RISOLTO Messaggio di errore Regsvr

[Anto_Satriani90]

Salve a tutti , come da titolo, ogni volta che accendo il pc mi compare un messaggio di errore di regsvr con il seguente testo "Per registrare un modulo è necessario specificare il nome di un file binario"......Questo messaggio è comparso qualche giorno fà in seguito ad un'infezione da virus che sono riuscito a debellare , ma l'antivirus mi aveva bloccato esattamente il file regsvr32......In seguito ho fatto una sfc /scannow da prompt dei comandi come amministrato per ripristinare eventuali file corrotti o mancanti tramite la dllcache, ma esaminando il file report sfc non ho trovato dll mancanti......Nonostante tutto ogni volta che eseguo l'avvio del pc mi dà sempre il solito messaggio d'errore, come posso risolvere questo problema???....:D :D...grazie in anticipo per la risposta....:) :)

 

[tecnico24]

Ciao.
Usa OTL
http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html
Posta i due log.

 

[Anto_Satriani90]

Ecco i log otl :
Wikisend: free file sharing service
qui extrs:
Wikisend: free file sharing service

 

[tecnico24]

Apri OTL.
Sotto "custom scans fixes" incolla questo codice

:otl
O4 - HKU\S-1-5-21-2323215499-2147277865-3839357135-1001..\Run: [AGCGWORKS] C:\Windows\SysWOW64\regsvr32.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-2323215499-2147277865-3839357135-1001..\Run: [Ikkfsoft] C:\Windows\SysWow64\regsvr32.exe (Microsoft Corporation)
[2015/01/27 17:34:58 | 000,000,000 | ---D | C] -- C:\Users\Anto_Satriani90\AppData\Local\Ikkfsoft
[2015/01/27 17:34:45 | 000,000,000 | ---D | C] -- C:\Users\Anto_Satriani90\AppData\Local\Ifsjsoft
[2014/10/12 16:55:59 | 000,000,000 | ---D | M] -- C:\Users\Anto_Satriani90\AppData\Roaming\0F1L1I1P0H1L1E1E1F

:commands
[emptytemp]

clicca in alto su RUN FIX
aspetta il riavvio del pc
posta il log ottenuto e verifica se riappare.

 

[Anto_Satriani90]

Grazie mille, il messaggio d'errore non compare più e questo è il log:
Wikisend: free file sharing service
Cmq ero infetto vero??.....:)

 

[tecnico24]

Si , rimasugli di infezione legate a regsvr.
Apri OTL ed eliminalo:clicca su cleanup , il pc si riavvierà da solo.

 

[Anto_Satriani90]

Un ultima domanda, oggi dopo i log postati ieri l'antivirus ha rilevato un win32/DH{fyB8ZA} ,l'antivirus l'ha messo in quarantena e volevo sapere se con la procedura di oggi è stato eliminato anche questo virus??.....No vero??

 

[tecnico24]

Se è stato spostato in quarantena e non ti da problemi stai tranquillo.
Bisogna vedere a quale file fa riferimento l'antivirus.

 

[sid1]

[h=2]Messaggio di errore Regsvr[/h]forse stesso problema..aiuto!
LOG OTL
Wikisend: free file sharing service OTL.Txt
EXTRAS
Wikisend: free file sharing service

 

[tecnico24]

Ciao sid1
incolla questo codice in OTL seguito da RUN FIX

:otl
O4 - HKU\S-1-5-21-3596388876-1225900966-66927537-1002..\Run: [Uhpmedia] C:\WINDOWS\SysWow64\regsvr32.exe (Microsoft Corporation)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6CF07487-D5B9-4DBC-BC77-A3FFABDC6873}: NameServer = 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8718928D-CBEB-45EA-A621-800A9249001D}: NameServer = 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9AAC2971-BDAC-4E72-8AEA-6760A2BF8651}: NameServer = 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{5326FF6A-C68A-4D00-8297-ADBA63E777A4}: NameServer = 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{62671279-9FA6-4369-93ED-5B0AF10F128C}: NameServer = 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8
[2015/03/17 09.27.17 | 000,000,000 | ---D | C] -- C:\Users\utente\AppData\Local\Uhpmedia
[2015/03/17 09.27.03 | 000,000,000 | ---D | C] -- C:\Users\utente\AppData\Local\Akworks
@Alternate Data Stream - 1097 bytes -> C:\Users\utente\AppData\Local\Temp:EDCGWCl2MNXS75D1YXZEW8Y


:files
ipconfig /flushdns /c


:Commands
[emptytemp]


Conferma i messaggi e posta il log dopo il riavvio.Verifica se si ripresenta.

 

[sid1]

allora quel tipo di problema sembra essere risolto,
ma è uscito un altro errore simile, posto la foto e il log dopo il riavvio..


Wikisend: free file sharing service

 

[condor67]

@Tecnico
Con il fix Otl si porta via anche il file di sistema regsvr32. exe
Per questo tipo di infezione andrebbe usato FRST che elimina solo la chiave e poi andare ad eliminare le cartelle che contengono i file infetti che richiama regsvr32.
Secondo me OTL da'una lettura errata dell'infezione.
Se ti capita un nuovo caso prova a far scansionare con FRST, dovrebbe rilevarti la path delle dll che vengono richiamate senza andare ad eliminare il file.ciao

 

[tecnico24]

Ma non e' la stessa cosa condor?eliminare la chiave che richiama dei moduli(non sempre .dll) non credo influisca sul comando regsvr32.Oltre a dare il comando per la chiave nel codice abbiamo le cartelle che richiamano l'infezione.
Devo avere modo di scaricare quest'infezione e se qualcuno sa come o dove andare mi contatti in pvt.
Per sid1 prova a scrivere regsvr32.exe dal prompt(tasto destro esegui come amministratore).

 

[condor67]

Ti dicevo che il fix ha rimosso l'infezione ma ha cancellato anche il file di sistema perchè OTL a differenza di FRST se inserisci quella linea si porta via anche il file che non aveva dovuto essere regsvr32.exe ma la dll.Per questo ti avevo detto che OTL in questo caso ha lavorato male e credo anche che non viene più aggiornato come una volta.
Il file regsvr.exe richiama la dll solamente,il file è legittimo.
Se controlli il fix c'è scritto che il file regsvr32.exe verrà cancellato al riavvio della macchina.
L'utente dovrebbe controllare se in C:\WINDOWS\SysWow64 c'è ancora il file altrimenti si dovrebbe ricopiarcelo dentro.
Nei 64 bit i file saranno 2 in system32 per i 64 bit e syswow64 per i 32 bit.

 

[tecnico24]

L'utente deve darci la conferma , nel caso ripeto vorrei provare l'infezione sulla macchina per verificare.