/07 23:17 Messaggi: 10
|
Inviato: 03 Mar 2007 09:20 Oggetto: |
|
|
minch*a che p*rla che sono stato... dar retta ad un pivello
Cmq:
-ieri sera ho fatto il ripristino... + o - è tutto come prima, a parte il theme di win xp che non me lo fa riattivare, ma è il minore dei male
-il ttool tenta ancora di rimuovermi la solita voce
-il tool della symantec dice che non c'è nulla
-il gmer trova come processo hidden c:\windows\9129837.exe, ma non me lo fa killare. Trova anche delle modifiche nelle voci SSDT che hanno in comune il file hide_evr2.sys
Aggiornamento: mi si spento. Le info tecniche dicono:
STOP: 0x0000007F (0x0000000D 0x00000000 0x00000000 0x00000000)
Era questoc he ti serviva?
Credo sia tutto.
Ti ringrazio ancora per la tua pazienza!
Ateriscata frase un po' ... scurrile - n.d. chemicalbit, moderatore |
|
Top |
|
 |
Orange Dio maturo

Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 03 Mar 2007 19:01 Oggetto: |
|
|
myland ha scritto: |
-il gmer trova come processo hidden c:\windows\9129837.exe, ma non me lo fa killare. Trova anche delle modifiche nelle voci SSDT che hanno in comune il file hide_evr2.sys |
allora proviamo con HiJack
per prima cosa copia l?eseguibile di hijackthis in una cartella del disco fisso (non desktop) appositamente dedicata, tipo C\HJT, in modo che il programma possa fare il backup delle voci eventualmente rimosse. Poi apri hijackthis dalla nova cartella, premi ?open the misc tools section?, ?open process manager?, cerchi il processo seguente e lo evidenzi
C:\WINDOWS\9129837.exe
Premi kill process.
poi torna al menu principale con back, premi scan, e con "fix checked" elimina il processo che lo riguarda
Poi, riavvia in modalità provvisoria
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti "
Click Ok
Cerca ed elimina il seguente file:
C:\WINDOWS\9129837.exe
elimina tutti i file temporanei di windows (temp e tmp) >fai così:
start>cerca>tutti i file e cartelle, *.temp; *.tmp
ed elimini tutti quelli trovati, selezionandoli e cancellandoli,
Cancella tutti i file temporanei di IE ( pannello di controllo>opzioni internet>elimina file temporanei (spuntando anche la casella ?elimina tutto il contenuto non in linea?>OK, cancella la cronologia, cancella i cookies,
Svuota il cestino. |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 04 Mar 2007 13:37 Oggetto: |
|
|
Nel caso tu non riesca a rimuovere quel file normalmente scarica Avenger (mettilo sul desktop).
Adesso avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte qui sotto:
Citazione: | files to delete:
C:\WINDOWS\9129837.exe
C:\WINDOWS\hide_evr2.sys
C:\Windows\trust.exe
Registry Keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HIDE_EVR2
HKCU\Software\Microsoft\InetData
registry values to delete:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | ttool |
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente.
Posta il contenuto del log C:\Avenger.txt. |
|
Top |
|
 |
myland Mortale devoto

Registrato: 01/03/07 23:17 Messaggi: 10
|
Inviato: 04 Mar 2007 22:48 Oggetto: |
|
|
Mi hai letto nel pensiero
Stavo giusto tornando nel forum per dire che
-C:\WINDOWS\9129837.exe non lo riuscivo a trovare in nessun modo
-secondo me il problema stava nell'hide_evr2 (che rimuovevo da registro, ma si continuava a ricreare)
...e ho letto la tua risposta anticipatrice. Ho fatto tutto quanto, ti copio il log e ovviamente vi ringrazio ancora per la disponibilità nei miei confronti!
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\InetData
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | ttool
//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gcxpxwin
*******************
Script file located at: \??\C:\WINDOWS\nltkwlcx.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\9129837.exe deleted successfully.
File C:\WINDOWS\hide_evr2.sys deleted successfully.
File C:\Windows\trust.exe not found!
Deletion of file C:\Windows\trust.exe failed!
Could not process line:
C:\Windows\trust.exe
Status: 0xc0000034
Registry key HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2 deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HIDE_EVR2 deleted successfully.
Completed script processing.
*******************
Finished! Terminate. |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 04 Mar 2007 22:50 Oggetto: |
|
|
mmm ho sbagliato qualcosa nella sintassi delle prime due righe.. controlla questo post che ti metto il secondo script da avviare.
Ecco qua, fai la stessa cosa di prima con avenger ma nel box bianco copiaci questo:
Citazione: | registry keys to delete:
HKU\Software\Microsoft\InetData
registry values to delete:
HKU\Software\Microsoft\Windows\CurrentVersion\Run | ttool |
Posta di nuovo il log di avenger. |
|
Top |
|
 |
myland Mortale devoto

Registrato: 01/03/07 23:17 Messaggi: 10
|
Inviato: 04 Mar 2007 23:02 Oggetto: |
|
|
ecco qua
AGGIUNTA: strano, eppure esiste la inetdata e ha dentro le voci k1 e k2 che sono da rimuovere, giusto?
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mqmfuptd
*******************
Script file located at: \??\C:\Documents and Settings\hpjjsiaq.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Registry key HKU\Software\Microsoft\InetData not found!
Deletion of registry key HKU\Software\Microsoft\InetData failed!
Status: 0xc0000034
Could not delete registry value HKU\Software\Microsoft\Windows\CurrentVersion\Run|ttool
Deletion of registry value HKU\Software\Microsoft\Windows\CurrentVersion\Run|ttool failed!
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate. |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 04 Mar 2007 23:11 Oggetto: |
|
|
Sei andato a vedere nel registro se era presente la chiave?
Se sì posta il percorso completo di dove si trova la chiave. |
|
Top |
|
 |
myland Mortale devoto

Registrato: 01/03/07 23:17 Messaggi: 10
|
Inviato: 04 Mar 2007 23:13 Oggetto: |
|
|
HKEY_CURRENT_USER
Software
Microsoft
InetData
Mi pare identica a quello che avevi scritto tu :O
La trovo anche nella sottocartella S-1-5-21-1685406293-756592128-2684521207-500 di HKEY_USERS |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 04 Mar 2007 23:35 Oggetto: |
|
|
A questo punto cancella la chiave InetData dall'editor di registro. |
|
Top |
|
 |
myland Mortale devoto

Registrato: 01/03/07 23:17 Messaggi: 10
|
Inviato: 04 Mar 2007 23:37 Oggetto: |
|
|
fatto! |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 04 Mar 2007 23:40 Oggetto: |
|
|
Come va ora? |
|
Top |
|
 |
|