All'avvio IE visualizza una strana pagina. (SpyWare?)

[goat]

Ciao, quando avvio IE, nonostante abbiamo selezionato come prima pagina da visualizzare libero.it, mi si apre una pagina con l'indirizzo "about:blank" e subito dopo una pop-up, ogni volta diversa, che mi consiglia di cliccare il tasto "OK" per eliminate in pochi istanti gli SpyWare annidati nel mio computer. No, non ho cliccato ed ho avviato ben due scansioni con Spybot-search and destroy. Ho riavviato il computer ma l'anomalia persiste.
Consigli?
Aiuto.
goat

[goat]

Ho installato anche Ad-Ware SE Personal. Ho scansito il sistema e mi trova dei file che riconosce sospetti. Li elimino ma non cambia nulla e si ripresenta il problema. Adesso mi si aprono pure pop-up alla cacchio! Qualche consiglio?

[goat]

Usando SpyBot ancora e ancora vedo che i seguenti file, nonostante continui ad eliminarli, mi si ripresentano: CoolWWWSearch.Leftovers e CoolWWWSearch.AllCyberSerach

Rimango basito e in attesa di aiuto...
goat

[goat]

Sono tentato di usare l'utility HijackThis. Che dite?

[goat]

Ecco il responso che ho ottenuto dopo aver fatto analizzare il .log di HijackThis su questo sito www.ilsoftware.it/hijackthis.asp

Questi me li indica come sospetti o molto sospetti:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll/sp.html

O14 - IERESET.INF: START_PAGE_URL=http://www.interfree.it

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe

O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab

O18 - Filter: text/html - {8EDDBA0E-172A-4F65-B850-13E45644C67C} - C:\WINNT\System32\koam.dll

O18 - Filter: text/plain - {8EDDBA0E-172A-4F65-B850-13E45644C67C} - C:\WINNT\System32\koam.dll

Questi come sconosciuti:

O2 - BHO: (no name) - {C96EEDA5-0A08-42FC-9832-CE919D572E7B} - C:\WINNT\System32\koam.dll

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll,DllInsta ll

Posso procedere con l'eliminazione?

[amvinfe]

posta il log, fai prima

[amvinfe]

sì comunque tutti da eliminare

[goat]

Ecco il log dopo aver eliminato i files che ho indicato prima e dopo aver riavviato il sistema.

Logfile of HijackThis v1.99.1
Scan saved at 19.05.56, on 08/03/2005
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Programmi\InCD\InCD.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07. exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\rundll32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\HJThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.interfree.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_ 3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6035B201-FD2F-4F56-81DE-1C7B1BBC2E8E} - C:\WINNT\System32\koam.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_ 3_19_0.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\InCD\InCD.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07. exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll,DllInsta ll
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O18 - Filter: text/html - {80FB21AB-1F68-4EE1-9C75-3180C1F289F0} - C:\WINNT\System32\koam.dll
O18 - Filter: text/plain - {80FB21AB-1F68-4EE1-9C75-3180C1F289F0} - C:\WINNT\System32\koam.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

[amvinfe]

Scaricati AdAware ed aggiornalo e
http://www.trojaner-info.de/cgi-bin/...i?file=sphjfix
metti il suo eseguibile all'interno di una nuova cartella, apri la cartella ed esegui il file SpHjfix.exe, clicca su "Desinfektion starten" la scansione durerà solo pochi secondi, riavvia e ripeti la procedura.

elimina

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cus...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: (no name) - {6035B201-FD2F-4F56-81DE-1C7B1BBC2E8E} - C:\WINNT\System32\koam.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll,DllInsta ll
O18 - Filter: text/html - {80FB21AB-1F68-4EE1-9C75-3180C1F289F0} - C:\WINNT\System32\koam.dll
O18 - Filter: text/plain - {80FB21AB-1F68-4EE1-9C75-3180C1F289F0} - C:\WINNT\System32\koam.dll

riavvia in mod. provvisoria elimina se presenti
C:\WINNT\System32\koam.dll
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll

fai una scansione del disco con AdAware elimina i valori infetti, riavvia, posta un nuovo log.

[goat]

Uè, ho ripreso in mano tutto il discorso oggi che ieri sono dovuto scappare via. Ho applicato tutto il procedimento che mi hai descritto e sembrerebbe tutto a posto ora. Posto il nuovo .log. Che ne dici?

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Programmi\InCD\InCD.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07. exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINNT\System32\internat.exe
C:\Programmi\HJThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.interfree.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_ 3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {EA6BC6EC-86E4-4D2F-9A54-336F47D17BBE} - C:\WINNT\System32\koam.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_ 3_19_0.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\InCD\InCD.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07. exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe