Olimpo Informatico

[FDACCC]

Salve a tutti, ho dei dubbi riguardo Combofix, spero di scioglierli presto con il vostro prezioso aiuto.

1) Come ci si comporta quando ci sono delle chiavi bloccate?
Sono tutte maligne?
Come si fa ad eliminarle, con uno script?
Esiste un database da consultare?
Altrimenti, come procedere?

2)Combofix si puo' usare in modalità provvisoria?

3) Lo script con Combofix si puo' usare in modalità provvisoria?

O per le domande 2 e 3 è meglio la modalità normale?
In caso non si riuscisse ad accedere al sistema in modalità normale?

4) Se ho rinominato Combofix in fase di Download, posso ugualmente eseguire lo script?


Per esempio, sapete analizzare in breve le parti essenziali, alcune diciture particolari -tipo Findem Report e altre-?

In attesa di vostre risposte, vi auguro una buona serata.
Un saluto speciale a Bdoriano e R16, che seguo da tanto tempo nelle discussioni di questo forum.
Grazie in anticipo a tutti

[bdoriano]

Ciao FDACCC,

1. non esiste un database consultabile online... per conoscere tutti i comandi utilizzabili con Combofix è necessario frequentare un "corso" presso uno dei siti autorizzati. (Bleeping Computer, per esempio)
   Proprio per espressa volontà dell'autore, è vietato divulgare il significato dei comandi o delle sezioni del report in pubblico.
   
   
2. si, in casi estremi si può utilizzare anche in modalità provvisoria. Quando, appunto, avviando in modalità normale non viene consentita la scansione da eventuali malware presenti.
   
   
3. vedi risposta 2)
   
   
4. Si, senza problemi. Una volta ripulito il pc, per disinstallare Combofix, conviene rinominarlo con il suo nome reale.

[FDACCC]

Grazie
Quindi mi consigli -ti posso dare del tu?- di andare sul sito BleepingComputer.com e chiedere espressamente di assistermi al fine di imparare ad interpretare il Log di Combofix?
O, alternativamente, in qualche modo posso procedere?
Grazie

[chemicalbit]

Se si tratta di ripulire un tuo PC, apri una discussione qui in Pronto Soccorso Virus, e fatti assistere.

[bdoriano]

Riuscire a entrare nella scuola di Combofix (e anche di molti altri tool) è una bella impresa.
Requisito indispensabile, un'ottima conoscenza della lingua inglese (almeno scritta).
Oltre a una grandissima pazienza. Quando riesci a entrare nello staff studentesco, si parte a imparare nei minimi dettagli l'utilizzo di Hijackthis e dei suoi log.
Poi, si passa ad altro... prima di arrivare a Combofix c'è parecchia strada da fare.

Consigli? Comincia a osservare attentamente i vari casi trattati nei forum di aiuto rimozione virus, giusto per farti un'idea di come agire in presenza di malware.
Non è strettamente necessario utilizzare Combofix fin da subito.

[FDACCC]

Ciao chemical il PC infetto non è il mio, ne' quello di amici miei.
Era solo per comprendere un po' di cosucce, tutto qui.

Bdoriano, Grazie degli utili consigli
I log di Hijackthis li so già analizzare.
Ma per la bonifica, oltre a HJT e Combofix -senza tralasciare Malwarebytes- ci sono altri tool di cui bisogna saper interpretare il log?

Grazie a tutti e due intanto

[chemicalbit]

Più programmi, metodi e possibilità si conoscono, meglio è.

Quanto al PC del tuo amico, fai iscrivere il tuo amico all'Olimpo Informatico e fagli postare in Pronto Soccorso Virus.

Oppure se non ha un PC che si possa collegare ad Internet a casusa del virus, o se comunque lo ritieni meglio, fai tu da tramite, e aprilo per conto suo.

[FDACCC]

Ciao Chemical, per il momento nessuno che conosco è infetto.
Cerchero' di seguire le dritte qui e su Bleeping Computer, grazie ancora

[chemicalbit]

Ops, scusa, avevo letto male.

allora diciamo: i computer che vuoi controllare per essere sicuro che non lo siano.



p.s.

Se vuoi -e non l'hai già fatto- fai un salto Al caffe' dell'Olimpo a presentarti agli utenti del forum.

[FDACCC]

Fatto.
Grazie di cuore, saluti

[bdoriano]

[FDACCC]

Riesumo questa discussione, al fine di non crearne altre, confusionarie.

Ciao ragazzi, avrei alcuni quesiti da porvi, sperando nelle vostre conoscenze tecniche, molto più approfondite delle mie.
1. L'MBR risiede solamente nella partizione dove è installato Windows?
2. Se ci sono due Windows (XP, Seven) in due distinte partizioni, si avranno 2 MBR?
3. I dischi esterni, chiavette USB hanno MBR?
4. E I dischi esterni, chiavette USB con Linux hanno MBR?
5. Linux e Windows in dual Boot, hanno un MBR a testa?
6. Combofix a volte analizza l'MBR, altre volte no; vi risulta? Perche' si comporta cosi?
7. Quali e quanti Tool integra all'interno di se Combofix?
8. Se c'è MBR infetto, c'è per forza uno o più Rootkit?
9. I Rootkit si insediano solamente nell'MBR?
10. Combofix visualizza, a fine Log, le chiavi bloccate. Sono sempre pericolose, esse?
Quando vanno eliminate, e quando no?
Se volete, ma soprattutto potete, portate esempo esplicativi.

Grazie, Ciao!
P.S. Buone feste a tutti!

[bdoriano]

Ciao FDACCC,

risposte veloci...

1. No. L'MBR è indipendente da Windows.
2. Ni. Ci sono tanti MBR quanti dischi fisici sono presenti. (da non confondere con le partizioni presenti su un disco)
3. i dischi esterni hanno l'MBR... non mi sono mai posto il problema di verificarlo sulle chiavette USB, che dovrebbero essere gestite in modo diverso... appena ho un attimo di tempo controllo e aggiorno.
4. vedi risposte 1 e 2
5. No. 1 disco = 1 MBR (vedi risposte 1 e 2)
6. dipende, se riconosce la presenza di probabili MBR rootkit.
7. tanti... e non è dato saperne il numero esatto.
8. Di varianti MBR rootkit ne esistono diverse.
9. No. Esistono rootkit che non infettano l'MBR ma si insediano nel pc utilizzando altri metodi.
10. No, non tutte le chiavi bloccate sono da considerare pericolose. Per esempio, alcune protezioni di giochi "bloccano" le chiavi che creano per evitarne manipolazioni. E' consigliabile, prima di sbloccare le chiavi riconosciute come bloccate, verificare se fanno parte di virus o di programmi legittimi.
In questo caso, è difficile fare esempi pratici. Ogni log è un caso da valutare a parte.

Prego, ciao!

PS: buone feste anche da parte mia.

[FDACCC]

Grazie della risposta esaustiva.
Avevo ancora un paio di quesiti.
1. Le chiavi bloccate, si eliminano diversamente da un SO con XP/Vista e Seven?
2. Come si fa a Reimpostare IE e FF? Una volta avevo letto una tua guida
3. In Vista per eseguire certi programmi bisogna fare tasto destro esegui come Admin.. Anche io 7?

Grazie!
P.S. A breve posto un po di chiavi bloccate, cosi mi sai dare una mano.
Altrimenti, da solo, non ci cavo niente

Ciao Doriano, e grazie ancora!

[R16]

[FDACCC]

Caro il "mio" R16,
una mano me la dai tu? Grazie.
No, non sono le chiavi che pensi tu.
Io sono ben registrato, e non applico i suggerimenti tuoi in altri forum.

Ecco qui le chiavi bloccate:
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

SO: Microsoft Windows XP Professional

[R16]

[FDACCC]

In vari forum, tu stesso fai seguire questa procedura (anche questo, mi pare):
Hijackthis
Malwarebytes
Combofix

E se Combofix trova delle chiavi bloccate, e tu le fai eliminare, non hai bisogno ne di log di SystemScan, ne di log di OTL; a meno che tu non sia un indovino.
Il tipo di SO mi pare di avertelo indicato.
Vuoi avere il Log? Eccolo:
ComboFix 10-06-24.03 - HP_Administrator 06/28/2010 17:02:44.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.2046.1647 [GMT -4:00]
Running from: c:\documents and settings\HP_Administrator\My Documents\my downloads\ComboFix.exe
AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton AntiVirus *enabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\HP_Administrator\Local Settings\Application Data\Windows Server
c:\documents and settings\HP_Administrator\Local Settings\Application Data\Windows Server\flags.ini
c:\documents and settings\HP_Administrator\Local Settings\Application Data\Windows Server\uses32.dat
C:\feed.txt
c:\windows\wiaservb.log
c:\windows\xpsp1hfm.log
D:\Autorun.inf

Infected copy of c:\windows\system32\drivers\GAGP30KX.SYS was found and disinfected
Restored copy from - Kitty had a snack :p
.
((((((((((((((((((((((((( Files Created from 2010-05-28 to 2010-06-28 )))))))))))))))))))))))))))))))
.

2010-06-21 23:28 . 2010-06-21 23:28 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-06-21 23:21 . 2010-06-21 23:21 -------- d-sh--w- c:\documents and settings\HP_Administrator\PrivacIE
2010-06-21 23:19 . 2010-06-21 23:19 -------- d-sh--w- c:\documents and settings\HP_Administrator\IETldCache
2010-06-21 23:15 . 2010-06-21 23:16 -------- dc-h--w- c:\windows\ie8
2010-06-21 23:04 . 2010-06-21 23:04 61440 ----a-w- c:\documents and settings\HP_Administrator\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-48dbc36f-n\decora-sse.dll
2010-06-21 23:04 . 2010-06-21 23:04 503808 ----a-w- c:\documents and settings\HP_Administrator\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-7c98b7c7-n\msvcp71.dll
2010-06-21 23:04 . 2010-06-21 23:04 499712 ----a-w- c:\documents and settings\HP_Administrator\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-7c98b7c7-n\jmc.dll
2010-06-21 23:04 . 2010-06-21 23:04 12800 ----a-w- c:\documents and settings\HP_Administrator\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-48dbc36f-n\decora-d3d.dll
2010-06-21 23:04 . 2010-06-21 23:04 348160 ----a-w- c:\documents and settings\HP_Administrator\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-7c98b7c7-n\msvcr71.dll
2010-06-21 23:04 . 2010-04-12 21:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-06-21 21:35 . 2010-06-28 21:00 182 ----a-w- c:\windows\system\hpsysdrv.DAT

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-28 04:58 . 2006-10-02 02:07 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-06-21 23:06 . 2006-06-28 07:40 -------- d-----w- c:\program files\Common Files\Java
2010-06-21 23:04 . 2006-06-28 07:40 -------- d-----w- c:\program files\Java
2010-06-21 22:52 . 2006-06-28 09:19 -------- d-----w- c:\program files\Quicken
2010-05-31 20:29 . 2006-06-28 09:06 88856 ----a-w- c:\documents and settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-17 23:50 . 2007-01-17 01:06 -------- d-----w- c:\program files\Common Files\Adobe
2010-05-14 00:19 . 2009-01-01 23:40 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-29 19:39 . 2009-01-01 23:40 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 19:39 . 2009-01-01 23:40 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-09-04 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-02-21 143360]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-31 7634944]
"nwiz"="nwiz.exe" [2006-10-31 1622016]
"RTHDCPL"="RTHDCPL.EXE" [2006-01-12 15961088]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"HPBootOp"="c:\program files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2005-11-10 249856]
"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2004-06-26 172032]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2008-10-17 51048]
"Verizon_McciTrayApp"="c:\program files\Verizon\McciTrayApp.exe" [2010-03-17 1565696]
"VerizonServicepoint.exe"="c:\program files\Verizon\VSP\VerizonServicepoint.exe" [2009-03-12 2303216]
"Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 517768]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-03-06 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"RunNarrator"="Narrator.exe" [2004-08-10 53760]
"SWHelper"="c:\windows\system32\Macromed\Shockwave 10\PostUpdate.exe" [2010-06-24 53248]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]
@="FSFilter Activity Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Updates from HP\\9972322\\Program\\Updates from HP.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\DISC\\DISCover.exe"=
"c:\\Program Files\\DISC\\DiscStreamHub.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1008000.029\SymEFA.sys [2/2/2010 11:44 PM 310320]
R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\NIS\1008000.029\BHDrvx86.sys [2/2/2010 11:44 PM 259632]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NIS\1008000.029\cchpx86.sys [2/2/2010 11:44 PM 482432]
R1 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100625.001\IDSXpx86.sys [6/25/2010 10:56 PM 331640]
R2 Norton Internet Security;Norton Internet Security;c:\program files\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe [2/2/2010 11:44 PM 117640]
R2 NProtectService;Norton UnErase Protection;c:\progra~1\NORTON~1\NORTON~1\NPROTECT.EXE [11/3/2005 11:08 PM 95832]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [5/26/2010 4:00 AM 102448]
.
Contents of the 'Scheduled Tasks' folder

2009-01-26 c:\windows\Tasks\Norton SystemWorks One Button Checkup.job
- c:\program files\Norton SystemWorks Basic Edition\OBC.exe [2007-09-18 13:22]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://wapp.verizon.net/bookmarks/bmredir.asp?region=all&bw=fiber&cd=7.0MSN&bm=ms_home
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=EN_US&c=Q106&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=EN_US&c=Q106&bd=pavilion&pf=desktop
uInternet Connection Wizard,ShellNext = hxxp://register.hp.com/servlet/WebReg.servlets.ProdReg1Servlet?appID=java_wreg_wreg_genpg&prodOS=029&gwCountry=US&language=en&PURCH_DT_MONTH=06&PURCH_DT_DAY=28&PURCH_DT_YEAR=2006&PROD_SERIAL_ID=MXK609094V&application=305&modelID=ER904AA&LF=blue
uInternet Settings,ProxyServer = http=127.0.0.1:5555
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
Trusted Zone: trymedia.com
.
- - - - ORPHANS REMOVED - - - -

AddRemove-VZBB - c:\program files\VZBB Toolbar\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-28 17:13
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]
"ImagePath"="\"c:\program files\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files\Norton Internet Security\Engine\16.8.0.41\diMaster.dll\" /prefetch:1"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Completion time: 2010-06-28 17:15:20
ComboFix-quarantined-files.txt 2010-06-28 21:15

Pre-Run: 217,437,270,016 bytes free
Post-Run: 221,885,095,936 bytes free

- - End Of File - - 3D39933DD6AE377DC327A445BFD225B7


P.S. Qualcuno sa se esiste un Database di chiavi di registro, per capire la loro funzione, anche genericamente, o è "file nascosto"?

[FDACCC]

@Doriano:

1. Le chiavi bloccate, si eliminano diversamente da un SO con XP/Vista e Seven?
2. Come si fa a Reimpostare IE e FF? Una volta avevo letto una tua guida Smile
3. In Vista per eseguire certi programmi bisogna fare tasto destro esegui come Admin.. Anche io 7?

Grazie del tempo che mi dedichi
Ciao!

[R16]