frames bastardi

[metropolis999]

mi è arrivato un messaggio di posta con outlook contenente un virus: l'av mi ha avvisato della presenza di un virus (frame.download), ma non è servito cancellarlo. ogni volta che sbaglio un url vengo rimandato ad una pagina piena di avvenenti e procaci signorine anzichè quella di msn che ti avvisa dell'impossibilità di raggiungere l'url specificato. ho risolto il problema cambiando l'indirizzo dns del target del frame nel file hosts (C:\WINNT\system32\drivers\etc\hosts), ma non è molto comodo. non ho trovato la chiave di registro da rimuovere, qualcuno mi sa dare una mano?

[Al è qui]

Hai provato a vedere la chiave registro di explorer?
Di solito questi sono JS che modificano semplicemente la pagina di ricerca e alcuni la pagina iniziale, se la disattivi dal registro ed elimini tutti file anche temporanei dovresti risolvere.

[metropolis999]

ammetto l'ignoranza: ho sempre provato un timore reverenziale nello smanettare con le chiavi di registro... dove le trovo esattamente? io arrivo fino a esegui>>regedit, poi guidami tu

[Al è qui]

Originariamente inviato da metropolis999
ammetto l'ignoranza: ho sempre provato un timore reverenziale nello smanettare con le chiavi di registro... dove le trovo esattamente? io arrivo fino a esegui>>regedit, poi guidami tu

Certo devi sempre stare attento e soprattutto farti una copia di backup prima di smanettarci.
Prova a cercare questa:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\

Qui ci sono le impostazioni di Explorer.

[rogeta]

Non basterebbe andare in strumenti --> opzioni internet --> protezione --> personalizza livello?


Spero di non aver detto una caa...volata.

[metropolis999]

Originariamente inviato da Al è qui


Certo devi sempre stare attento e soprattutto farti una copia di backup prima di smanettarci.
Prova a cercare questa:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\

Qui ci sono le impostazioni di Explorer.

non trovo nulla di significativo... sto dando un'occhiata alle voci di destra, ma non trovo nulla che corrisponda all'url richiamato dall'iframe... che faccio?

[Al è qui]

Si ma metro devi ricordarti che iframe in se "attiva" un virus più che esserlo lui. Una volta che ti ha beccato tramite il bug di Outlukko devi cercare un'altro eseguibile, se c'è.

[metropolis999]

uhmmm... non è possibile che tramite la visualizzazione html di outlook abbia attivato un activex che mi ha toccato il registro aggiungendovi una chiave? e tale chiave poi sia andata a sostituirsi alla normale pagina di errore (o meglio, di file non trovato) di msn? che non esista un eseguibile?

[Al è qui]

Il tuo av non rileva altro?
Ovviamente vedendo il codice iframe si attiva ma non è lì il punto, non è lui il pericolo, almeno non solo.
Hai fatto una scansione?
Di solito quello delle pagine lo fanno i Js.exception

[Gren]

Metro, quello che ti consiglio innanzitutto è di usare la funzione trova del regedit, incollando l'indirizzo del sito che ti continua ad apparire e poi sostituendolo con un altro, di google o microsoft.

Le voci sono nel registro, su questo non ci piove. Il problema può però essere che, anche qualora cancellate, le chiavi siano reinserite da una libreria, o qualcosa del genere, all'interno della root di win.

Allora, ti potrebbe capitare benissimo di trovare un file (che non ho ancora capito se è di sistema) che si chiama sp.dll, o qualcosa di simile.

Devi entrare nella root di windows, disponendo i files per data. Guarda col blocco note (e sempre che siano apribili col notepad, ovviamente) cosa c'è negli ultimi dieci files.

Potresti trovare qualcosa tipo questo:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.google.com/ie"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.google.com/ie"
"Search Page"="http://www.google.com/ie"
"Search Bar"="http://www.google.com/ie"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.google.com/ie"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.google.com/ie"
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer]
"SearchURL"="http://www.google.com/ie"
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.google.com/ie"
"Default_Search_URL"="http://www.topsearcher.com/ie/"
"Search Bar"="http://www.google.com/ie"
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.google.com/ie"


In caso ci fosse, la prima cosa da fare è modificare il file di cui sopra, poi, o comunque nel caso non trovassi nessun file del genere, andare a ricercare e modificare gli url nel regedit con la funzione di ricerca.

Good luck.