problema malware

[MARCO04]

ciao a tutti ,penso di avere anch'io lo stesso problema di digitalgfx.
Ho provato in tutte i modi a eliminare il famigerato aboutblank ma non ci riesco.Io ho attualmente S.O. windows 2000 prof. con s.p.3free
La situazione e' questa:
1-Accendo il pc (modalita' normale)
2-Faccio una scansione con AD-Aware6.0 e vengono identificati regolarmente 8 o 10 "problemi", eventualmente ve ne posso dare le caratteristiche, li metto in quarantena , faccio i passaggi successivi e chiudo tutto.
3-Faccio una scansione anche con Spybot e non viene trovato niente di anomalo, applico Immunizza e faccio il lock alle prime due funzioni sottostanti (bloccaggio pagina iniziale)
4-Chiudo tutto e riavvio
5-Faccio partire CWShredder e non viene trovato niente.
6-Chiudo tutto e riavvio
7-Faccio partire hijackthis e questo e' il risultato:

Logfile of HijackThis v1.97.7
Scan saved at 22.52.43, on 11/05/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\downlo~1\ws5rk\a0q256a.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\McAfee\McAfee VirusScan\VsStat.exe
C:\Programmi\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe
C:\Programmi\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINNT\Explorer.EXE
C:\Programmi\HELPExpress\bin\mpbtn.exe
C:\Documents and Settings\Administrator\Documenti\Programs\HijackTh is\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\nfklcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\nfklcaa.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\nfklcaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\nfklcaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\nfklcaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\nfklcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Tin.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {377FAD78-E5E2-498F-802E-122B62DC1B62} - C:\WINNT\system32\nfklcaa.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A6AD69C2-D2EF-4839-8DFE-14192277E48D} - C:\WINNT\System32\lhb.dll (file missing)
O3 - Toolbar: Rapido - {D3403F20-7D39-435F-A8CB-45016C29E48E} - C:\Programmi\Rapido\Rapido.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [zSPGuard] c:\programmi\pjw\spguard\spguard.exe /s /r
O4 - HKCU\..\Run: [SpyKiller] C:\Programmi\SpyKiller\spykiller.exe /startup
O4 - Global Startup: HELPExpress.lnk = C:\Programmi\HELPExpress\bin\matcli.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

dopo avere scansionato ho aperto IE per scrivere il messaggio ,puo' avere influito??penso di no.
Spero che amvinfe possa darci un'occhiata , non so piu' realmente cosa provare, forse sbaglio qualche operazione??
grazie a tutti per la collaborazione

Volevo inoltre ringraziare pubblicamente amvinfe perche' leggendo i suoi consigli finora ho risolto molti problemi, continua cosi'
ciao e grazie

[amvinfe]

ciao, scaricati subito questo programma crea una cartella e scompattalo al suo interno http://download.broadbandmedic.com/VbStuff/KillBox.zip più avanti ti servirà
apri HijackThis spunta le seguenti voci e clicca su Fix checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\nfklcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\nfklcaa.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\nfklcaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\nfklcaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\nfklcaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\nfklcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: (no name) - {377FAD78-E5E2-498F-802E-122B62DC1B62} - C:\WINNT\system32\nfklcaa.dll
O2 - BHO: (no name) - {A6AD69C2-D2EF-4839-8DFE-14192277E48D} - C:\WINNT\System32\lhb.dll (file missing)
O6 - HKCU\Software\Policies\Microsoft\Interne
t Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Interne
t Explorer\Control Panel present

le restrizioni che hai messo servendoti di SpyBot, non servono a nulla, la pagina ti viene cambiata ugualmente


Ora senza riavviare

- apri KillBox
- clicca su ACTION
- seleziona DELETE ON REBOOT
- dalla finestra successiva clicca su ADD FILE
- cerca la .dll che devi eliminare nel tuo caso è nfklcaa.dll tieni presente che il nome potrebbe essere diverso perchè potrebbe cambiare ad ogni riavvio, basta che ti regoli guardando questo valore R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\nfklcaa.dll /sp.html (obfuscated)
- trovata la .dll selezionala e clicca su OK
- sempre da questa finestra clicca su ACTION
- clicca su Process And Reboot

Elimina tutti i Temporary internet files
Esegui CWShredder e riavvia.
Fai il WindowsUpdate visto che la variante CWS sfrutta una falla Microsoft corretta.
tutto va fatto NON connesso e con tutte le altre applicazioni chiuse!

[MARCO04]

carissimo amvinfe
ho seguito la tua procedura e sembra che tutto sia andato a buon fine
Ho fatto l'update di windows e il pc ha lavorato un bel po' per scaricare tutti gli aggiornamenti, alla fine me ne rimanevano 12 da installare e anche riprovando + volte non ne ha voluto sapere.
Questi sono i loro codici:
817606 - Aggiornamento della protezione (Windows 2000)
Q329553 - Aggiornamento critico (Windows 2000)
816093 - Aggiornamento della protezione di Microsoft Virtual Machine (Microsoft VM)
814033 - Aggiornamento importante
Q323172 - Aggiornamento della protezione
Q326830 - Aggiornamento della protezione
326886 - Aggiornamento della protezione
Q323255 - Aggiornamento della protezione
Q329170 - Aggiornamento della protezione (Windows 2000)
810649 - Aggiornamento critico
810833 - Aggiornamento della protezione (Windows 2000)
811630 - Aggiornamento critico (Windows 2000)
Eventualmente si possono installare in altro modo o proprio non c'e' speranza??
Qui sotto ti posto anche il log di hijack fatto dopo il riavvio da update, dalle voci che legge un'ignorante come me dovrebbe essere tutto ok, tu che ne pensi??

Logfile of HijackThis v1.97.7
Scan saved at 23.16.04, on 13/05/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\downlo~1\ws5rk\a0q256a.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\McAfee\McAfee VirusScan\VsStat.exe
C:\Programmi\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe
C:\Programmi\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINNT\Explorer.EXE
C:\Programmi\HELPExpress\bin\mpbtn.exe
C:\Documents and Settings\Administrator\Documenti\Programs\HijackTh is\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://libero.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Tin.it
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Rapido - {D3403F20-7D39-435F-A8CB-45016C29E48E} - C:\Programmi\Rapido\Rapido.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [zSPGuard] c:\programmi\pjw\spguard\spguard.exe /s
O4 - HKCU\..\Run: [SpyKiller] C:\Programmi\SpyKiller\spykiller.exe /startup
O4 - Global Startup: HELPExpress.lnk = C:\Programmi\HELPExpress\bin\matcli.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Umail (HKCU)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...120.5515393519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

ah dimenticavo, oggi alle 13,30 circa ti ho mandato una breve risposta al tuo messaggio ma non la vedo scorrendo sul forum, ti e' arrivata?
Ok,non so come ringraziarti per l'aiuto , in caso di novita' ti terro' informato,
saluti
Marco Tognon