grazie x la risposta.
il link Symantec che mi segnali non è il mio caso,
inoltre (come dicevo) non posso ottenere il log di Hijack perché non mi è consentito installare software.
Tuttavia, aggiungo altri dettagli e chiedo consigli:
sono riuscito (dopo aver riavviato e rimanendo offline) a rimuovere Svchost.dll e Svchost.exe ...ho fatto bene ???
Inizialmente credevo che solo Svchost
.DLL fosse dannoso, ma aprendo con editor testuale ho notato che anche
Svchost.EXE (si trovava in C:\WINNT )
aveva gli stessi codici finali decifrabili ossia:
- Codice: Seleziona tutto
R E G I S T R Y T Y P E L I B HKCR
{
NoRemove AppID
{
'%APPID%' = s 'dll'
'dll.DLL'
{
val AppID = s '%APPID%'
}
}
}
HKLM
{
NoRemove SOFTWARE
{
NoRemove Microsoft
{
NoRemove Windows
{
NoRemove CurrentVersion
{
NoRemove Explorer
{
NoRemove 'Browser Helper Objects'
{
ForceRemove {5A5B6916-ED71-4531-8018-E792DD44156E} = s ''
}
}
}
}
}
NoRemove sr
{
sr
{
val Enable = d '1'
}
}
}
}
...................
..................
IDllBhoW dll 1.0 Type LibraryWW DllBho ClassWW IDllBho InterfaceW >
Created by MIDL version 6.00.0361 at Fri Apr 01 15:53:58 2005
jDMBWW i WW ÿÿÿÿ0 D H L Ø÷ 4 V S _ V E R S
I O N _ I N F O ½ïþ ? €
S t r i n g F i l e I n f o \ 0 4 1 9 0 4 e 3 J C o m p a n y
N a m e T O D O : < C o m p a n y n a m e > Z F i l e D e s
c r i p t i o n T O D O : < F i l e d e s c r i p t i o n > 0
F i l e V e r s i o n 1 . 0 . 0 . 1 „ 0 L e g a l C o p y r i g h
t T O D O : ( c ) < C o m p a n y n a m e > . A l l r i g h t
s r e s e r v e d . 0 I n t e r n a l N a m e d l l . d l l 8
O r i g i n a l F i l e n a m e d l l . d l l J P r o d u c t N a
m e T O D O : < P r o d u c t n a m e > 4 P r o d u c t V e
r s i o n 1 . 0 . 0 . 1 D V a r F i l e I n f o $ T r a n s
l a t i o n ã ^ È] )^ Ô] 6^
Ü] @^ ä] M^ ì] Z^ ô]
f^ ü] r^ ^ }^ ^ ˆ^
”^ ¢^ ²^ À^ ¡ € Ð^ â^ ò^ _ _
,_ KERNEL32.DLL ADVAPI32.dll ole32.dll OLEAUT32.dll RASAPI32.dll
SHELL32.dll SHLWAPI.dll urlmon.dll USER32.dll WININET.dll LoadLibraryA
GetProcAddress RegCloseKey CoTaskMemFree RasEnumDevicesA
ShellExecuteA PathFindExtensionA URLDownloadToCacheFileA CharNextA
InternetGetConnectedState fDMB ¢_ p_ „_ ˜_ @@ À
G `G ª_ º_ Ì_ Ô_ æ_ dll.dll DllCanUnloadNow
DllGetClassObject DllMain DllRegisterServer DllUnregisterServer
Per quanto riguiarda, poi, le
Chiavi di registro vi segnalo gli screenshots
in
HKEY_CLASSES_ROOT:
1... HKEY_CLASSES_ROOT\CLSID\{5A5B6916-ED71-4531-8018-E792DD44156E}\
InprocServer32
e HKEY_CLASSES_ROOT\CLSID\{5A5B6916-ED71-4531-8018-E792DD44156E}\
ProgID
2... HKEY_CLASSES_ROOT\TypeLib\{4145C395-632A-4025-88EA-F1AA0479746E}\1.0\0\
win32
in
HKEY_LOCAL_MACHINE identiche chiavi come punti 1) e 2) ...per la precisione:
1... HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5A5B6916-ED71-4531-8018-E792DD44156E}\InprocServer32
2... HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4145C395-632A-4025-88EA-F1AA0479746E}\1.0\0\win32
devo rimuovere tutta la chiave {5A5B6916-ED71-4531-8018-E792DD44156E} etc etc
oppure solo le sottochiavi ?
o soltanto i valori relativi a Svchost.dll ?