| Autore |
 Discussione  |
|
|
Tyrion
New Member
37 Messaggi |
 Inserito il - 25/01/2008 : 14:44:11
|
Ho provato di tutto, ho letto circa 347 forum e installato svariate migliaia di tools per rimuoverlo ma nulla. É legato al processo lsass ed ho provato a sbloccarlo con unlocker, ma non funziona. Ho provato con combofix, superantispyware ed altri, ma nulla. il file ha dimensione 322KB. Vi posto il log di Hijackthis. Please... HELP!!!
I log vanno postati secondo le regole dl forum, ricordalo la prossima volta, lo trovi qui:
htt*://[www].freefilehosting.net/download/3b384
|
Modificato da - michal in Data 26/01/2008 12:31:45
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 25/01/2008 : 15:27:02
|
esegui la procedura che ti ho scritto sotto  |
Modificato da - Leleago in data 26/01/2008 11:45:58 |
 |
|
|
Tyrion
New Member
37 Messaggi |
Inserito il - 25/01/2008 : 16:22:56
|
Tutto fatto, ti riposto il log di Hijackthis. Purtroppo il file ddccy.dll é ancora lí ed é tornato anche il file ddccy.exe. Tra l'altro nel registro di configurazione ho le seguenti voci che anche se cancellate ritornano:
[HKEY_CLASSES_ROOT\CLSID\{51495809-0D95-4AC6-AD78-7E7F5F54E834}\InprocServer32]
[No-Spam]="C:\\WINDOWS\\system32\\ddccy.dll"
"ThreadingModel"="Both"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51495809-0D95-4AC6-AD78-7E7F5F54E834}\InprocServer32]
[No-Spam]="C:\\WINDOWS\\system32\\ddccy.dll"
"ThreadingModel"="Both"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"DebugOptions"="2048"
"Documents"=""
"DosPrint"="no"
"NetMessage"="no"
"NullPort"="None"
"Programs"="com exe bat pif cmd"
"load"="C:\\WINDOWS\\system32\\ddccy.exe"
"Device"="PDFCreator,winspool,Ne00:"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"DebugOptions"="2048"
"Documents"=""
"DosPrint"="no"
"NetMessage"="no"
"NullPort"="None"
"Programs"="com exe bat pif cmd"
"load"="C:\\WINDOWS\\system32\\ddccy.exe"
ed altre due in cui il riferimento al file é nell'"Authentication packages in esadecimale":
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,43,\
00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,\
73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,64,00,63,00,63,00,79,00,00,\
00,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\
00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\
6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,00,\
00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:000002f4
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00
"enabledcom"="y"
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 25/01/2008 : 16:41:42
|
Avvia il pc in modalità provvisoria:
Per entrare in modalità provvisoria:all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8.
Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
esegui queste scansioni:
htt*://[www].atribune.org/ccount/click.php?id=4
htt*://securityresponse.symantec[.com]/avcenter/FxVMonde.exe
htt*://[www].symantec[.com]/content/en/us/global/removal_tool/threat_writeups/FixVundo.exe
htt*://[www].techsupportforum[.com]/sectools/combofix.exe |
Modificato da - Leleago in data 25/01/2008 16:52:14 |
|
|
| |
Discussione |
|
|
|
DDCCY.DLL impossibile da rimuovere
Forum Bloccato
