La Pagina Iniziale Ie Cambia Ho Provato Di Tutto.

[Danix]

hai provato la scansione con CWShredder?

[Sora88]

Ehm...hai letto su???? :mah1:

Ho elencato tutti i programmiche ho usato!!!

E poi è stato il più inutileee! :yawn:

[ancer]

ma possibile che questi vermetti così tenaci non capitino nelle mie grinfie

[moriangoli]

ma possibile che questi vermetti così tenaci non capitino nelle mie grinfie

[Sora88]

Spero per loro che non vengano nelle mie mani!! :dia:

[ancer]

teniamo in rilievo il thread

questo spyware è tenace

chi avesse novità le comunichi qui

[dany]

ma possibile che questi vermetti così tenaci non capitino nelle mie grinfie

Sennò cosa succederebbe?????

[ancer]

lo polverizzerei :dia:

[Sora88]

Io ho fatto come mi avevi detto tu...

modalità provvisoria e HijackThis, CWShredder, ad-aware e spybot S&D...ma dopo qualche giorno è ricomparso...

Poi ieri ho provato a usare di nuovo ad-aware, ma non in modalità provvisoria... Ho trovato coolwebsearch...ho eliminato e tutto ok...

Oggi tutto ok... dopo qualche oretta di uso ho riscansionato e riecco coolwebsearch...ma non mi aveva fatto nulla....la pagina iniziale era la mia... l'ho di nuovo eliminato...forse è quello il colpevole!!

Ora aspetto nuovi sviluppi....

Byez

[Sora88]

:sigh: :sigh: Niente...ritorna sempre...è rimasto nascosto per un giorno...ma poi è tornato

[mavez]

nessuno ha trovato una soluzione definitiva?

ho visto le indicazioni per agire sul registro, ma funzionano?

se funzionano e qualche anima buona volesse tradurne il senso in italiano perchè dall'inglese prpio non mi riesce di venirne fuori ( come pensi sia anche per molti altri )

PS: io uso win 98 se

saluti a tutti

[teo85]

Ciao a tutti! Mi sono trovato ad avere lo stesso identico problema di Sora88 (pagina iniziale "about blank" e reidirizzamento a "Search for.."). Era da qualche giorno che tentavo con vari software a risolvere il problema che, però, si presentava continuamente.

Ho scaricato ed installato una patch di Microsoft (http://www.microsoft.com/italy/technet/sec...n/ms04-011.mspx), che sembrava rivolta al mio problema, ed il Service Pack 4 (io ho windows 2000, ma la patch è disponibile anche per WinXP). Ho provato ad agire come indicato nel link postato da Capitano, ad una pagina in inglese. Prima di tutto ho scaricato i seguenti programmi:

- Ad-aware 6;

- CWShredder;

- hijackthis;

- Registrar Lite;

- WINFILE.

(Se volete ho inserito tutti i programmi nella cartella "Killer Spyware" del mio disco remoto: "http://mio.discoremoto.virgilio.it/mydisk_teo85/", se avete problemi nel download fatemi sapere che ve li posto)

Prima di tutto ho lanciato "hijackthis" e gli ho fatto eseguire una scansione. Alla voce BHO mi indicava un file, contenuto in WINNT\system32, dal nome piuttosto strano ("homjk.dll"), che anche il mio antivirus rilevava come file infetto.

Una volta installato e lanciato Registrar Lite sono andato all''indirizzo "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs", locazione della chiave "AppInit_DLLs" da cui nasceva tutto il problema. E' importante guardare il value della chiave (doppio click su AppInit_DLLs) e segnarselo (nel mio caso era un file dll all'interno di WINNT\system32).

E' ora necessario eliminare il value della suddetta chiave. Per effettuare questa operazione bisogna rinominare la cartella "Windows", in cui è contenuta la chiave, in qualsiasi altra cosa (esempio "noWindows"). Ora, facendo un doppio click sulla chiave "AppInit_DLLs", è possibile eliminare tutto il value (lasciando bianco). Dopo aver confermato bisogna riportare il nome della cartella rinominata precedentemente in "Windows". Ora si chiude Registrar Lite e si riavvia il pc.

Una volta riavviato ho lanciato WINFILE, ho poi cercato il file indicato dal value della chiave (eliminato precedentemente). Una volta selezionato il file cliccare su: Security -> Permissions... Dovrebbe essere indicato "Accesso speciale", modificare in "Controllo completo". A questo punto ho seguito le istruzioni come indicate nel link (senza capirci molto). Ho creato un cartella denominata "junk" nella root (in genere C:\), poi, tornando a "WINFILE", sempre con il file selezionato, File->Move... Nel campo "To:" inserire "C:\junk" e premere ok. Verrà chiesta conferma, in quanto si tratta di file di sitema (ovviamente confermate). Dopo aver chiuso WINFILE ho riavviato il pc in modalità provvisoria, ho lanciato la scansione con Ad-aware e CWShredder, eliminando ogni cosa trovata. Dopo aver riavviato normalmente ho eliminato la cartella "junk" ed ho effettuato un'altra scansione con gli stessi programmi (per sicurezza) che non hanno trovato niente di nuovo.

Dal quel momento in poi il problema non mi si è più riproposto...(sono passati 2 giorni e spero di non aver cantato vittoria troppo presto).

Scusate se sono stato un po' prolisso, e spero di esservi stato utile... Fatemi sapere...

[moriangoli]

:up1:

Grazie per il contributo e benvenuto

[ancer]

[teo85]

Credo che la soluzione proposta sia quella definitiva... Sul mio PC non si è più ripresentato il problema!!!

[ancer]

lo spero

[mavez]

intanto grazie a teo85 per aver spiegato in italiano i vari passi da fare,

penso però che per chi come me ha win 98 se non sia la stessa cosa, ho lanciato HIJACKTHIS ed ho avuto questo risultato, ma sono già fermo perchè non capisco quale può essere il record incriminato, qualcuno nota qualcosa?

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\PROGRAMMI\GRISOFT\AVG6\AVGSERV9.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAMMI\ICQLITE\ICQLITE.EXE

C:\PROGRAMMI\GRISOFT\AVG6\AVGCC32.EXE

C:\PROGRAMMI\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\PROGRAMMI\SPAM TERMINATOR\TERMINATOR.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\PROGRAMMI\OUTLOOK EXPRESS\MSIMN.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAMMI\AVANT BROWSER\AVANT.EXE

C:\WINDOWS\DESKTOP\HIJACKTHIS1977\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.it

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://c:\windows\TEMP\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.it

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\windows\TEMP\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.it

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:\windows\TEMP\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.it

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.it

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.google.it

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\PROGRAMMI\DAP\DAPBHO.DLL

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: (no name) - {4464254E-C8D6-11D8-8D61-00D0AAEE7F2F} - C:\WINDOWS\SYSTEM\IIEOBK.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [iCQ Lite] C:\Programmi\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAMMI\GRISOFT\AVG6\avgcc32.exe /startup

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe

O4 - HKCU\..\Run: [spamTerminator] C:\PROGRAMMI\SPAM TERMINATOR\TERMINATOR.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\PROGRAMMI\ICQLITE\ICQLITE.EXE -trayboot

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm

O8 - Extra context menu item: Aggiungi l'indirizzo alla Lista Nera della pubblicità - C:\PROGRAMMI\AVANT BROWSER\AddToADBlackList.htm

O8 - Extra context menu item: Blocca tutte le immagini provenienti dal server di questa - C:\PROGRAMMI\AVANT BROWSER\AddAllToADBlackList.htm

O8 - Extra context menu item: Cerca con Google - C:\PROGRAMMI\AVANT BROWSER\Search.htm

O8 - Extra context menu item: Evidenzia in questa pagina - C:\PROGRAMMI\AVANT BROWSER\Highlight.htm

O8 - Extra context menu item: Apri tutti i collegamenti nella pagina in linguette diverse - C:\PROGRAMMI\AVANT BROWSER\OpenAllLinks.htm

O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html

O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html

O9 - Extra button: ICQ Lite (HKLM)

O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)

O9 - Extra button: Run DAP (HKLM)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/163d287f69a248b89d05/...RdxIE601_it.cab

O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} - http://stream10k.redhotnetworks.com/cabs/videox.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...7938.3815162037

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.216.172.62,212.216.112.112

[teo85]

Ciao!

Il mio file "incriminato" era indicato da:

O2 - BHO: (no name)....

ed era contenuto nella cartella system32 ("system" in Win98), inoltre aveva come estensione DLL. Credo che sia questo:

C:\WINDOWS\SYSTEM\IIEOBK.DLL

In ogni caso il mio antivirus "avast! Home Editon" me lo indicava come infetto. Ti consiglio di provare a verificare quel file con un antivirus aggiornato (avast è gratuito, puoi scaricarlo anche da wininizio...).

Fossi in te io proseguirei con la procedura... :up1:

[dany]

lo polverizzerei :dia:

Mi unisco anche io!! :dia: gli facciamo il sederino rosso!

[lucarito]

Ciao Ragazzi

sono stato il primo ad aver postato questo problema (lucarito) da cui è partito tutto il dibattito e le varie ricerche per eliminare questo ba*****o di m....

Grazie all' intervento di teo85 (penso che si meriti una statua che faccia invidia al Bronzo di Riace) che ha tradotto i vari passi, posso confermare anche io, trascorsi 4 giorni, il problema non si è più verificato, e il mio comp. ormai impacciato, lento e non brillante in tutte le sue operazione è diventato, dopo aver eliminato search for.., una scheccia, una setta, ha telle medie che sempra un liceo (battuta di Diego Abatantuono in Viulentemente mia, questo dimostra la mia felicità).

Provate tutti, poi non è cosi difficile, possono farlo anche quelli alle prime armi.

Un saluto e buona estate a tutti

[Wasabi]

ragazzi, anch'io ho lo stesso problema, apro explorer e mi viene la pagina about:blank oltre a simpaticissimi banner che mi avvertono che nel mio pc c'è uno spyware! (ma grazie che gentili!!). volevo provare la tecnica teo85 ma io nn ci capisco niente. ho winXP che patch devo scaricare dal sito microsoft?? e soprattutto dove cavolo lo trovo l'indirizzo HKEY_LOCAL_MACHINE\ ecc.....???

grazie a tutti coloro che mi risponderanno

[coolboy]

innazitutto salve a tutti e putroppo se sono anche io qui e per "coolwebsearch" ho fatto TUTTO quello che avete consigliato dalla prima all'ultima pagina di questa discussione ma niente da fare ho anke rifatto tutto in modalita provissoria ed ho anche tolto il ripristino delal cofigurazione di sistema sta di fatto che non solo mi rende la navigazione difficile ma sembra che tutto il pc ne risenta tra l'altro tra meno di un mese avro un importante esame per il quale devo naturlamente usare il pc e non posso permettermi ora di formattare vi prego se avete notizie fatemelo sapere !

grazie ancora

[moriangoli]

Benvenuto

[Wasabi]

qualcuno mi sa dire dove trovare WINFILE?

...sempre grazie

[teo85]

Ciao a tutti!

In attesa di una statua in mio onore (mi accontento anche di un busto... , grazie lucarito...), vi mando il link ad i programmi necessari alla rimozione dell'odioso intruso, in quanto il mio disco remoto, di cui ho postato il link in un post precedente, non è più in funzione (non so perchè, ma non funziona più... sentirò quelli di virgilio...).

http://vlz.altervista.org/Download.htm

:up1: