Hijack che si ricrea

[MaSsimo64]

Salve a tutti, da giovedì ho un problema con due hijack, Ad-aware riesce a rilevarli e a cancellarli ma ad ogni riavvio si ricreano.
In pratica al posto di about:blank mi compare questo link "http://www.msn.com"
Ogni volta che cancello le due chiavi di registro con Ad-aware
e riavvio il pc, se mi connetto vado a quella pagina.

Come SO ho Windows 98 SE e IE6.

Ho fatto una ricerca sul forum;
Ho cancellato le due chiavi trovate con Ad-aware, ho avviato la scansione con CWShredder, non ha trovato nulla, ho riavviato il pc, ho chiuso tutte le finestre, infine ho eseguito la scansione con HijackThis 1.97.7 ed ecco il risultato:

Logfile of HijackThis v1.97.7
Scan saved at 0.03.44, on 10/05/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\SYMTRAY.EXE
C:\PROGRAMMI\NORTON INTERNET SECURITY\NISSERV.EXE
C:\PROGRAMMI\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\PROGRAMMI\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAMMI\NORTON INTERNET SECURITY\SYMPROXYSVC.EXE
C:\PROGRAMMI\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMMI\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMMI\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\WINDOWS\SYSTEM\FPDISP4A.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMMI\MCAFEE\QUICKCLEAN\PLGUNI.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMMI\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMI\VCOM\FIX-IT\MXTASK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\GIOCHI BLIZZ\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAMMI\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [iamapp] C:\Programmi\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [DU Meter] C:\PROGRAMMI\DU METER\DUMETER.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\SYSTEM\fpdisp4a.exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [NVQuickTweak] RUNDLL32.EXE NVQTWK.DLL,NvTaskbarInit
O4 - HKLM\..\Run: [Imonitor] "C:\PROGRAMMI\MCAFEE\QUICKCLEAN\PlgUni.exe" /START
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [nisserv] C:\Programmi\Norton Internet Security\NISSERV.EXE
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmi\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programmi\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: Drive Preparer.lnk = C:\Programmi\EZSCSI50\DRIVEWIZ\wizwatch.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: PC Alert III.lnk = C:\Programmi\MSI\PC Alert III\alert.exe
O4 - Startup: MemTurbo.lnk = C:\Programmi\Silicon Prairie Software\MemTurbo\memturbo.exe
O4 - Startup: DragStrip.lnk = C:\Programmi\Aladdin Systems\DragStrip\DragStrip.exe
O4 - Startup: Fix-It.lnk = C:\Programmi\VCOM\Fix-It\mxtask.exe
O4 - Startup: AntiCrash.lnk = C:\Programmi\Dachshund Software\AntiCrash\AntiCrash.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...601.4562615741
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.243.154.62,195.31.190.31

Ora quale voci devo cancellare?

[digitalgfx]

anxche ioho lo stesos problema

staser aposto anche io il codice di hjt

chissa troviamo una soluzione

[Arks]

egregi,anche a me e' capitata la stessa cosa negli ultimi giorni.
Tutto cio' e' capitato a moltissime persone,come visto in forum inglesi e americani.Dapprima mi ero allarmato, ho eseguito tutti i controlli appositi, ADAware in primis,che mi ha segnalato due invasioni di registro e un tentativo medium-level di browser hijack.
Allora ho fatto scan di tutti i congegni a mia disposizione,da AV a AT attraverso antispyware,HJT,CWS,F-Prot, e SpyBot che, malgrado la mia prima pagina,cioe' l'home page, fosse stata cambiata da About Blank a www.msn.com, NON hanno rilevato nulla.Avendo anche Spywareblaster etc. mi sembrava strano. Possibile?
Allora ho guardato nei forum USA e UK e ho trovato la soluzione:
se avete congegni di protezione,tipo quelli che ho io che avvertono se qualcuno cerca di modificare il registro o scrivere Scripts, oppure se avete fatto l'ultimo update di AD AWARE e avete pagina iniziale vuota o About Blank, AdAware vede la cosa come un hijack del malware hijacker che si chiama proprio About Blank (grande fantasia)!!
E' praticamente un falso allarme.Cancellando con AdAware i files incriminati viene automaticamente messa la pagina di msn.com,opino.
La cosa dovrebbe ormai essere nota ad ADAware,forse rimediano al prossimo update.
comunque ho installato Browser Hijack Blaster,che ,una volta rimessa la pagina iniziale voluta- tramite IE oppure Spywareblaster o Spybot-fa' si' che NON sia piu' cambiata.O almeno avverte prima.
si deve quindi azionare ADAware e,una volta che segnala di nuovo la cosa, o la si ignora-non quarantinizzando alcunche'-oppure si mette
tra gli 'Ignora'.
Al momento son due di' e la cosa pare sistemata cosi'.
Tutto e' bene cio' che finisce bene.

[Arks]

Massimo64, guardando il tuo Hijack log, ho notato queste due voci:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM

che non mi sembrano affatto normali, che' dovrebbe essere
HKCU\soft\Micr\IE\Main,Local Page
senza il resto,
che potrebbe essere il vero malware AboutBlank.
Ti consiglio di seguire tutta la procedura prevista da
www.spywareinfo.com
elimina files temporanei,riavvio
poi AdAware e SpyBot,riavvio,CWShredder,riavvio,HJT e posta il log.
Amvinfe o altri potranno dare un occhiata e decidere.

[amvinfe]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM

questi valori sono riferiti al worm Caspid, è un worm P2P

aggiorna come prima cosa il sitema operativo tramite il WindowsUpdate, aggiorna il tuo antivirus e fai una scansione dalla modalità provvisoria.
Solo dopo aver fatto questi passaggi posta un nuovo Log di HJT (metti HijackThis all'interno di una cartella)

[akrunus]

Cari Amici non scervellartevi tanto, scaricatevi l'ultima versione di X-Cleaner-free da xblock.com, lanciate il programma e scoverete subito i tormentoni,X-Cleaner ti mostrerà i files incriminati,e li eliminerà, ankkio ho avuto lo stesso problema, ma ne ad-aware,cwshredder e spy-bot s&d sono stati in grado di risolverlo.
Buona Navigazione
:tongue:

[amvinfe]

Originariamente inviato da akrunus
Caro Amico non scervellarti tanto, cerca e scaricati l'ultima versione
di X-Cleaner-free da xblock.com, lancia il programma e scoverai subito i tormentoni.
Buona Navigazione

nè più nè meno come AdAware, che credo fra l'altro, sia molto meglio

[Arks]

xAkrunus: magari fosse cosi' semplice,e per di piu' non e' a buon mercato.


xamvinfe: devo precisare questo ,per quanto riguarda il falso allarme di AdAware, che ho stabilito senza ombra di dubbio essere stato provocato da chiusura e riapertura di ScripTrap.AdAware ha visto la modifica al registro e ha segnalato, io ho cancellato i files proposti da AdAware e cosi' mi si e' (opino) installato msn.com come home page, facendo credere ad un tentativo di hijack,che,in effetti,non si e' mai verificato,nel mio caso.

Approfitto per chiederti,amvinfe (ho visto oggi che collabori anche con Gladiator) la tua valutazione su BOClean,che vorrei acquistare appena mi son persuaso.Quello che non vorrei,data la 'scansione' ogni 10", e' un rallentamento troppo vistoso del pc (LCD PC 1000MHZ,W98SE,20GB,256MB,AVG 6.0,F-Prot DOS,Sygate5.5,TRemover,Spywareblaster,Browserblast er,ADAware,SpyBot,ScripTrap,R-Prot.)Pensi che possa permettermelo o devo gia' comprare un altro pc da 3.0MHZ?

[amvinfe]

in effetti quella di AdAware è un bug che avevo già letto e che penso stiano già valutando.

Per ciò che riguarda BOClean giunto alla release 4.11, se non ricordo male, non posso darti molto aiuto, so che è un prodotto valido, non so di quante risorse effettive abbia bisogno, anche se ho letto che è abbastanza esigente, però puoi chiedere direttamente all'interno del forum Gladiator in questa sezione.
http://forum.gladiator-antivirus.com...?showforum=160

[Arks]

grazie.