Ho un Trojan.StartPage in sys.reg - Chi mi aiuta?

[sfera]

Salve a tutti! Da un po' di tempo a questa parte la scansione che facevo ogni 2 giorni col Norton mi trovava un trojan (una volta l'uno, una volta l'altro) di piccole dimensioni (tipo 1,5 kbyte) che potevo facilmente eliminare.
Stavolta risulta invece questo Trojan.StartPage che come dice il suo nome mi visualizza sempre una pagina all'apertura del browser (un motore di ricerca che però bloccavo sempre ancora prima che venisse visualizzato).
Adesso dalla scansione risulta che questo virus o trojan che sia è residente nel file sys.reg. Norton l'ha messo in quarantena, però dice che non può ripararlo, quindi di eliminarlo e sostituire quel file originale. Ma dove lo trovo? E quel file, sys.reg, a cosa serve e di quale programma fa parte? Del sistema operativo? Ho Windows 98. Qualcuno ha suggerimenti? Grazie mille!

[Cinder]

il file sys.reg fa parte del trojan, infatti il norton lo ha messo in quarantena. Puoi benissimo eliminarlo anche dalla quarantena, piuttosto controlla nel registro (per aprirlo vai su start - esegui (scrivi) regedit - clic su ok) alla chiave:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run]

clicca sulla cartella Run, guarda sulla parte destra dello schermo e se all'interno noti un icona con alla destra il seguente valore:

"sys"="regedit /s sys.reg"

eliminala col mouse, tasto destro sull'icona seleziona elimina.


Infine controlla le seguenti chiavi e se trovi link a quel motore di ricerca nei valori Start page, Search page e Search bar eliminali e sostituiscili . Basta fare doppio clic sull'icona Start page ( così come su search page e search bar ), cancellare il link , metterne uno nuovo e cliccare su ok

Ecco un esempio di come dovrebbero essere queste chiavi.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Start Page: http://www.libero.it

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Search Bar: http://arianna.libero.it


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Search Page: http://www.microsoft.com/isapi/redir...ie&ar=iesearch

[sfera]

Originariamente inviato da Cinder
il file sys.reg fa parte del trojan, infatti il norton lo ha messo in quarantena. Puoi benissimo eliminarlo anche dalla quarantena,

Ciao Cinder! Ti ringrazio innanzitutto per la completezza e la chiarezza del tuo aiuto. Ho però un dubbio: da quando il Norton ha messo in quarantena il sys.reg, quando avvio il pc mi compare una finestra di alert che indica che quel file è mancante. Anche la finestra di rapporto di Norton dice di eliminarlo, ma di sostitirlo con il file originale. Il computer cmq pare che funzioni normalmente.
Per eliminarlo problema non ce n'è, lo fa il Norton basta che clicchi sul pulsante apposito, ma poi è sicuro che invece quel sys.reg non serva a qualcos'altro, e non sia semplicemente il file che compone il virus, ma un file con una sua funzione (che non so quale è) infettato dal virus?
Grazie!

[Cinder]

Se hai seguito tutti i passaggi e all'avvio si presenta ancora quella schermata ( oppure ho capito male e quella schermata non appare piu adesso )

Vai su start- esegui-(scrivi) msconfig- clic su ok- vai alla scheda esecuzione automatica e se è presente il famoso valore di sys.reg togli la spunta e clicca su ok, e il pc chiederà di riavviarsi. A questo punto dovrebbe essere tutto ok!



Procedi senza problemi con l'eliminazione, il file in questione viene usato ( e lanciato in esecuzione dal trojan ) solo per modificare i valori search page start page ecc. nel tuo registro di configurazione. Così quando fai partire explorer o fai una ricerca sul web ....

[amvinfe]

Come ha scritto Cinder, il tuo problema è dovuto dal caricamento in esecuzione automatica di un file di questo Trojan/hijacker, se persiste il problema delle pagine che ti dirottano su motori di ricerca il problema (come spiegato da Cinder) risiede ancora nelle chiavi di registro.
Il file in questione è parte del trojan e probabilmente il suo percorso era C:\WINDOWS\sys.reg (il file dovrebbe pesare ~800 bytes).
Interessante sarebbe sapere il nome del motore di ricerca che veniva aperto in automatico, comunque come ti è stato già detto, fai sempre in tempo a fare una ricerca con un motore, google ad esempio (?).

[sfera]

Ciao a tutti!
La schermata non si apre più perchè il file sys.reg è stato messo in quarantena dal Norton e io l'ho eliminato dalla pagina iniziale di "opzioni internet". Non l'ho nemmeno mai visualizzata perchè, appena accortomi che non era la mia solita pagina (Yahoo) ho subito chiuso il collegamento e il browser. Solo che leggevo nella head che era qualcosa di diverso dalla mia pagina iniziale. Ho fatto male a non registrare tutto, comunque caricava due pagine contemporaneamente, una delle quali era http://insearch.qualcosa, e l'altra era un indirizzo http pieno di strani segni di interpunzione, di tilde e di lettere apparentemente casuali.
Il sys.reg come dice Amvinfe pesa sugli 800 bytes, ed ho visto, facendo una ricerca in rete su questo file, che lui stesso lo ha citato in un altro forum uno di suoi tre ampi thread dedicati ai virus.

L'unica cosa che non capisco è questa: se quel file non fa parte del sistema operativo o di un programma, perchè adesso che è in quarantena quando accendo il computer mi compare una finestra di alarm dove mi dice che è mancante?
Alla prossima riaccensione del pc me la copio ben bene e ve la posto!

Nel frattempo, ancora grazie a tutti voi!!

[amvinfe]

Perchè come scriveva Cinder un collegamento è quasi sicuramente rimasto in memoria nell'esecuzione automatica, dal sito che scrivi è causa, quasi sicuramente, di una variante dell'Hijacker CoolWebSearch, scaricati http://www.spywareinfo.com/~merijn/files/cwshredder.zip chiudi tutti i programmi, disconnettiti e lancia il programma. Facci sapere. Poi quando riuscirai ad allegare l'immagine cercheremo di capirci qualcosa di più.

Dimenticavo:
se ti si apre ancora la finestra con l'errore, vai in Start>Esegui scivi msconfig e sotto la linguetta Win.ini clicca sul + di [windows] e guarda cos'hai in run=

se dopo la scritta run= c'è scritto qualcosa la si deve rimuovere da Sysedit, il procedimento è delicato, quindi prima verifica e nel caso poi procediamo alla sua eliminazione

[sfera]

Mannaggiaaaaaaa!!!!!!!!
Allora, è successo questo: ho seguito passo passo le istruzioni di Cinder, ho trovato in diversi valori del regfistro il file bastardino e l'url cui mi reindirizzava, avevo scritto tutto quello che facevo in tempo reale, mentre lo facevo, sulla finestra del post, ma poi quando ho cliccato invio mi sono ritrovato alla pagina di html.it che mi chiedeva la pw, e perciò ora siamo al punto d'inizio, perchè il megapost che avevo scritto è stato mangiato dal sito: o meglio, io i miei problemi li ho risolti, ma quel dannato complicato url che vi interessava vedere è sparito, e insieme a quello anche altri!

Grazie ancora a voi, siete stati preziosissimi, e peccato che non sia riuscito a spedirvi l'url incriminato!!

[Cinder]

Lascia stare per gli url, era una nostra curiosità in quanto lo scopo era di descrivere e classificare al meglio il trojan e suoi possibili effetti sul sistema, l'importante e che tu abbia risolto e che all'avvio non si ripresenti quell'avviso.



ps: Marco il valore residuo da eliminare era in esecuzione automatica ( ultimo passaggio prima di riavviare il pc), fatto questo è scomparso l'alert all'avvio, quindi nelle righe load= e Run=
di win.ini e tutto ok

[P®incipe]

E' relativamente molto semplice individuare il trojan che crea ad ogni riavvio della macchina il file .exe che poi viene autoeseguito e va a modificare le informazioni del registro.

E' un eseguibile appunto che solitamente viene posto nella directory C:\WINDOWS\SYSTEM32 il quale, ad ogni riavvio del pc, si replica con nomi diversi e ha la caratteristica di avere attributi di file nascosto (per cui un utente non molto esperto non riesce assolutamente a scovarlo..); usa nomi alquanto simil-credibili come:

Internet.exe
Iexplorer32.exe

oppure

Time.exe
System32.exe

...e via discorrendo..


Quello che sinceramente non capisco è come questi file possano entrare nel disco tramite internet e apertura o chiusura dei vari pop-up...qualcuno lo sa con precisione?