troian startpage

[beipink]

Originariamente inviato da NetEscape
Non lo so se puoi installarlo in modalità provvisoria. Cmq Ad-Aware può risolverti il problema. Altrimenti puoi andare in DOS, sempre se sai quali chiavi rimuovere. In genere sono tutte collocate in HKLM\Software\Microsoft\Windows\CurrentVersion\Run , oppure RunOnce o RunEx. Se elimini la voce che il trojan ha generato in 1 di queste tre sei sicuro che lui nn può più riavviarsi quando accendi il sistema. Ciao.

P.S. che sistema usi? :maLOL:

...non è sulla mia macchina...
Il sistema è xp home..quindi non ho dos...
Spero di riuscire ad installare ad-aware...calcola che in modalità normale non mi lascia neppure entrare in risorse del computer etc...

In modalità prov. cosa posso fare??

ciao
kirk

[erikkk]

Scusa ma hai provato a fare quello che ti ho suggerito io? Rinominando le dll che ti ho detto non elimini il trojan, ma almeno riesci a cercare qualcosa con explorer in pace. A me in questo modo non riesce più neanche a cambiare la pagina iniziale (e non è poco).
Aspetto ancora un pò se esce qualche tool valido in giro (tipo symantec) altrimenti formatto

[beipink]

Originariamente inviato da beipink
...non è sulla mia macchina...
...calcola che in modalità normale non mi lascia neppure entrare in risorse del computer etc...

Non ho ancora fatto nulla perchè non la macchina a casa mia..
per ora sto raccogliendo tutte le inforamzioni possibili poi attacco...

Cmq quella di modificare le dll mi sembra proprio una bella cosa, in mod. prov. dovrei farcela...

ciao
kirk

[mysk]

...anche io ho beccato questo dannatissimo trojan... ho provato manualmente ad eliminare le chiavi secondo le procedure della symantec o quella trovata su il software.it ma nulla ...al momento di eliminare il file indicato dell clsid non trovo quello indicato appunto nella procedura.Mi spieghereste gentilmente se gli exe rundll32.exe e rgsvr32.exe sono dei file propri di systema o se sono generati dal trojan ?

scusate l ignoranza...saluti

p.s. il sistema operativo e' windows 98
scansioni effettuate da modalita' provvisoria e non con:
adware -norton-spybot-stinger

[TanoDaMorire]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank

O2 - BHO: (no name) - {EA6BC6EC-86E4-4D2F-9A54-336F47D17BBE} - C:\WINDOWS\System32\koam.dll (file missing)

Anche questi bisogna togliere dai file di registro insieme al file C:\WINDOWS\System32\koam.dll

[TanoDaMorire]

ERRATA CORRIGE:
Non troverete nessun C:\WINDOWS\System32\koam.dll
Il file bastardo che permette a se.dll di ricrearsi è BJMD.DLL.

L' aspetto beffardo della cosa che è proprio lo spyware che ti fa aprire mille popup che ti avvisa che il tuo pc è infetto da uno spyware e ti invita a scaricarne uno.
Che roba... VVoVe:

[TanoDaMorire]

Questo risolve in maniera definitiva il problema:
http://www.aluriasoftware.com/tools/cwshredder.zip

[Etilico]

risolve??

domani devo andare da un cliente a toglierlo e non vorrei passare lì l'intera giornata!

[NetEscape]

innanzitutto un pò di precisione:
di quale variante di startpage stiamo parlando?

[Etilico]

non lo so! il cliente mi ha detto che gli si apre un home porno...

scansioni con ad-ware e spybot non hanno risolto!