PDA

Visualizza versione completa : Armada_cleaner


elena.gioia
18-09-2007, 16.15.17
Sto litigando da giorni con un Pc che ogni tanto si riavvia... nel visualizzatore eventi di sistema, ogni volta che capita mi segnala errore 7026 e nello specifico mi dice:
All'avvio non stato possibile caricare i seguenti driver:
Armada_Cleaner
Ho trovato qualche riferimento su internet che collega questo nome a Linkoptimizer o Gromozon, ma le scansioni con i tool di rimozione di queste brutte bestie mi danno esito negativo.
Girando nel registro di sistema ho trovato Armada Cleaner, solo che non riesco in nessun modo ad eliminare la chiave. Presumo che il motivo per cui non me la fa eliminare sia la posiszione:
HKLM\SYSTEM\CONTROL SET 001\ ENUM\ROOT\LEGACY_ARMADA_CLEANER

Vi posto anche il log di HijackThis:


Logfile of HijackThis v1.99.1
Scan saved at 15.33.57, on 18/09/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\Prevx2\PXAgent.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\VTTimer.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Cobian Backup 7\CobBU.exe
C:\Programmi\Prevx2\PXConsole.exe
C:\Documents and Settings\lavorint0139\Desktop\Lav HD.exe
C:\Programmi\Cobian Backup 7\cobui.exe
C:\DOCUME~1\LAVORI~1\IMPOST~1\Temp\7zS8.tmp\winvnc .exe
C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
C:\WINNT\system32\wuauclt.exe
C:\Progetti\Sysalt_BRE\sysalt.exe
C:\Documents and Settings\lavorint0139\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
F2 - REG:system.ini: UserInit=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Cobian Backup 7] "C:\Programmi\Cobian Backup 7\CobBU.exe"
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx2\PXConsole.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O20 - AppInit_DLLs:
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PREVXAgent - Prevx - C:\Programmi\Prevx2\PXAgent.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe


AIUTO!!!!!!!!!!!!!11 :wall:

leofelix
22-09-2007, 05.19.11
ciao
a prima vista la voce che non mi piace affatto questa
"O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon"

sicura che sia parte del sistema o di qualche software che hai installato te?

Intanto per rimuovere quella voce di registro che hai segnalato tenterei col gratuito RegAssassin

http://www.malwarebytes.org/regassassin.php

farei quindi una scansione col Gmer per ricercare ed eliminare rootkit eventualmente presenti, lo trovi qui:


http://www.gmer.net/gmer.zip

quando effettui la scansione ricorda che solo le voci rosse sono quelle considerate infette.

un manuale d'uso del Gmer lo trovi qui:

http://www.pcalsicuro.com/main/guida-a-gmer/


in ogni caso effettuerei anche una scansione col SuperAntiSpyware 1.9 free

http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe


molto valido come stermina "bacarozzi" a mio avviso.

Spero di esserti stato di aiuto.

In bocca al lupo e buon fine settimana

PS attendo news da parte tua, positive mi auguro:)