mi appare sempre questa pagin iniziale quando avvio i.e.
ho fatto girare ad-ware e spybot aggiornati e in + cwshredder e HijackThis...ma la pagina mi si ricarica comunque !?!?
da dove la devo estirpare ???...rompe proprio....
mi appare sempre questa pagin iniziale quando avvio i.e.
ho fatto girare ad-ware e spybot aggiornati e in + cwshredder e HijackThis...ma la pagina mi si ricarica comunque !?!?
da dove la devo estirpare ???...rompe proprio....
Ciao,
copia qui il Log di HijackThis, vediamo insieme cos'è che ti fa impostare about-blank compe pagina iniziale.
è questo ?....
Logfile of HijackThis v1.97.5
Scan saved at 17.43.25, on 17/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Microsoft Office\Office10\msoffice.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Downloads\Antivirus\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {958399CF-63F8-439B-B9DC-FE4BC0F5AC6A} - C:\WINDOWS\System32\boekcaa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C7B6F96-2E12-48CC-99CA-6F0289C402FA}: NameServer = 62.211.69.150,212.48.4.15
sì, allora hai tante voci da rimuovere, ma hai una versione vecchia di Hijackthis. La nuova, 1.97.7 la puoi scaricare da -links utili- è in rilievo, una volta scaricata procedi come hai fatto con la versione vecchia, se hai bisogno sempre in -links utili- c'è un tutorial.
fai tutto poi posta nuovamente il Log
fatto:
Logfile of HijackThis v1.97.7
Scan saved at 17.59.46, on 17/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Microsoft Office\Office10\msoffice.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sndrec32.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Stefano\IMPOST~1\Temp\Rar$EX00.953\Hij ackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
O2 - BHO: (no name) - {958399CF-63F8-439B-B9DC-FE4BC0F5AC6A} - C:\WINDOWS\System32\boekcaa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C7B6F96-2E12-48CC-99CA-6F0289C402FA}: NameServer = 62.211.69.150,212.48.4.15
Ecco adesso sì, prima di farti rimouvere le voci con HijackThis devi sempre da -links utili- scaricarti CWShredder, in quanto il tuo pc è infettato dalla variante 16 (CWS.Addclass) di CoolWebSearch.
Ma devi fare come ti scrivo:
scaricati CWShredder, disconnettiti, chiudi il broswer (IE), apri CWShredder, clicca su Fix e segui le istruzioni (sono semplici), ricordati che dalla versione 1.56 in poi CWShredder da modo di recuperare i files cancellati dal cestino. Quindi se lasci la spunta che ti permette il recupero dei files dal cestino, ricordati anche poi, di cancellarli.
se hai modo di stamparti questa pagina, lavori in modo più comodo
Finita la scansione con CWShredder RICORDATI di riavviare il pc e di fare una nuova scansione con HijackThis e di postare qui il nuovo Log
grazie...ma CWShredder non è quello che ho già fatto girare ?...
cmq domani mattina provo tutto e posto il log...
ciao
sì, ma non so se quello che hai fatto girare è l'ultima versione disponibile. Nel caso tu abbia usato la versione 1.56.2 allora non ti resta che eliminare i seguenti valori presenti nel secondo tuo Log:Originariamente inviato da steghi
grazie...ma CWShredder non è quello che ho già fatto girare ?...
cmq domani mattina provo tutto e posto il log...
ciao
chiudi tutte le applicazioni, broswer ed internet compresi, apri HijackThis, clicca su Scan, metti la spunta al fianco delle seguenti voci clicca su Fix checked
C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\boekcaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about :blank
O2 - BHO: (no name) - {958399CF-63F8-439B-B9DC-FE4BC0F5AC6A} - C:\WINDOWS\System32\boekcaa.dll
O13 - WWW. Prefix: http://ehttp.cc/?
Riavvia in modalità provvisoria è importante (premi il tasto F8 dopo che il BIOS è stato caricato e prima che venga caricato il sistema operativo).
Cerca ed elimina la seguente libreria boekcaa.dll
il percorso è
C:\WINDOWS\System32\boekcaa.dll <=== solo la libreria
cerca ed elimina se presente
C:\WINDOWS\downlo~1\ 9fub9qt\s42xrr.exe
Riavvia e posta un nuovo Log
allora...ho fatto girare CWShredder 1.56.2 , poi ho riavviato...mi ha trovato google come sempre...pensavo fosse andato tutto a posto, ma quando ho aperto una seconda sessione di i.e. mi sono ritrovato sempre about:blank...porcaccia miseria...ri-posto il log:
Logfile of HijackThis v1.97.7
Scan saved at 18.37.22, on 18/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Microsoft Office\Office10\msoffice.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Downloads\Antivirus\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gpfm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gpfm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gpfm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gpfm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gpfm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gpfm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
O2 - BHO: (no name) - {096D46D9-2F82-4B2B-AE51-252C72E81C11} - C:\WINDOWS\System32\gpfm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C7B6F96-2E12-48CC-99CA-6F0289C402FA}: NameServer = 62.211.69.150,212.48.4.15
devo fare come da tuo ultimo post ?
come pensavo, ha rinominato la .dll
allora stessa cosa che ho scritto sopra, seleziona e clicca su Fix checked. Broswre e internet devono essere chiusi.
C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gpfm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gpfm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gpfm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gpfm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gpfm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gpfm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about :blank
O2 - BHO: (no name) - {096D46D9-2F82-4B2B-AE51-252C72E81C11} - C:\WINDOWS\System32\gpfm.dll
Riavvia in modalità provvisoria è importante (premi il tasto F8 dopo che il BIOS è stato caricato e prima che venga caricato il sistema operativo).
Cerca ed elimina la seguente libreria gpfm.dll
il percorso è
C:\WINDOWS\System32\gpfm.dll <=== solo la libreria
cerca ed elimina se presente
C:\WINDOWS\downlo~1\ 9fub9qt\s42xrr.exe
Riavvia e posta un nuovo Log
Permessi di invio
Rispondi quotando