pagina iniziale internet

[pakylory]

Salve ragazzi,
sul computer di un mio amico ho trovato i seguenti virus:
- trojan.StartPage
- downloader.trojan
- trojan Horse
Ho installato Norton perchè non c'era un antivirus, il quale ha rilevato i file infetti che poi ho eliminato.
Il problema è che la pagina iniziale di internet viene sempre modificata anche se il computer è pulito!
Ho fatto anche la scansione in modalità provvisoria, eliminando file temporanei e disattivando il ripristino di configurazione.
Ho avviato anche "CWShredder" il quale alla voce "Restoring Internet Explorer pages" segnala RESTORED (1 Items)!
Rilancio il programmino segnalandomi che va tutto ok!
Setto la pagina iniziale, apro il browser è la pagina è quella da me settata, ma alla seconda apertura l'indirizzo è nuovamente cambiato (una serie di numeri preceduti da %)...
Cosa posso fare!
PS il problema è che il sistema viene anche rallentato in maniera esagerata: dipende da questo virus, o cos'altro?
Grazie a chi mi aiuterà!!!

[amvinfe]

scaricati da -links utili- in Rilievo HijackThis mettilo in una nuova cartella, fai lo Scan e posta il Log. Info sul corretto utilizzo di HJT le puoi trovare nel tutorial presente sempre in Rilievo.

[pakylory]

Originariamente inviato da amvinfe
scaricati da -links utili- in Rilievo HijackThis mettilo in una nuova cartella, fai lo Scan e posta il Log. Info sul corretto utilizzo di HJT le puoi trovare nel tutorial presente sempre in Rilievo.

Ok, grazie...
mi affaccio sul forum domani

[pakylory]

codice:

Logfile of HijackThis v1.97.7
Scan saved at 18.33.00, on 15/06/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\downlo~1\sjfy\d759tlyz.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\explorer.exe
C:\Documents and Settings\User\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com
%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com
%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [rundll32] %System%\rundll32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [menu12] C:\WINDOWS\_DlrApps\menu12.exe /astart
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.com
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

[einj]

Originariamente inviato da pakylory

codice:

Logfile of HijackThis v1.97.7
Scan saved at 18.33.00, on 15/06/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\downlo~1\sjfy\d759tlyz.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com
%00@<a href="htt...der.cc/hp/</a> (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com
%00@<a href="htt...der.cc/hp/</a> (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll questa dovrebbe essere la dll incriminata
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab
[/url]

Questi dovrebbero essere i file incriminati...fai fix checked e poi dai una passata anche con spybot search & destroy dopo averlo aggiornato..

Dovrebbe risolvere il problema

[noncisononick]

io lo ho fatto...ma sia AD-aware 6.1 che spybot search & destroy me li trova...me li cancella...ma poi la seconda volta che apro Explorer...torna...e rifaccio la scansione...e di nuovo li trova....e li cancella...potrei stare all'infinito...

[amvinfe]

comincia con il controllare il file hosts nel percorso
c:\windows\system32\drivers\etc\
ed elimina tutto quello che trovi TRANNE il valore
127.0.0.1 localhost
clicca su File e poi su Salva.
Riavvia.
Lancia CWShredder, riavvia.
Posta un nuovo Log di HJT



N.B.
Ricordati che il tuo pc è altamente vulnerabile, fai l'aggiornamento delle varie patch servendoti del WindowsUpdate

[pakylory]

Originariamente inviato da amvinfe
comincia con il controllare il file hosts nel percorso
c:\windows\system32\drivers\etc\
ed elimina tutto quello che trovi TRANNE il valore
127.0.0.1 localhost
clicca su File e poi su Salva.
Riavvia.
Lancia CWShredder, riavvia.
Posta un nuovo Log di HJT



N.B.
Ricordati che il tuo pc è altamente vulnerabile, fai l'aggiornamento delle varie patch servendoti del WindowsUpdate

Innanzitutto grazie per l'aiuto che mi stai dando amvinfe.
ho controllato la cartella hosts e l'unico indirizzo trovato è quello da non cancellare (127.0.0.1);
cercando di fare l'update, ci sono 48 aggiornamenti ed il solo Service Pack 1 mi chiede di scaricare 70Mb di roba che con una normale connessione vuol dire... roba da pazzi!!!

Come posso muovermi? cancello le varie chiavi indicatemi da einj?
Non so cosa fare!!!

[pakylory]

Ho cancellato la seguente dll C:\WINDOWS\dpe.dll e ho fissato con HJT O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab

La pagina iniziale è finalmente quella che viene impostata ma il sistema è sempre lento (soprattuto al caricamento di windows)... Cosa potrebbe essere

Posto il nuovo log

codice:

Logfile of HijackThis v1.97.7
Scan saved at 17.33.46, on 16/06/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\downlo~1\sjfy\d759tlyz.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Documents and Settings\User\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\User\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [rundll32] %System%\rundll32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [menu12] C:\WINDOWS\_DlrApps\menu12.exe /astart
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.com
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...154.3193287037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

[amvinfe]

I valori segnalati da einj sono esatti, ma il problema se le cancelli con HJT è probabile ti si ripresenti.

Fai in questo modo:
Scaricati
sphjfix
e
CWShredder la versione corrente è la 1.59.0
Disconnettiti e metti il file sphjfix all'interno di una nuova cartella.
Chiudi tutte le applicazioni (!), apri la cartella appena creata e clicca sul file sphjfix. A questo indirizzo
http://www.alground.com/virus/scheda...p?cod_virus=87
trovi le informazioni sul suo utilizzo.
Riavvia.
Ora clicca sul file CWShredder.exe, finita la scansione riavvia.
Cancella il contenuto delle cartelle TEMP, Temporary internet files e cookies.
Riavvia.
Fai un nuovo scan con HJT e posta il nuovo Log

Tutte le operazioni devono essere fatte con il browser chiuso.


N.B.
Gli aggiornamenti Microsoft sono tutti, purtroppo, da scaricare ed installare

P.S.
Dimenticavo, ci sono altri valori da rimuovere, ma mi serve il nuovo Log di HJT.