Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 4 su 4

Discussione: Home page cambiata

  1. 24-08-2004, 15:14 #1
    l'evangelista
    l'evangelista non è in linea
    Utente di HTML.it L'avatar di l'evangelista
    Registrato dal
    Jun 2002
    Messaggi
    840

    Home page cambiata

    Ciao a tutti
    Qualcosa è entrato nel mio computer e provoca di continuo il cambiamento della home di Internet Explorer.
    Ho lanciato spybot e adware, ovviamente sono stati capaci di trovare si e no qualche cookie.
    Ho lanciato the cleaner, ha tolto qualcosa ma dopo un pò riecco la home page cambiata. Ogni volta che pulisco il registro o cancello i file incriminati, dopo un pò riappare una nuova dll, nel log qui sotto stavolta si chiama onilhfa.dll.
    A questo punto presumo si tratti di un virus, ma non riesco ad accedere a trendmicro.com per la scansione online perchè mi segnala errore in una dll.
    Per caso avete idea di quale virus si tratti, cosi magari scarico un tool specifico?


    Logfile of HijackThis v1.98.2
    Scan saved at 15.18.54, on 24/08/2004
    Platform: Windows ME (Win9x 4.90.3000)
    MSIE: Internet Explorer v5.50 (5.50.4134.0600)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\TPWRTRAY.EXE
    C:\PROGRAMMI\THOMSON\SPEEDTOUCH USB\DRAGDIAG.EXE
    C:\PROGRAMMI\THE CLEANER\TCM.EXE
    C:\DOWLOAD\KOSTIT\KOSTIT187\KOSTIT.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\WINDOWS\SYSTEM\PSTORES.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAMMI\OUTLOOK EXPRESS\MSIMN.EXE
    C:\PROGRAMMI\MESSENGER\MSMSGS.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\PROGRAMMI\HTML BEAUTY 2\BEAUTY.EXE
    C:\PROGRAMMI\FILEZILLA\FILEZILLA.EXE
    C:\DOWLOAD\HIJACKTHIS_198\HIJACKTHIS.EXE
    C:\PROGRAMMI\MOZILLA FIREFOX\FIREFOX.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {6D0EC61E-2A5D-41A4-8B8B-404470EFDC1D} - C:\WINDOWS\SYSTEM\ONILHFA.DLL
    O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [tcactive] C:\PROGRAMMI\THE CLEANER\tca.exe
    O4 - HKLM\..\Run: [tcmonitor] C:\PROGRAMMI\THE CLEANER\tcm.exe
    O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programmi\Microsoft Works\WkDetect.exe
    O4 - Startup: KostIt.lnk = C:\dowload\kostit\kostit187\KostIt.exe
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
    O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
    O18 - Filter: text/html - {E5B26AE2-7F66-45B8-BCBB-B44303D48661} - C:\WINDOWS\SYSTEM\ONILHFA.DLL
    O18 - Filter: text/plain - {E5B26AE2-7F66-45B8-BCBB-B44303D48661} - C:\WINDOWS\SYSTEM\ONILHFA.DLL
    Rispondi quotando Rispondi quotando
  2. 24-08-2004, 18:14 #2
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Scaricati

    sphjfix

    Crea una nuova cartella sul desktop e mettici dentro l'eseguibile.

    Da -links utili- (Rilievo), scaricati
    AdAware (verifica che abbia le ultime definizioni)
    e
    CWShredder

    Ora con tutti i programmi chiusi (!),anche il browser dev'essere chiuso (!), apri la cartella precedentemente creata e clicca sul file sphjfix e poi su "start disinfection" finita la scansione riavvia e fai una nuova scansione.

    Riavvia in modalità provvisoria.

    Apri HijackThis (tutti i programmi DEVONO essere chiusi, anche il browser) clicca su Scan e metti la spunta al fianco dei valori e clicca su Fix Checked.

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
    O2 - BHO: (no name) - {6D0EC61E-2A5D-41A4-8B8B-404470EFDC1D} - C:\WINDOWS\SYSTEM\ONILHFA.DLL
    O18 - Filter: text/html - {E5B26AE2-7F66-45B8-BCBB-B44303D48661} - C:\WINDOWS\SYSTEM\ONILHFA.DLL
    O18 - Filter: text/plain - {E5B26AE2-7F66-45B8-BCBB-B44303D48661} - C:\WINDOWS\SYSTEM\ONILHFA.DLL


    verifica che NON ci sia la .dll nel percorso
    C:\WINDOWS\SYSTEM\ONILHFA.DLL
    nel caso (sempre dalla provvisoria) la elimini

    Apri, sempre dalla modalità provvisoria, AdAware fai la scansione ed elimina tutto quello che trova.

    Apri CWShredder e clicca su Fix. Riavvia il pc.

    Fai un nuovo Scan con HJT e posta il Log.
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  3. 25-08-2004, 09:44 #3
    l'evangelista
    l'evangelista non è in linea
    Utente di HTML.it L'avatar di l'evangelista
    Registrato dal
    Jun 2002
    Messaggi
    840
    Grazie tante amvinfe, ho fatto quello che hai detto e credo che adesso non ci siano piu problemi. Prima al riavvio del pc mi dava sempre un errore sul kernel32 che impediva l'avvio di the cleaner, adesso invece funziona tutto. Purtoppo non ho potuto usare cwshredder perchè il sito non è disponibile (anche su quello temporaneo, il link per scaricarlo va a vuoto). Credo che la svolta sia stata SpHjfix.exe, visto che con adware prima non risolvevo granchè nemmeno in provvisoria. Ma che fa di preciso questo piccolo tool?

    ecco il log e grazie ancora.

    Logfile of HijackThis v1.98.2
    Scan saved at 9.45.40, on 25/08/2004
    Platform: Windows ME (Win9x 4.90.3000)
    MSIE: Internet Explorer v5.50 (5.50.4134.0600)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\TPWRTRAY.EXE
    C:\PROGRAMMI\THOMSON\SPEEDTOUCH USB\DRAGDIAG.EXE
    C:\PROGRAMMI\THE CLEANER\TCA.EXE
    C:\PROGRAMMI\THE CLEANER\TCM.EXE
    C:\DOWLOAD\KOSTIT\KOSTIT187\KOSTIT.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\DOWLOAD\HIJACKTHIS_198\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [tcactive] C:\PROGRAMMI\THE CLEANER\tca.exe
    O4 - HKLM\..\Run: [tcmonitor] C:\PROGRAMMI\THE CLEANER\tcm.exe
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - Startup: KostIt.lnk = C:\dowload\kostit\kostit187\KostIt.exe
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
    O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
    Rispondi quotando Rispondi quotando
  4. 25-08-2004, 21:30 #4
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    riesce a rimuovere il file sp.html che l'hijacker installa nelle varie chiavi

    Sp hj fix


    il log è ok
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.