explorer - pagina iniziale

**Babuk** · 10-05-2004, 11:59

Ciao a tutti, questa discussione l'ho già iniziata sul forum nella sezione "Software"; ho chiesto ai moderatori di spostarmi quì ma senza esito, quindi nae aprouna nuova:

Mi si è modificata la pagina iniziale di IE e non è più modificabile, dietro consiglio ho fatto una scansione con HijackThis e questo è il risultato:

Logfile of HijackThis v1.97.7
Scan saved at 10.07.59, on 10/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\NISUM.EXE
C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Norton Internet Security\ccPxySvc.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\explorer.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi Scaricati\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Interne
t Explorer\Control Panel present
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/...director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.c...7898.0811921296
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - http://download.macromedia.com/pub/...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B4CAC53-4A20-4081-99D7-20E667CEED39}: NameServer = 151.99.125.2,151.99.252.2

Qualche suggerimento?

**amvinfe** · 10-05-2004, 12:14

quale è il nome della pagina su cui vieni dirottato?

**Babuk** · 10-05-2004, 12:36

about:blank

E' una pagina con una miriade di links suddivisi per argomenti

**Babuk** · 10-05-2004, 17:51

Help Please

**amvinfe** · 11-05-2004, 01:37

posta un nuovo Log

**Babuk** · 11-05-2004, 08:52

Ho fatto come da richieste nelle altre discussioni:
riavviato il PC e fatta la scansione con solo HJT aperto senza nessuna altra applicazione (a parte firewall e antivirus che penso siano facili da identificare); non sapendo se potesse influire avevo anche ripulito la cache.
Dall'alto della mia IGNORANZA la riga che mi sembra più

sospetta

mi sembra l'ultima (guarda che figura farò davanti a tutti

)

Logfile of HijackThis v1.97.7
Scan saved at 8.35.19, on 11/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\NISUM.EXE
C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Norton Internet Security\ccPxySvc.exe
D:\Programmi Scaricati\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...898.0811921296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B4CAC53-4A20-4081-99D7-20E667CEED39}: NameServer = 151.99.125.2,151.99.252.2

**amvinfe** · 11-05-2004, 10:45

dal log non vedo problemi, l'unica cosa che può essere è una .dll che non è visibile neanche con lo HijackThis, l'hijacker si chiama CWS.Realyellowpage

quindi procedi come segue

Scaricati questo programma
http://www.spywareinfo.com/~merijn/files/pv.zip
Crea una nuova cartella, metti al suo interno il file .zip
assicurati d'avere una sola finestra di IE aperta, estrai il file pv.zip all'interno della propria cartella e apri il file runme.bat si aprirà il Notepad con una lista di .dll copiane qui il risultato. Se troviamo questo identificativo
61c00000 61440
allora già siamo a buon punto.

**Babuk** · 11-05-2004, 12:00

Quì c'è quello che mi hai chiesto, mo non ho trovato l'identifiativo a cui facevi cenno....
Il mistero si infittisce!!!

Module information for 'iexplore.exe'
MODULE BASE SIZE PATH
iexplore.exe 400000 102400 C:\Programmi\Internet Explorer\iexplore.exe
ntdll.dll 77f40000 708608 C:\WINDOWS\System32\ntdll.dll
kernel32.dll 77e40000 987136 C:\WINDOWS\system32\kernel32.dll
msvcrt.dll 77be0000 339968 C:\WINDOWS\system32\msvcrt.dll
USER32.dll 77d10000 548864 C:\WINDOWS\system32\USER32.dll
GDI32.dll 77c40000 262144 C:\WINDOWS\system32\GDI32.dll
ADVAPI32.dll 77da0000 643072 C:\WINDOWS\system32\ADVAPI32.dll
RPCRT4.dll 78000000 548864 C:\WINDOWS\system32\RPCRT4.dll
SHLWAPI.dll 63180000 413696 C:\WINDOWS\system32\SHLWAPI.dll
SHDOCVW.dll 71700000 1347584 C:\WINDOWS\System32\SHDOCVW.dll
comctl32.dll 78090000 933888 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll
SHELL32.dll 773a0000 8359936 C:\WINDOWS\system32\SHELL32.dll
comctl32.dll 77310000 569344 C:\WINDOWS\system32\comctl32.dll
ole32.dll 7d4f0000 1183744 C:\WINDOWS\system32\ole32.dll
BROWSEUI.dll 75f30000 1032192 C:\WINDOWS\System32\BROWSEUI.dll
browselc.dll 723c0000 77824 C:\WINDOWS\System32\browselc.dll
appHelp.dll 75ef0000 122880 C:\WINDOWS\system32\appHelp.dll
CLBCATQ.DLL 76f90000 491520 C:\WINDOWS\System32\CLBCATQ.DLL
OLEAUT32.dll 770f0000 569344 C:\WINDOWS\system32\OLEAUT32.dll
COMRes.dll 77010000 860160 C:\WINDOWS\System32\COMRes.dll
VERSION.dll 77bd0000 28672 C:\WINDOWS\system32\VERSION.dll
UxTheme.dll 5b180000 212992 C:\WINDOWS\System32\UxTheme.dll
WININET.dll 761b0000 626688 C:\WINDOWS\system32\WININET.dll
CRYPT32.dll 76270000 561152 C:\WINDOWS\system32\CRYPT32.dll
MSASN1.dll 76250000 61440 C:\WINDOWS\system32\MSASN1.dll
Secur32.dll 76f50000 65536 C:\WINDOWS\System32\Secur32.dll
cscui.dll 765d0000 327680 C:\WINDOWS\System32\cscui.dll
CSCDLL.dll 765b0000 110592 C:\WINDOWS\System32\CSCDLL.dll
SETUPAPI.dll 76630000 962560 C:\WINDOWS\System32\SETUPAPI.dll
USERENV.dll 75a20000 679936 C:\WINDOWS\system32\USERENV.dll
AcroIEHelper.dll 10000000 45056 C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
SDHelper.dll fc0000 733184 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
olepro32.dll 5f210000 106496 C:\WINDOWS\System32\olepro32.dll
NavShExt.dll 1180000 114688 C:\Programmi\Norton AntiVirus\NavShExt.dll
ccTrust.dll 11a0000 106496 C:\WINDOWS\System32\ccTrust.dll
MSVCP60.dll 76030000 397312 C:\WINDOWS\System32\MSVCP60.dll
ATL.DLL 76ae0000 86016 C:\WINDOWS\System32\ATL.DLL
urlmon.dll 1a400000 495616 C:\WINDOWS\system32\urlmon.dll
mshtml.dll 63580000 2818048 C:\WINDOWS\System32\mshtml.dll
shdoclc.dll 76120000 573440 C:\WINDOWS\System32\shdoclc.dll
chp.dll 1220000 118784 C:\WINDOWS\chp.dll
WSOCK32.dll 71a50000 36864 C:\WINDOWS\System32\WSOCK32.dll
WS2_32.dll 71a30000 81920 C:\WINDOWS\System32\WS2_32.dll
WS2HELP.dll 71a20000 32768 C:\WINDOWS\System32\WS2HELP.dll
MLANG.dll 74700000 585728 C:\WINDOWS\System32\MLANG.dll
mswsock.dll 719d0000 245760 C:\WINDOWS\System32\mswsock.dll
DNSAPI.dll 76ee0000 151552 C:\WINDOWS\System32\DNSAPI.dll
winrnr.dll 76f70000 28672 C:\WINDOWS\System32\winrnr.dll
WLDAP32.dll 76f20000 184320 C:\WINDOWS\system32\WLDAP32.dll
rasadhlp.dll 76f80000 20480 C:\WINDOWS\System32\rasadhlp.dll
msi.dll 1bb0000 2101248 C:\WINDOWS\System32\msi.dll
SXS.DLL 75e40000 684032 C:\WINDOWS\System32\SXS.DLL
msimtf.dll 74680000 155648 C:\WINDOWS\System32\msimtf.dll
MSCTF.dll 746b0000 278528 C:\WINDOWS\System32\MSCTF.dll
MSLS31.DLL 74650000 159744 C:\WINDOWS\System32\MSLS31.DLL
IMM32.DLL 76340000 114688 C:\WINDOWS\System32\IMM32.DLL
scrauth.dll 1f20000 110592 C:\Programmi\File comuni\Symantec Shared\Script Blocking\scrauth.dll
ScrBlock.dll 2040000 122880 C:\Programmi\File comuni\Symantec Shared\Script Blocking\ScrBlock.dll
wintrust.dll 76bf0000 176128 C:\WINDOWS\System32\wintrust.dll
IMAGEHLP.dll 76c50000 139264 C:\WINDOWS\system32\IMAGEHLP.dll
rsaenh.dll ffd0000 143360 C:\WINDOWS\System32\rsaenh.dll
wshtcpip.dll 71a10000 32768 C:\WINDOWS\System32\wshtcpip.dll
netapi32.dll 71bb0000 319488 C:\WINDOWS\System32\netapi32.dll
cryptnet.dll 73cc0000 65536 C:\WINDOWS\System32\cryptnet.dll
jscript.dll 6b700000 589824 c:\windows\system32\jscript.dll
MPR.dll 71aa0000 69632 C:\WINDOWS\system32\MPR.dll
drprov.dll 75f10000 24576 C:\WINDOWS\System32\drprov.dll
ntlanman.dll 71ba0000 53248 C:\WINDOWS\System32\ntlanman.dll
NETUI0.dll 71c60000 90112 C:\WINDOWS\System32\NETUI0.dll
NETUI1.dll 71c20000 245760 C:\WINDOWS\System32\NETUI1.dll
NETRAP.dll 71c10000 24576 C:\WINDOWS\System32\NETRAP.dll
SAMLIB.dll 71b80000 69632 C:\WINDOWS\System32\SAMLIB.dll
davclnt.dll 75f20000 36864 C:\WINDOWS\System32\davclnt.dll
MSGINA.dll 75920000 991232 C:\WINDOWS\System32\MSGINA.dll
WINSTA.dll 76310000 61440 C:\WINDOWS\System32\WINSTA.dll
ODBC32.dll 28c0000 204800 C:\WINDOWS\System32\ODBC32.dll
comdlg32.dll 76360000 286720 C:\WINDOWS\system32\comdlg32.dll
odbcint.dll 1f850000 98304 C:\WINDOWS\System32\odbcint.dll
WINMM.dll 76b00000 184320 C:\WINDOWS\System32\WINMM.dll
wdmaud.drv 72c90000 36864 C:\WINDOWS\System32\wdmaud.drv
msacm32.drv 72c80000 32768 C:\WINDOWS\System32\msacm32.drv
MSACM32.dll 77bb0000 81920 C:\WINDOWS\System32\MSACM32.dll
midimap.dll 77ba0000 28672 C:\WINDOWS\System32\midimap.dll
RASAPI32.DLL 76ea0000 225280 C:\WINDOWS\System32\RASAPI32.DLL
rasman.dll 76e50000 69632 C:\WINDOWS\System32\rasman.dll
TAPI32.dll 76e70000 176128 C:\WINDOWS\System32\TAPI32.dll
rtutils.dll 76e40000 53248 C:\WINDOWS\System32\rtutils.dll
sensapi.dll 72240000 20480 C:\WINDOWS\System32\sensapi.dll
mshtmled.dll 74c40000 454656 C:\WINDOWS\System32\mshtmled.dll

**amvinfe** · 11-05-2004, 13:34

purtroppo non c'è, hai provato a fare una scansione con AdAware (aggiornato)?

**Babuk** · 11-05-2004, 14:32

Ho provato a fare una prima scansione con AdAware che mi ha trovato e messo in quarantena questi 6 elementi:

ArchiveData(auto-quarantine- 11-05-2004 14-13-29.bckp)
================================================== ====

ALEXA
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[0]=RegKey : SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

CLARIA
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[1]=RegKey : CLSID\{21FFB6C0-0DA1-11D5-A9D5-00500413153C}
obj[2]=RegKey : SOFTWARE\Gator.com
obj[4]=Folder : c:\docume~1\alex\impost~1\temp\fsg_tmp

WINDOWS
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[3]=RegData : Software\Policies\Microsoft\Internet Explorer\Control Panel

TRACKING COOKIE
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[5]=File : c:\documents and settings\alex\cookies\alex@cgi-bin[1].txt

L'unico miglioramento è stato nel fatto che adesso la pagina iniziale era modificabile manualmente.
Dopo aver impostato la MIA homepage, al secondo riavvìo di IE mi sono ritrovato la solita pagina about:blank davanti...
Ho scaricato l'iultimo aggiornamento disponibile di AdAware e mi ha trovato e messo in quarantena questi altri due simpaticoni:

ArchiveData(auto-quarantine- 11-05-2004 14-21-07.bckp)
================================================== ====

POSSIBLE BROWSER HIJACK ATTEMPT
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[0]=RegData : Software\Microsoft\Internet Explorer\Main

BROADCASTPC
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[1]=RegKey : Software\Softwrap

Quando li ho visti ho tirati un sospiro di sollievo...
All'apertura del browser si era impostata in automatico la pagina di MSN come homepage e allora YUPPIEE, ma alla seconda riapertura di IE riecco comparire

about:blank

A questo punto, posso prendere a testate il monitor?

Discussione: explorer - pagina iniziale

Strumenti discussione

Ricerca discussione

Visualizza

explorer - pagina iniziale

UP

eccolo

non c'è....

sempre peggio!!!

Permessi di invio