Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 18-05-2004, 17.56.27   #1
VerTek
Senior Member
 
Registrato: 06-01-2003
Messaggi: 306
VerTek promette bene
reindirizzamento about:blank

Salve ragazzi,
c'è un mio collega che sta avendo dei problemi con l'explorer e un sito. Premetto di aver letto tutti i post lasciati nel forum ma nessuna soluzione ha risolto il problema.
Gli ho fatto fare inizialmente una scansione con norton ma.. non ha trovato nulla, così gli ho fatto fare una scansione con un antivirus online ( http://uk.trendmicro-europe.com/ente...secall_pre.php ) e ha trovato 3 virus. Poi gli ho fatto scaricare Stinger insieme a cwshredder e HijackThis. Ovviamente stinger e gli altri programmi li ho eseguiti in modalità provvisoria. Stiger ha trovato 3 virus e li ha eliminati m a.. il prblema della pagina resta.
con HijackThis riusciamo a cancellare le pagine ma.. poi si rimettono. E' entrato pure nel regedit e ha cancellato tutte le chiavi relative a quel sito ma.. nada.
le chiavi messe sopra si rimetto sempre.
Ho pensato di bloccare la pagina iniziale con un lock trovato su questo sito ma.. nada
il mio collega ha anche notato che ogni volta che si connette, prima di fare il controllo di nome utente e password dice "porta aperta..." e poi si connette.
Ora non so + che soluzione dargli, oltre alla formattazione che consiglio mi date?

resto in attesa di una vostra risposta.

grazie.
VerTek non è collegato   Rispondi citando
Vecchio 18-05-2004, 18.10.27   #2
VerTek
Senior Member
 
Registrato: 06-01-2003
Messaggi: 306
VerTek promette bene
ah dimenticavo... anche adaware ho fatto utilizzare ma niente
VerTek non è collegato   Rispondi citando
Vecchio 18-05-2004, 20.43.14   #3
crazy.cat
Gold Member
Top Poster
 
L'avatar di crazy.cat
 
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
crazy.cat promette bene
Prova a vedere qui se ritrovi qualche idea, usa anche spyboot per la pulizia.
http://www.computercops.biz/modules....topic&p=166505

Prova a postare qui il log di hijackthis cosi vediamo cosa gira di strano
___________________________________

Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.
crazy.cat non è collegato   Rispondi citando
Vecchio 18-05-2004, 23.26.44   #4
VerTek
Senior Member
 
Registrato: 06-01-2003
Messaggi: 306
VerTek promette bene
ok, purtroppo non ne ho una + recente.
questa risale a stamattina:

Logfile of HijackThis v1.97.5
Scan saved at 11.50.04, on 18/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\System\taskmon.exe
C:\Programmi\ARESCOM\Modem Telindus Arescom ND220\dslmon.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system.exe
C:\WINDOWS\dl.exe
C:\Programmi\File comuni\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
D:\patch virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Programmi\DAP\DAPIEBar.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: winlink module - {6CC1C91A-AE8B-4373-A5B4-28BA1851E39A} - C:\Documents and Settings\Fabio\Dati applicazioni\winlink\winlink.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\AddClass.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\taskmon.exe
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab27571.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab27571.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A87F46A8-5D34-4577-82A6-A15651290AF9}: NameServer = 80.21.163.20 151.99.125.1
O19 - User stylesheet: C:\WINDOWS\my.css
O19 - User stylesheet: C:\WINDOWS\my.css (HKLM)

Una volta trovati i 3 virus tramite stinger ho fatto togliere la stringa O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe e cancellare quel file.
Non riesco purtroppo a rintracciarlo ora ma rifacendo una nuova scansione con il programma dovrebbe darmi lo stesso log.
VerTek non è collegato   Rispondi citando
Vecchio 19-05-2004, 09.16.52   #5
crazy.cat
Gold Member
Top Poster
 
L'avatar di crazy.cat
 
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
crazy.cat promette bene
Dl.exe si trova in questi due tipi di virus
http://www.symantec.com/avcenter/ven...or.nthack.html
http://www.pestpatrol.com/PestInfo/t...2_small_eo.asp

Addclass.exe in questo spy e trojan.
http://www.2-spyware.com/file-addclass-exe.html
http://uk.trendmicro-europe.com/ente...SHOW.W&VSect=T

Come si chiamavano i virus?
___________________________________

Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.
crazy.cat non è collegato   Rispondi citando
Vecchio 19-05-2004, 16.00.42   #6
VerTek
Senior Member
 
Registrato: 06-01-2003
Messaggi: 306
VerTek promette bene
non mi ricordo come si chiamavano (ne erano 3).

Stamattina sono andato da lui e ho notato che aveva il file "Host" in system32 che all'interno conteneva diversi siti. Lo cancellavo e si rimetteva. Virus non ne aveva e non trovando una soluzione adeguata ho preferito formattare il pc anche xchè era molto lento (e aveva già messo le patch di windows e provato tutti i tool di rimozione dei virus in mod. provv.).
Il fatto strano è che cancellavo le chiavi dal registro, utilizzavo HijackThis e nel giro di qualche minuto trovavo le stringhe cancellate nuovamente messe.
VerTek non è collegato   Rispondi citando
Vecchio 19-05-2004, 16.22.09   #7
VerTek
Senior Member
 
Registrato: 06-01-2003
Messaggi: 306
VerTek promette bene
giusto per curiosità posto la scansione che aveva fatto ieri notte:

Logfile of HijackThis v1.97.5
Scan saved at 1.28.09, on 19/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\System\taskmon.exe
C:\Programmi\ARESCOM\Modem Telindus Arescom ND220\dslmon.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
D:\patch virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Programmi\DAP\DAPIEBar.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\taskmon.exe
O4 - Global Startup: DSLMON.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Run DAP (HKLM)
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab27571.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab27571.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab



a me sembrerebbe tutto ok.. boh
Notate qualche stringa sospetta (ovviamente le prime stringhe relative al sito si cancellavano ma venivaro rimesse)? (giusto per curiosità, tanto ho formattato il pc e questo log è relativo a prima della formattazione)
VerTek non è collegato   Rispondi citando
Vecchio 19-05-2004, 18.21.05   #8
crazy.cat
Gold Member
Top Poster
 
L'avatar di crazy.cat
 
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
crazy.cat promette bene
Adesso sembrava pulito.
Va a sapere che "verme" strano girava in quel pc.
___________________________________

Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare.
crazy.cat non è collegato   Rispondi citando
Vecchio 06-06-2004, 22.05.29   #9
evolve3.0
Senior Member
 
Registrato: 25-12-2000
Messaggi: 268
evolve3.0 promette bene
RIPULITO!! ce l'ho fatta!!
adesso spiego , il problema , o almeno nel mio caso satva in una dll, più precisamente GOA.DLL, che se non ricordo male era nella cartella system32 (uso winxp) ,l'ho rinominata e è andato tutto a posto.
il problema non si presentra più
evolve3.0 non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Remove about:blank 3.1 Macao Archivio News Software 0 04-12-2004 01.19.42
aiuto per link vuoti e about:blank libero1973 Sicurezza&Privacy 2 17-11-2004 09.57.33
Remove about:blank 2.0 Macao Archivio News Software 0 13-11-2004 03.36.22
ABOUT:BLANK Bruce Lee Internet e Reti locali 4 09-07-2004 19.55.37
about:blank Tattico Windows 7/Vista/XP/ 2003 1 17-05-2004 09.34.34

Orario GMT +2. Ora sono le: 04.54.57.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.