View Full Version : Rimuovere about:blank


MrOZ
27-05-2004, 01:20
Per rimuovere l'infezione da about:blank seguite questa procedura manuale (x win XP e win 2000):

http://www.zerosrealm.com/index.php?page=dllfix

Jaguar64bit
27-05-2004, 01:23
Ma con SpywareBlaster si e' immuni da queste rogne ?

MrOZ
27-05-2004, 01:49
Originariamente inviato da Jaguar64bit
Ma con SpywareBlaster si e' immuni da queste rogne ?

Con spywareblaster si è certamente + sicuri in quanto impedisce l'installazione di numerosi spyware-hijacker. Però dei vari spyware compaiono spesso diverse varianti e non sempre vengono immediatamente incluse le definizioni nel prog. Rendersi immuni a qualsiasi spyware-hijacker è praticamente impossibile... si può solo cercare di essere il + protetti possibile, e più che altro bisogna stare attenti a qualsiasi cosa durante la navigazione sul web.

Sempre x spywareblaster, dovresti controllare il suo database delle definizioni.
Inoltre esiste anche una procedura manuale x aggiungere oggetti nuovi da cui spywareblaster non protegge http://www.wilderssecurity.com/showthread.php?t=13684&page=1

High Speed
27-05-2004, 03:19
scusate ma io ho impstato per default la pagina about:blank

e pensavo fosse un errore di adware che pensava fosse un attacco...

che devo fare ?

MACC
27-05-2004, 09:52
Per windows 98 questa procedura non funziona...:cry: :cry:

genio2002
27-05-2004, 10:37
--==***@@@ FIND-ALL' VERSION 5.2 -5/18 @@@***==--

27/05/2004
10.32

System Info:

Microsoft Windows XP [Versione 5.1.2600]
C: "" (E456:0650) - FS:NTFS clusters:4k
Total: 40 024 178 688 [37G] - Free: 11 922 792 448 [11G]


*IE version and Service packs:
6.0.2800.1106 C:\Programmi\Internet Explorer\Iexplore.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q818529;Q822925;Q330994;Q828750;Q824145;Q832894;Q837009;Q831167;

*Google Toolbar version and Attributes:
2.0.111.0 C:\Programmi\google\googletoolbar1.dll
Defaults: "A" ;"R"
Impossibile trovare il file - C:\Programmi\google\googletoolbar2.dll
A C:\Programmi\google\GoogleToolbar1.dll

*UserAgent:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"vadsl1_0"="IEAK"


*Wmplayer version:
8.0.0.4490 C:\Programmi\Windows Media Player\wmplayer.exe
6.4.9.1125 C:\Programmi\Windows Media Player\mplayer2.exe

*M$Java version:
5.0.3810.0 C:\WINDOWS\System32\msjava.dll


*PC uptime:
10:32am up 0 days, 1:00
Locked or 'Suspect' file(s) found...
\\?\C:\WINDOWS\System32\SQL.DLL +++ File read error
\\?\C:\WINDOWS\System32\SQL.DLL +++ File read error


*List of top level windows:
HWND PID PRIO TITLE
1302a4 1092 norm SysFader
50084 1092 norm Menu Avvio
50040 1092 norm _Shell_TrayWnd
d0232 3216 norm InvestireOggi.it :: Guarda il topic - Poichè sono i cittadini a pagare attraver
1202a8 1092 norm dllfix
c02fe 1456 norm C:\WINDOWS\System32\cmd.exe
4026c 1816 norm FINECO - Microsoft Internet Explorer
1015c 980 norm Sygate Personal Firewall Pro
803fe 3980 norm Hardware Upgrade Forum - Rimuovere about:blank - Microsoft Internet Explorer
110412 3980 norm SysFader
2024c 1816 norm SysFader
100e2 1376 norm Norton AntiVirus
10028 544 high NetDDE Agent
30306 3216 norm MCI command handling window
201f4 3216 norm DDE Server Window
30434 2868 norm Yahoo! Messenger
403fc 3980 norm MCI command handling window
903a0 3980 norm DDE Server Window
2049a 2868 norm MCI command handling window
10494 2868 norm Peer Listen Window
1048a 2868 norm HIDDEN WINDOW
1047a 2868 norm NET WINDOW
2044e 2868 norm AXWIN Frame Window
2044c 2868 norm AXWIN Frame Window
30464 2868 norm Y!TrayWnd
3046e 2868 norm DDE Server Window
800a2 1816 norm MCI command handling window
10216 1816 norm DDE Server Window
10188 980 norm Log Viewer
a013a 980 norm SS
30148 356 norm lxai POR Monitor
30142 356 norm LXAZ POR Monitor
2013c 356 norm LEXLMPM
1010c 476 norm
100f4 476 norm LexPPS BCE Comm Window
100e0 1376 norm DefAlert_Window_29DABAC8-AB93-43f3-926D-1DDE0C909FDF
200d4 1376 norm ccApp
200c8 1488 norm DSLAGENT
100c0 1468 norm GlobeSpan Cpl Target Window
100be 1428 norm Monitor dei materiali di consumo Lexmark
100b4 1092 norm Connections Tray
100a6 1092 norm Misuratore alimentazione
100a4 1092 norm MS_WebcheckMonitor
30274 3216 norm SysFader
10082 1092 norm Program Manager
101a0 980 norm M
1015e 980 norm Default IME
30044 1092 norm M
30042 1092 norm Default IME
401e4 3216 norm M
c022c 3216 norm Default IME
1202a6 1092 norm M
120224 1092 norm Default IME
20280 1816 norm M
30266 1816 norm Default IME
10096 1092 norm M
30058 1092 norm Default IME
60548 3980 norm M
1403d0 3980 norm Default IME
10478 2868 norm M
3045e 2868 norm Default IME
200cc 1376 norm M
100e4 1376 norm Default IME
100ba 1348 norm Default IME
20304 3216 norm Default IME
301de 1816 norm M
301e2 1816 norm Default IME
502ea 3980 norm M
1403a4 3980 norm Default IME
903d4 3980 norm Default IME
2049c 2868 norm Default IME
10496 2868 norm Default IME
1048c 2868 norm Default IME
1047c 2868 norm Default IME
20246 1816 norm Default IME
20272 1816 norm Default IME
20152 980 norm Default IME
10156 836 norm Default IME
1014a 356 norm Default IME
10144 356 norm Default IME
1013e 356 norm Default IME
1010e 476 norm Default IME
100f6 476 norm Default IME
100dc 1376 norm Default IME
200ce 1376 norm Default IME
100ca 1488 norm Default IME
100c4 1468 norm Default IME
100c2 1428 norm Default IME
100a8 1092 norm Default IME
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ED8D1BB3-3AB8-47BB-BF98-9355A37B8B24}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{4782F44D-FAEB-41CC-A0BB-ADF5A5E6CA96}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{4782F44D-FAEB-41CC-A0BB-ADF5A5E6CA96}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

*Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read BUILTIN\Users
(ID-IO) ALLOW Read BUILTIN\Users
(ID-NI) ALLOW QWCEN-DS-- BUILTIN\Power Users
(ID-IO) ALLOW QWCEN-DS-- BUILTIN\Power Users
(ID-NI) ALLOW Full access BUILTIN\Administrators
(ID-IO) ALLOW Full access BUILTIN\Administrators
(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-NI) ALLOW Full access A6F-ULTZWUCGR9H\nic
(ID-IO) ALLOW Full access CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Users
QWCEN-DS-- BUILTIN\Power Users
Full access BUILTIN\Administrators
Full access NT AUTHORITY\SYSTEM
Full access A6F-ULTZWUCGR9H\nic




MrOZ
27-05-2004, 12:23
Originariamente inviato da MACC
Per windows 98 questa procedura non funziona...:cry: :cry:

Sì , la procedura che ho postato è specifica x win 2000/XP ...stasera ne posto una diversa x win 98.

The Lenny
31-05-2004, 01:07
sommo mrOZ...una curiosità...
come hight speed, anch'io credevo(e credo tutt'ora) che ad-aware "confondesse" una mia scelta (pagina bianca all'apertura di IE) con un meno simpatico Worm..tuttavia, se rimuovo il presunto malaware, puntualmente iE mi parte con la home di msm..se reimposto x la pagina vuota, con ad-aware siamo punto e a capo.. quindi presumo:
1- che non si tratta del worm
2- che il mio problema è con www.msm.it... che è sempre in agguato...
possibile che ad-aware sgarri così?

MrOZ
02-06-2004, 12:40
Originariamente inviato da The Lenny
sommo mrOZ...una curiosità...
come hight speed, anch'io credevo(e credo tutt'ora) che ad-aware "confondesse" una mia scelta (pagina bianca all'apertura di IE) con un meno simpatico Worm..tuttavia, se rimuovo il presunto malaware, puntualmente iE mi parte con la home di msm..se reimposto x la pagina vuota, con ad-aware siamo punto e a capo.. quindi presumo:
1- che non si tratta del worm
2- che il mio problema è con www.msm.it... che è sempre in agguato...
possibile che ad-aware sgarri così?

Adaware6 riconosce come pericoloso il fatto di avere about:blank come homepage x' è il comportamento caratteristico di una ostica variante di CWS.

Se uno è sicuro di non essere infetto e di aver impostato personalmente la homepage su about:blank deve fare così:

alla fine della scan di adaware6, quando il prog mostra i risultati, cliccare col tasto destro sul valore about:blank ed aggiungerlo alla ignore list. In questo modo adaware6 non lo considererà + un comportamento da malware.

Il fatto della comparsa di msn.it come homepage, è dovuto al fatto che quando una homepage viene tolta dal registro, viene rimpiazzata dalla homepage predefinita che viene settata all'installazione di windows, cioè msn.

Ciao.

The Lenny
02-06-2004, 13:36
:yeah: :cincin:

grey.fox
02-06-2004, 21:31
EDIT
Ho risolto! Grazie mille!!:)

laherte
03-06-2004, 19:33
dllfix mi dà il seguente messaggio dopo aver specificato il file dll:
"impossibile trovare la chiave del registro di sistema o il valore specificato"

la dll l'ho trovata grazie a CWShredder perchè nel file output non era indicato nulla

cmq io ho un bel spyware grosso come una casa e non riesco ad eliminarlo nemmeno utilizzando la funzione di windows di ripristinare il registro a qualche giorno fa

che faccio??

pessotto
07-06-2004, 02:10
con difix mi esce questo log
System Info:

Microsoft Windows XP [Versione 5.1.2600]
C: "" (407F:7E82) - FS:NTFS clusters:512
Total: 41 109 916 672 [38G] - Free: 33 320 444 416 [31G]


*IE version and Service packs:
6.0.2800.1106 C:\Programmi\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\system32\notepad.exe
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
8.0.0.4490 C:\Programmi\Windows Media Player\wmplayer.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q837009;Q832894;Q831167;



Locked or 'Suspect' file(s) found...
* result\\?\C:\WINDOWS\System32\KBDILN.DLL
* result: not locked...C:\WINDOWS\System32\KBDILN.DLL


Scanning for main Hijacker:
File found was C:\WINDOWS\System32\JBJD.DLL
Md5 tested As 0758CF635DF08AC381962F74832B6484


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0494D0D1-F8E0-41ad-92A3-14154ECE70AC}]
@="myBar BHO"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8B1AF3B2-ED32-402D-A68D-2AC4AA5CA57E}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
@="NAV Helper"

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{6D709FED-50C3-4FD7-BF1D-E2F75FFAA6CD}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{6D709FED-50C3-4FD7-BF1D-E2F75FFAA6CD}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

*Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Can't open Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:

2 - Impossibile trovare il file specificato.





TRA I FILE SUSPECT HO
Locked or 'Suspect' file(s) found...
* result\\?\C:\WINDOWS\System32\KBDILN.DLL
* result: not locked...C:\WINDOWS\System32\KBDILN.DLL

questi appunto, ma quando devo scriverli nel secondo passaggio cosa scrivo di preciso...
parto da C:\WINDOWS e finisco con .DLL?
spero mi potrete aiutare

pesso

MrOZ
07-06-2004, 12:53
Il percorso C:/windows/system32 compare già di default , tu devi inserire di seguito il nome della dll: xxxx.DLL

Qui c'è il tutorial originale con le immagini

http://forums.subratam.org/index.php?showtopic=583

pessotto
07-06-2004, 13:35
mi dice " impossibile trovare la chiave del registro di sistema o il valore specificato"

pessotto
08-06-2004, 00:55
penso di avere risolto...
finalm posso impostare la pag iniziale
grazie di tutto, sei davvero un mago

TIX74
12-06-2004, 14:19
Io con dllfix sono riuscito a scovare le dll sospette ma non a rimuoverle, mi trova un errore di registro e non riesce a rimuovrele..boh!
I file responsabili sono questi:
hemcpa.dll
msbk.dll

se trovate questi files sul vostro hard disk (\windows\system32\)
dovrete rimuoverli e risolvete tutto!
Scaricatevi una utility che si chiama "Remove on Reboot" ed usatela per cancellare le due dll che sono quelle responsabili di questa stramaledetta pagina di search che si imposta in automatico e sembra non voler mai andare via!

Installate Remove on Reboot...
Poi andate alla directory e col click destro selezionate la nuova voce dalla finestra "Remove on reboot" sui seguenti files
c:\windows\system32\hemcpa.dll
c:\windows\system32\msbk.dll

Riavviate il pc (così si elimineranno le 2 dll ora impossibili da cancellare).

Tornati a windows eliminate tutte le porcherie rimaste nel registro con Adaware e con CWShredder.

Ora cliccate sull' icona dell' Explorer e finalmente anche cliccandoci nuovamente la diabolica pagina di search sarà sparita per sempre!

Pleura
16-06-2004, 21:07
--==***@@@ FIND-ALL' VERSION MODIFIED -6/14 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--

16/06/2004
21.02

System Info:

Microsoft Windows XP [Versione 5.1.2600]


*IE version and Service packs:
*Notepad version :
*Media Player version :


Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
If not file is listed than Dllfix may not Help.
in this case please post the contents of Windows.txt to the appinit
entry can be checked. You will find it in the dllfix folder after findall completes.
Impossibile trovare il percorso specificato.
Impossibile trovare il percorso specificato.


Scanning for main Hijacker:


Dllfix must have the Hijackerfiles in system32 to fix properly.
If there are no protocal keys text/html and text/plain
then dllfix may not work. This fix targets this type Hijack Entry.
that keeps reoccuring with different filenames.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
= res://C:\WINDOWS\System32\xxxxxx.dll/sp.html (obfuscated)
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0B7CF0C1-AE5A-B428-6229-E649815FF71C}]
@=""

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

*Security settings for 'Windows' key:

If error than registry may need to be restored from option 4.




aiutoooo....questo mi è venuto fuori.......ora che devo selezionare?

High Speed
16-06-2004, 22:36
Originariamente inviato da MrOZ

Se uno è sicuro di non essere infetto e di aver impostato personalmente la homepage su about:blank deve fare così:

alla fine della scan di adaware6, quando il prog mostra i risultati, cliccare col tasto destro sul valore about:blank ed aggiungerlo alla ignore list. In questo modo adaware6 non lo considererà + un comportamento da malware.


Ciao.

infatti ho fatto dei test ed era ad-aware che era troppo premuroso....
e di conseguenza avevo impostato su ignora

ciao;)

Pleura
17-06-2004, 16:45
ma a me non risponde nessuno?....:( ....chi devo ungere per avere un pò di attenzione?:confused:

silgeo71
18-06-2004, 10:28
ho letto con piacere le istruzioni per rimuovere about:blank mi era capitato d'incontrarlo un pò di tempo fà... e con alcuni espedienti avevo più o meno risolto.
Però i link che ho trovato sulla spiegazione non funzionano!

mi dite se ce ne sono degli altri...
grazie

onirp
18-06-2004, 15:31
grazie ora provo a vedere se con il fix,se la mia procedura è stata abbastanza efficace!!!!!!!!!!!:p :p :p

michelinton
19-06-2004, 15:47
Originariamente inviato da silgeo71
ho letto con piacere le istruzioni per rimuovere about:blank mi era capitato d'incontrarlo un pò di tempo fà... e con alcuni espedienti avevo più o meno risolto.
Però i link che ho trovato sulla spiegazione non funzionano!

mi dite se ce ne sono degli altri...
grazie


Si...in effetti i link nn funzionano!!!!

Anch'io ho questo problemino.Qualcuno posti per cortesia un link funzionante:)

TIX74
19-06-2004, 18:36
Nella pagina precedente ho descritto cosa fare esattamente per rimuovere quella stramaledettissima search page.. quindi date un' occhiata al mio post e fate come vi dico.. per le utility le trovate subito con google..

mexy
21-06-2004, 14:35
ciao a tutti
all'inizio è stata postata la procedura per win XP E 2000.

Io ho win 98 ... come posso fare? :muro:

grazie

AlanSY
22-06-2004, 01:05
ma se faccio un ripristino di Win con il cd risolvo?? così do pure una bella ripulita al registro

Trabant
22-06-2004, 16:08
C'è un sistema che disabilita la possibilità per IE di aprire le pagine about:blank, l'ho usato una volta per rimuovere CoolWebSearch, stasera ve lo posto.

Aphex
22-06-2004, 21:46
QUOTE]C'è un sistema che disabilita la possibilità per IE di aprire le pagine about:blank, l'ho usato una volta per rimuovere CoolWebSearch, stasera ve lo posto.[/QUOTE]

Ragazzi ve ne sarei molto grato....in questo periodo nel mio pc i virus riescono ad entrare con estrema facilità...

In questi giorni sto combattendo con il problema about:blank....e con un trojandownloader.Agent.AN....

Chi mi può aiutare?

grazie.

MrOZ
23-06-2004, 01:34
Originariamente inviato da Aphex
Ragazzi ve ne sarei molto grato....in questo periodo nel mio pc i virus riescono ad entrare con estrema facilità...

In questi giorni sto combattendo con il problema about:blank....e con un trojandownloader.Agent.AN....

Chi mi può aiutare?

grazie.

Primaditutto prova adaware6: aggiornalo e fai uno scan in mod provvisoria e vedi se ti elimina qualcosa.

se il prob permane posta un log di hijackthis.

Aphex
23-06-2004, 15:15
Ciao...ho fatto come mi hai detto....adware mi ha cancello una roba come oltre 2000 file.....ma appena mi riconnetto...ecco di nuovo i tentativi di lovesan.....

comunque questo è il log.

Logfile of HijackThis v1.97.7
Scan saved at 15.12.52, on 23/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Logitech\QCDriver2\LVCOMS.EXE
C:\Programmi\Logitech\ImageStudio\LogiTray.exe
C:\Programmi\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programmi\File comuni\ACD Systems\IT\DevDetect.exe
C:\Programmi\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programmi\ICQPlus\vplus.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\addca32.exe
C:\PROGRA~1\Logitech\Video\FxSvr2.exe
G:\TMP\Anti SpyWare - Hijackthis v1.97.7 - Toolbars & Explorer Menus Cleanup - 2003\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qggru.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qggru.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qggru.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qggru.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qggru.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qggru.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.edonkeyitalia.com/forum/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {116B01C5-8BC7-251E-BB40-07D50B880E0C} - C:\WINDOWS\mfcap32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programmi\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programmi\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKLM\..\Run: [Device Detector] "C:\Programmi\File comuni\ACD Systems\IT\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [Ad-watch] C:\Programmi\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [stor] C:\DOCUME~1\DANILO~1.DAN\IMPOST~1\Temp\stor.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Windows cfg] ascv.exe
O4 - HKLM\..\Run: [Microsoft Windows Updater] windates.exe
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [atlya32.exe] C:\WINDOWS\atlya32.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\RunServices: [Windows cfg] ascv.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updater] windates.exe
O4 - HKCU\..\Run: [TaskTray] C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programmi\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [Microsoft Windows Updater] windates.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Ricerche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?1&04.00.04.03&http://www.thermaltake.com/3d/xaserIII/xaserIII.html
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {16A7470E-229C-45F9-AE05-A87034FD14CF} (UDConnect Class) - http://01.sharedsource.org/html/UDConn_5.2.1.3.cab?
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1083963261953
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} - http://www.chicasmodelos.com/ruboskizo2.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {9314A409-93B2-4953-9DA5-2D539CDA460E} (VoiceWEBx001.VoiceWEBx01) - http://www.voicekampala.com/dialers/ultrax2/VoiceWEBx001.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{32C0D902-955C-4B49-BD8A-9605ED79A0FF}: NameServer = 81.74.225.227 151.99.125.1

Fammi sapere....grazie

Trabant
25-06-2004, 10:08
Salve a tutti,

avevo promesso di postare un sistema per disabilitare IE ad aprire le pagine about:blank, poi una sera mi sono intossicato con la Nazionale, l'altra non accedevo al forum etc.

Il trucco consiste nel creare due variabili di registro, e precisamente occorre posizionarsi in:

HKLM > SOFTWARE > Microsoft > Windows > CurrentVersion > Internet Settings > ZoneMap > ProtocolDefaults

- con il tasto destro del mouse creare una variabile DWORD
- rinominarla about
- valore 4

con il tasto destro del mouse creare una variabile DWORD
- rinominarla about:
- valore 4

Con questo trucco IE è disabilitato ad aprire le pagine about:blank. Poi bisogna eliminare nel registry tutti i riferimenti a about+qualcosa e ripristinare i valori di default, perchè questi maledetti malware cambiano non solo la pagina iniziale me anche tutti i valori es. pagina di backup, di ricerca etc.

Con questo sistema ho ripulito un portatile dal CoolWebSearch, perchè anche dopo la pulizia con Ad-Aware e Spybot quando riaprivo IE quasto ricaricava about:blank e mi reinfettava il sistema. Una volta disabilitato IE ad aprirla, gli antispyware hanno ripulito definitivamente, e poi ho modificato manualmente il registro come ho detto prima. Da notare che il PC infetto era un Win2000 arretrato di 3 SP e con una 50ina di patch critiche mancanti, e ho detto tutto ...

Penso che con questo sistema si corrano anche meno rischi imbattendosi in siti che cercano di "infilarti" qualcosa sfruttando le about:blank, delle quali non conosco i reali utilizzi "leciti".

viandante
26-06-2004, 12:51
Originariamente inviato da Trabant
Salve a tutti,

avevo promesso di postare un sistema per disabilitare IE ad aprire le pagine about:blank, poi una sera mi sono intossicato con la Nazionale, l'altra non accedevo al forum etc.

Il trucco consiste nel creare due variabili di registro, e precisamente occorre posizionarsi in:

HKLM > SOFTWARE > Microsoft > Windows > CurrentVersion > Internet Settings > ZoneMap > ProtocolDefaults

- con il tasto destro del mouse creare una variabile DWORD
- rinominarla about
- valore 4

con il tasto destro del mouse creare una variabile DWORD
- rinominarla about:
- valore 4

Con questo trucco IE è disabilitato ad aprire le pagine about:blank. Poi bisogna eliminare nel registry tutti i riferimenti a about+qualcosa e ripristinare i valori di default, perchè questi maledetti malware cambiano non solo la pagina iniziale me anche tutti i valori es. pagina di backup, di ricerca etc.

Con questo sistema ho ripulito un portatile dal CoolWebSearch, perchè anche dopo la pulizia con Ad-Aware e Spybot quando riaprivo IE quasto ricaricava about:blank e mi reinfettava il sistema. Una volta disabilitato IE ad aprirla, gli antispyware hanno ripulito definitivamente, e poi ho modificato manualmente il registro come ho detto prima. Da notare che il PC infetto era un Win2000 arretrato di 3 SP e con una 50ina di patch critiche mancanti, e ho detto tutto ...

Penso che con questo sistema si corrano anche meno rischi imbattendosi in siti che cercano di "infilarti" qualcosa sfruttando le about:blank, delle quali non conosco i reali utilizzi "leciti".

Ho creato le 2 variabili e ripulito il registro con Reg Supreme....ma non c'è niente da fare. Spybot continua a trovarmi 5 DSO Exploit e l'home page rimane quella :cry:

viandante
26-06-2004, 20:14
niente.....ADAWARE mi riconosce il problema , mi elimina le 8 voci infette, apro il browser e mi va su msn.it
Poi se lo apro una seconda volta ritorna about:
:cry: :cry:
possibile che non ci sia un rimedio valido? oggi sono impazzito....

TIX74
26-06-2004, 20:29
Originariamente inviato da viandante
niente.....ADAWARE mi riconosce il problema , mi elimina le 8 voci infette, apro il browser e mi va su msn.it
Poi se lo apro una seconda volta ritorna about:
:cry: :cry:
possibile che non ci sia un rimedio valido? oggi sono impazzito....


MA POSSIBILE CHE VI LAMENTIATE QUANDO HO SCRITTO QUALCHE RIGA PIU' SOPRA COME FARE????

VA TUTTO VIA PERFETTAMENTE! LEGGETE I MIEI POST QUI IN QUESTO THREAD E RISOLVERETE TUTTO E DEFINITIVAMENTE!
:muro: :muro:

favox
27-06-2004, 00:48
Io ho seguito il tuo procedimento, ma non ho le dll da te elencate....come posso fare?

TIX74
27-06-2004, 03:42
Originariamente inviato da favox
Io ho seguito il tuo procedimento, ma non ho le dll da te elencate....come posso fare?

Allora usa dllfix comunque e prendi nota delle dll sospette che lui trova, segna i loro nomi su un pezzo di carta e poi cancellale.. mi pare che le dll possono mutare usando diversi nomi..

favox
27-06-2004, 11:26
Ciao, avevo provato con about:buster ma non aveva portato alcuna miglioria.
Sono riuscito a risolvere con Hijackthis.
Ora sembrerebbe tutto ok ;)

Grazie per le dritte.

viandante
28-06-2004, 08:30
Originariamente inviato da TIX74
MA POSSIBILE CHE VI LAMENTIATE QUANDO HO SCRITTO QUALCHE RIGA PIU' SOPRA COME FARE????

VA TUTTO VIA PERFETTAMENTE! LEGGETE I MIEI POST QUI IN QUESTO THREAD E RISOLVERETE TUTTO E DEFINITIVAMENTE!
:muro: :muro:

io non ho le DLL che elenchi ....e poi che vuoldire cancella quelle sospette? Come faccio a dire che una DLL sia sospetta?

Con Hjackthis il problema si risolve ma poi non mi funzionano più diverse applicazioni e devo ripristinare tutto:cry:

viandante
28-06-2004, 11:22
ok adesso ce l'ho fatta, ho usato Hjackthis , però non funziona più notepad come è successo a tanta altra gente.......
boh
comunque grazie

Keyfaiv
28-06-2004, 21:13
Originariamente inviato da Trabant
Il trucco consiste nel creare due variabili di registro, e precisamente occorre posizionarsi in:
HKLM > SOFTWARE > Microsoft > Windows > CurrentVersion > Internet Settings > ZoneMap > ProtocolDefaults
- con il tasto destro del mouse creare una variabile DWORD
- rinominarla about
- valore 4
con il tasto destro del mouse creare una variabile DWORD
- rinominarla about:
- valore 4
Ti faccio i miei complimenti e ci tengo a precisare che non voglio sminuire il tuo impegno, anzi... solo che, credo che anche gli ideatori di Spywareblaster e Spybot siano giunti alla stessa idea, perche' quando sono andato a fare come tu hai consigliato, ho trovato gia' tutto pronto.... mistero ;)

MrOZ
30-06-2004, 02:26
Procedura di rimozione postata da amvinfe su GSF forum:

http://forum.gladiator-antivirus.com/index.php?act=ST&f=110&t=16210&st=0#entry54479

cyber
30-06-2004, 20:52
Niente, a me non funziona nemmeno questa. Sono mesi che cerco di togliere sta robaccia ormai :rolleyes:

viandante
01-07-2004, 10:07
Originariamente inviato da cyber
Niente, a me non funziona nemmeno questa. Sono mesi che cerco di togliere sta robaccia ormai :rolleyes:
comunquesia togliere...non si toglie....si riesce solo a disattivare e a scavalcare il probema....che comunque rimane dentro al pc

cyber
01-07-2004, 10:41
io non riesco nemmeno a scavalcare il problema... :muro:
Non so più che fare, anche se reinstallo rischio di ribeccarmelo subito come mi è già successo :muro:

viandante
01-07-2004, 11:46
lancia Hjackthis e elimina le voci sospette.....io ho fatto così e ho risolto.....ti fa anche fare il backup di quello che elimini....così in caso di errore torni indietro ;)

l'unica cosa è che non mi funziona più il notepad.....e chiaramente Adaware continua a trovarmi i files sospetti.
però funziona

cyber
01-07-2004, 18:22
Originariamente inviato da viandante
lancia Hjackthis e elimina le voci sospette.....io ho fatto così e ho risolto.....

Già fatto, ho fatto anche tutta la procedura di inizio pagina. niente non si toglie.

MrOZ
01-07-2004, 19:21
=== CWS about:blank Removal ===
This fix is for Win 2K and XP only

=== Step 1 - Get File Info ===
You have a CoolWebSearch variant which requires special treatment to fix.

Download FindnFix.exe from here: http://freeatlast100.100free.com/index.html

Double Click on the FindnFix.exe and it will install the batch file in its own folder.

Open the FindnFix folder and double click on !LOG!.bat
IMPORTANT! Before you run this tool please close ALL running programs and ALL open windows except for the FindnFix folder.

Relax, sit back and wait a few minutes while the program collects the necessary information.

*NOTE:If your AntiVirus is running a scriptblocker, when you run this tool, you will probably receive an alert warning you that the script is running. "Allow" the script to run.


When the program is finished:

Open the FindnFix folder.
1. Post the contents of Log.txt in this thread.
2. Attach file Win.txt to the same post. (Please attach, do not post)
(If this board does not provide the ability to attach documents to your post, then please post the Win.txt file in this thread)


=== Step 2 - Delete Hidden DLL ===
Open the FindnFix folder.
Open the keys1 folder.

If you receive an error while trying to edit, see below for instructions.
RightClick on the MOVEit.bat file, select--> edit.
Copy and paste this line into the batch file, replacing the line there.

move %WinDir%\System32\??????.DLL %SystemDrive%\junkxxx\??????.DLL

Save the file and close.

Get ready to restart!
Still in the keys1 folder, double click on FIX.bat.
You will get an alert of ~20 secs before reboot.
Allow it to reboot!

On restart, Open the FindnFix folder.
DoubleClick on RESTORE.bat.
When it is finished, open the FindnFix folder.
Post the contents of Log1.txt in this thread.


=== In the Event and Error Occurs Trying to Edit ===
Occasionally when trying to edit the MOVEit.bat file the following error occurs: "Windows cannot find "C:FINDnFIX\keys1\MOVEit.bat. Make sure you typed the name correctly then try again."

If that happens, follow these steps instead:
Open the FindnFix folder.
Open the keys1 folder.

Double click on FIX.bat
You will get an alert of about 15 seconds before reboot
Allow it to reboot!

On restart, open Explorer and navigate to C:\Windows\System32 folder
Find the ****.DLL file (it should be visible now)
Highlight the file and using top menu, click Edit --> Move to folder...
Select C:\junkxxx as destination.
Move the file.

Open the FINDnFIX folder again.
Double-click on RESTORE.bat
When it is finished, open the FindnFix folder.
Post the contents of Log1.txt in this thread.




=== Step 3 - Batch Clean Up ===
Open the FindnFix folder.
Open the Files2 folder.
Double Click on the ZIPZAP.bat.

It will quickly clean the rest and will make a copy of the bad file(s) in the same folder (junkxxx.zip) and open your email client with instructions.

Simply drag and drop the junkxxx.zip file from the folder into the mail message and submit to the specified addresses.

Please be sure to include a link to your log file in the email.

When done, please delete the entire FindnFix folder.

=== Clean Remaining Infection ===
Please Download CoolWebShredder, from
http://www.merijn.org/files/cwshredder.zip
http://www.zerosrealm.com/downloads/CWShredder.zip

Extract CWShredder to its own folder,
Click the 'Fix ->' button.
Make sure you let it fix all CWS Remnants.

Next:
Download the latest version of Ad-Aware at
http://www.lavasoft.de/software/adaware/

After installing AAW, and before running the program, you NEED to FIRST update the reference file following the instructions here: http://www.lavahelp.com/howto/updref/index.html

Select 'custom options'.
Select your drive, scan and fix all it finds.

Last:
Post a new HiJackThis log in this thread.

=== End CWS about:blank Removal ===

Trabant
07-07-2004, 14:25
Salve a tutti,

ho visto che su questo forum ma in tutta Internet questo problema di about:blank è diffusissimo. Io l'ho incontrato solo una volta su un notebook di un amico, che era Win2000 con due anni di aggiornamenti non fatti, e ne sono venuto a capo con il sistema illustrato in un mio post precedente su questo forum, anche se all'epoca non conoscevo hijackthis e quindi non so se ho proprio eliminato ogni traccia del CWS oppure se qualcosa è rimasto, comunque al momento non mi hanno segnalato altri problemi.

La domanda è: come si fa a beccarsi questo CoolWebSearch? Non per inclinazioni masochistiche, ma per essere sicuri di non incapparci ...

1. si prende via mail e/o allegati ?
2. semplicemente navigando su qualche sito: in questo caso sono siti "infetti" oppure sono siti che intenzionalmente ti scaricano lo spyware?

Che cosa si può fare in via preventiva? Io uso AD Aware Plus (a pagamento) che ha anche una funzione di monitoraggio, è efficace in questi casi?

Grazie per eventuali risposte.

viandante
07-07-2004, 15:13
Originariamente inviato da Trabant
Salve a tutti,

ho visto che su questo forum ma in tutta Internet questo problema di about:blank è diffusissimo. Io l'ho incontrato solo una volta su un notebook di un amico, che era Win2000 con due anni di aggiornamenti non fatti, e ne sono venuto a capo con il sistema illustrato in un mio post precedente su questo forum, anche se all'epoca non conoscevo hijackthis e quindi non so se ho proprio eliminato ogni traccia del CWS oppure se qualcosa è rimasto, comunque al momento non mi hanno segnalato altri problemi.

La domanda è: come si fa a beccarsi questo CoolWebSearch? Non per inclinazioni masochistiche, ma per essere sicuri di non incapparci ...

1. si prende via mail e/o allegati ?
2. semplicemente navigando su qualche sito: in questo caso sono siti "infetti" oppure sono siti che intenzionalmente ti scaricano lo spyware?

Che cosa si può fare in via preventiva? Io uso AD Aware Plus (a pagamento) che ha anche una funzione di monitoraggio, è efficace in questi casi?

Grazie per eventuali risposte.


Per me si prende nei siti porno e warez

TIX74
08-07-2004, 00:07
siete un branco di maniaci segaioli! LOL :p :D

cyber
09-07-2004, 07:18
Tolto :cry:
Dopo mesi e mesi di tentatitivi sono riuscito ad eliminarlo. L'unica soluzione che nel mio caso ha funzionato è stata l'accoppiata HSremover + CWShredder

77andrea77
10-07-2004, 13:25
ragazzi non riesco a eliminare about blank
quale delle mille procedure indicate devo seguire???
aiuto non ce la faccio più:muro: :muro: :muro:

TIX74
10-07-2004, 13:43
LA MIA... cerca qualche pagina indietro..

cyber
10-07-2004, 15:03
Originariamente inviato da 77andrea77
ragazzi non riesco a eliminare about blank
quale delle mille procedure indicate devo seguire???
aiuto non ce la faccio più:muro: :muro: :muro:

HSremover + CWShredder a me è stato l'unico che ha funzionato ed è stato pure veloce come procedura :rolleyes:

77andrea77
10-07-2004, 19:13
con il primo sistema non trovo le dll
con il secondo me lo rimuove ma poi ritorna.
Aiutatemi!!!
Ciao e grazie:muro: :muro: :muro:

cyber
10-07-2004, 19:25
Allora prova a fare la scansione anche con ad-Ware prima di lanciare HSremover.

p.s.
Hai provato a fare il tutto usando la modalità provvisoria?

netquik
11-07-2004, 01:28
Per chi non riesce a risolvere con HSremover, Adware, CWShredder da soli...

PROCEDURA PER ELIMINARE QUESTE NUOVE VARIANTI CWS CON DLL NASCOSTE per XP/2K


Scaricate il programma FINDnFIX

www10.brinkster.com/expl0iter/freeatlast/FNF/

http://downloads.subratam.org/FINDnFIX.exe [mirror]


Facendolo partire si installerà in C:\FINDnFIX

chiudete tutti i programmi

lanciate C:\FINDnFIX\!LOG!.BAT

attendete che sia terminata l'analisi

adesso avrete il vostro C:\FINDnFIX\log.txt

adesso potete fare da soli o meglio postare il log nel forum per farvi aiutare...
si tratta di individuare il nome della dll nascosta che vi sta facendo impazzire...


--------------------------------------------------------------------
-------------------------------------------------------------------


Poniamo di aver trovato il nostro obbiettivo in
C:\WINDOWS\SYSTEM32\COM.DLL


Preparatevi a riavviare
lanciate C:\FINDnFIX\Keys1\FIX.bat
il computer si riavvierà in 15 secondi


non appena rientrati in windows
andate in Start >> Cerca

cercate COM.DLL
la troverete in C:\WINDOWS\SYSTEM32\
selezionate il file
ora dal menu Modifica fate Sposta nella Cartella...
e lo sposteremo in C:\FINDnFIX\junkxxx
(date OK ad un eventuale messaggio di file in sola lettura)

dopo aver fatto
lanciate C:\FINDnFIX\RESTORE.bat

avremo il nuovo C:\FINDnFIX\log1.txt

potete postare il nuovo log nel forum per un controllo

se è tutto pulito

lanciate C:\FINDnFIX\Files2\ZIPZAP.bat
che terminerà la pulizia e vi proporrà aprendo il client di posta di inviare i file infetti all'autore per l'analisi, qui potete anche inserire la url del post del forum dove siete stati seguiti

Fatto questo RIAVVIATE e cancellate la cartella C:\FINDnFIX\

Per eventuali residui eseguite una pulizia con
CWShredder e Adaware (aggiornato)

77andrea77
11-07-2004, 13:18
questo è il mio log, che devo fare ora?

»»»»»»»»»»»»»»»»»»*** freeatlast100.100free.com ***»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»*** Read this first! ***»»»»»»»»»»»»»»»»
Due to errors on various message boards I made some changes.
You must know how to ID the file based on the filters provided in
the scan, as not all the files flagged are bad.
If you make a mistake or use the wrong guidance, it is completely
your responsibility and the helper that assists you.
If you are not sure about the nature of the file or how
to proceed, I suggest you research it first before attempting
to remove any *unknown file on your own.
*For Helpers and/or users that are not familiar with any of the
items on the scan results- I recommend using an alternative, once
you know what to look for!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
--The directory 'junkxxx' is now included as a Subfolder in the FINDnfix folder
and is the destination for the file to be moved..
-*Previous directions will no longer work...
»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»

Microsoft Windows XP [Versione 5.1.2600]
»»»IE build and last SP(s)
6.0.2800.1106 SP1-Q832894-Q330994
Il file system Š di tipo FAT32.
C: non Š danneggiata.

11/07/2004
1:15pm up 0 days, 0:02

»»»»»»»»»»»»»»»»»»***LOG!***(*modified 7/8)»»»»»»»»»»»»»»»»

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...


»»»»» (*2*) »»»»»........
**File C:\FINDnFIX\LIST.TXT

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»»»(*5*)»»»»»
**File C:\WINDOWS\SYSTEM32\DLLXXX.TXT

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls SZ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710
Appinit_Dlls =

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read BUILTIN\Users
(IO) ALLOW Read BUILTIN\Users
(NI) ALLOW Read BUILTIN\Power Users
(IO) ALLOW Read BUILTIN\Power Users
(NI) ALLOW Full access BUILTIN\Administrators
(IO) ALLOW Full access BUILTIN\Administrators
(NI) ALLOW Full access NT AUTHORITY\SYSTEM
(IO) ALLOW Full access NT AUTHORITY\SYSTEM
(NI) ALLOW Full access BUILTIN\Administrators
(IO) ALLOW Full access CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Users
Read BUILTIN\Power Users
Full access BUILTIN\Administrators
Full access NT AUTHORITY\SYSTEM


»»Member of...: (Admin logon required!)
User is a member of group ANDREA\Nessuno.
User is a member of group \Everyone.
User is a member of group BUILTIN\Administrators.
User is a member of group BUILTIN\Users.
User is a member of group \LOCALE.
User is a member of group NT AUTHORITY\INTERACTIVE.
User is a member of group NT AUTHORITY\Authenticated Users.

»» Service search:(different variant) '"Network Security Service","__NS_Service_3"...

[SC] GetServiceKeyName FAILED 1060:

Il servizio specificato non esiste come servizio installato.

[SC] GetServiceDisplayName FAILED 1060:

Il servizio specificato non esiste come servizio installato.


»»Notepad check....

C:\WINDOWS\
notepad.exe Fri 31 Aug 2001 11.00.00 A.... 67.072 65,50 K

1 item found: 1 file, 0 directories.
Total of file sizes: 67.072 bytes 65,50 K

No matches found.

C:\WINDOWS\SYSTEM32\DLLCACHE\
notepad.exe Fri 31 Aug 2001 11.00.00 A.... 67.072 65,50 K

1 item found: 1 file, 0 directories.
Total of file sizes: 67.072 bytes 65,50 K
--a-- W32i APP ITA 5.1.2600.0 shp 67,072 08-31-2001 notepad.exe
Language 0x0410 (Italiano (Italia))
CharSet 0x04b0 Unicode
OleSelfRegister Disabled
CompanyName Microsoft Corporation
FileDescription Blocco note
InternalName Notepad
OriginalFilenam NOTEPAD.EXE
ProductName Sistema operativo Microsoft® Windows®
ProductVersion 5.1.2600.0
FileVersion 5.1.2600.0 (xpclient.010817-1148)
LegalCopyright © Microsoft Corporation. Tutti i diritti riservati.

VS_FIXEDFILEINFO:
Signature: feef04bd
Struc Ver: 00010000
FileVer: 00050001:0a280000 (5.1:2600.0)
ProdVer: 00050001:0a280000 (5.1:2600.0)
FlagMask: 0000003f
Flags: 00000000
OS: 00040004 NT Win32
FileType: 00000001 App
SubType: 00000000
FileDate: 00000000:00000000


»»»»»»Backups created...»»»»»»
1:16pm up 0 days, 0:03
11/07/2004

A C:\FINDnFIX\keyback.hiv
--a-- - - - - - 8,192 07-11-2004 keyback.hiv
A C:\FINDnFIX\keys1\winkey.reg
--a-- - - - - - 287 07-11-2004 winkey.reg

C:\FINDNFIX\
JUNKXXX Sun 11 Jul 2004 13.15.26 .D... <Dir>

1 item found: 0 files, 1 directory.

»»Performing string scan....
00001150: ?
00001190: vk U
000011D0:DeviceNotSelectedTimeout 1 5 _ vk '
00001210: zGDIProcessHandleQuota" 9 0 x, vk `
00001250: Spooler2 y e s h vk =pswapdisk
00001290: @ p vk 0 R TransmissionRetr
000012D0:yTimeout vk ' USERProcessHandleQuota
00001310: @ p ( vk Appinit_Dllselh
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:

---------- WIN.TXT
--------------
--------------
No strings found.

--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"Appinit_Dlls"=""

A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : ""
0000 00 00 | ..


netquik
11-07-2004, 13:26
non sei infetto da questo tipo di variante...


puoi cancellare FINDnFIX


comunque non continuate a postare qui

aprite una nuova discussione
descrivendo il vostro problema e allegando il log di HijckThis 1.98

ciao

bicco
22-07-2004, 23:11
grazieeeee a tuttiiiiiiiii yehaaaaaaaa

tra tutti i programmi installati, provati,cancellati......forum di qua forum di la
finalmente c'e l'ho fatta :cry:
nn ne potevo piu'
tutti gli spyware e adaware elencati rilevavano il problema ,
ma nessuno lo eliminava definitivamente...infatti ,dopo pochi minuti, il problema si ripresentava :mad:

allora io ho agito cosi'

- rimosso MSvm dal registro con tutte le sottochiavi annesse ; installato la Jvm di SUN
- eliminato tutti i file temp. di tutti gli utenti (admin e non )
- scansione con hijackthis (rilevato,pulito,ma nn rimosso del tutto)
- scansione con cwsshredder (come sopra)
- scansione con findnfix (seguendo alla lettera cio che ha riportato 'netquick' )
- riscansione con hijack (pulito)
- riscansione con cwsshredder (rilevato e pulito )
- eliminato ancora i file temp
- impostato la pagina iniziale di internet
- controllata generale con adaware 6.0 (agg.)
- eliminato tutti i progr. installati per rimuovere sta bastarda di pagina
- pulita del registro con jv16 powertools (agg.)
- riavviato

- apertura e chiusura piu' volte di internet
- riavviato
- TUTTO OK :yeah:

:fuck: ABOUT BLANK..... :fuck:

per nn inserire l'intero log di findnfix, vi metto le dll scovate nel mio caso

-IMAGR5.DLL
-IMAGX5.DLL
-IMAGXPR5.DLL
-PICN20.DLL
-TWNLIB20.DLL

netquik
24-07-2004, 23:03
ciao bicco sono contento tu abbia risolto ma quelle dll che hai segnalato non mi sembrano sospette


alcune anzi penso vengano installate con nero... ma potrei sbagliarmi
vi consiglio sempre di chiedere aiuto per consultare il log...


speriamo che non ti sei cancellato pezzi di programmi..

;)

fabius00
04-08-2004, 11:07
scusate con w98 che faccio?

il log di hijackthis è

Logfile of HijackThis v1.98.1
Scan saved at 11.02.57, on 04/08/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SDMAN.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\SABRE\APPS\ATS\SSSCLNT.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SABSERV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\SABRE\APPS\OADP\OADP.EXE
C:\WFXCTL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\DOCUMENTI\HTML2POP3117BETAWIN32\HTML2POP3.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE
C:\WFXMOD32.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
C:\PROGRAMMI\OUTLOOK EXPRESS\MSIMN.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da ICL Italia S.p.A.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ita0711:80;gopher=ita0711:80;http=ita0711:80;https=ita0711:80;socks=ita0711:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.icl.co.uk;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: (no name) - {76147640-E487-11D8-92E7-000B4A60CEBC} - C:\WINDOWS\SYSTEM\EPGNJ.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Sabre Site Services] C:\SABRE\Apps\ATS\SSSClnt.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O7 "EPUSB1:" /M "Stylus C44"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SDApp] C:\WINDOWS\SDMan.EXE
O4 - HKCU\..\Run: [IEengine] C:\Program Files\Internet Explorer\IEengine.exe
O4 - Startup: Server Sabre.lnk = C:\WINDOWS\sabserv.exe
O4 - Startup: Sabre Printing Module.lnk = C:\SABRE\Apps\OADP\Oadp.exe
O4 - Startup: Controller.LNK = ?
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Application Data\Microsoft\Installer\{00000410-78E1-11D2-B60F-006097C998E7}\misc.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) -
O16 - DPF: {1CC506A7-1B8D-11D4-BDD5-0060977007E0} (CrazyTalk Player) - http://plug-in.reallusion.com/CrazyTalk.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = dns2.interbusiness.it
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 151.99.125.2,151.99.250.2
O18 - Filter: text/html - {6486A942-E52F-11D8-92E7-000B0627E554} - C:\WINDOWS\SYSTEM\EPGNJ.DLL
O18 - Filter: text/plain - {6486A942-E52F-11D8-92E7-000B0627E554} - C:\WINDOWS\SYSTEM\EPGNJ.DLL

netquik
04-08-2004, 14:42
prova innanzi tutto con CWshredder e About:blank (http://www.malwarebytes.biz/index.php?page=downloads)

e ovviamente adaware

se non risolvi fixiamo il log e cerchiamo le dll nascoste (non con FINDnFIX che è solo per 2K/XP)
ti consiglio di aprire un nuovo thread

fabius00
04-08-2004, 15:01
Originariamente inviato da netquik
prova innanzi tutto con CWshredder e About:blank (http://www.malwarebytes.biz/index.php?page=downloads)

e ovviamente adaware

se non risolvi fixiamo il log e cerchiamo le dll nascoste (non con FINDnFIX che è solo per 2K/XP)
ti consiglio di aprire un nuovo thread
nun c'ho capito na mazza ma provo lo stesso :D

input
20-08-2004, 00:13
Cosa fare con questo fastidioso spyware che mi cambia sempre la pagina principale?
Dopo questa invasione mi sono apparsi i seguenti file in esecuzione automatica:
IEXT32.EXE
ADDT32.EXE
APIRJ32.EXE
APPDT.EXE
D3D2.EXE
MSEG.EXE
NETWL32.EXE
Sembrerebbe che cambiano in continuazione.
I seguenti file li cancello con REGEDIT ma ricompaiono appeno clicco
su internet explorer.
La provenienza indica Windows\sistem ma da una ricerca eseguita non esistono.
Che faccio!!!!!!!!!
Ad Aware (provato) Spy bot (provato)
Esistono altri programmi o trucchi per eliminare ABOUT.BLANK?
Oppurre la drastica FORMATTAZIONE?

Ciao a presto.
:muro: :muro: :muro:

netquik
20-08-2004, 00:20
ti conviene aprire un nuovo thread...


comunque prova innanzi tutto Aboutbuster

http://www.malwarebytes.biz/index.php?page=downloads


possibilmente da provvisoria...

e anche cwshredder


ciao

Jon Irenicus
01-09-2004, 23:53
Mi è capitata anche a me sta roba qua... Meno male che in 2 giorni ho risolto tutto (ho win98 se)! Ho usato Hijack This, About Buster, CWshredder, ho fatto le scansioni con AdAware, Spybot, Antivir... Mi pare che la prima volta non ha funzionato, poi l'ho rifatto, ho riavviato, e ho rifatto tutto di nuovo, l'unica differenza dalla prima volta è che ho aggiornato antivir...

input
02-09-2004, 23:11
escono sempre in esecuzione automatica( lece.exe e sysut.exe) non riesco a toglierli.
Chi conosce la loro provenienza?

Jon Irenicus
04-09-2004, 22:19
A me venivano più meno ste cose, in più si era installato hme reserch assistant o qualcosa di simile e altre 2 cose. Con about buster si disinstallavano... Provalo e anche Cwshredder (http://www.softpedia.com/public/cat/10/17/10-17-150.shtml) e Hijack This (http://www.spychecker.com/download/download_hijackthis.html)

carver
05-09-2004, 18:10
ciao ragazzi... ho bisogno disperato di voi..
ho beccato about blank..... e ho visto che c'e' il programma zerosrealm per levarlo..
solo che una volta scaricato vado per installarlo.. ma ho dei problemi..
nessuno di voi ha qualche suggerimento? se non risco manco ad installare il prog.. son proprio ridoto male... :S
ciao grazie a tutti!

ps... ho fatto girare hijack... e nelle istruzioni di zero c'e' creitto di fissare "02 e 04"...
li devo fissare tutti?

poi c'e' scritto di far partire about blank....

non so quale scegliere dei file 02 e 04 che mi son apparsi con hijack!

netquik
05-09-2004, 18:47
non esiste una procedura Uguale per tutti...

quale programma hai usato?


apri un nuovo trhred postando il tuo log di hijack


se hai Windows 2000 o xp procurati About buster

ci vediamo lì

carver
05-09-2004, 19:37
Originariamente inviato da netquik
non esiste una procedura Uguale per tutti...

quale programma hai usato?


apri un nuovo trhred postando il tuo log di hijack


se hai Windows 2000 o xp procurati About buster

ci vediamo lì

detto fatto!
ho aperto un nuovo [url=http://forum.hwupgrade.it/showthread.php?s=&threadid=759258]3D[/url=]

se hai un sec mi ci guarderesti?
grazie!

bex
06-09-2004, 10:55
Purtroppo credo di essermi beccato anch'io questo malware, e non riesco proprio a levarlo :muro:
Possibile che mi disabiliti anchei pulsanti "avanti" e "indietro" di internet explorer?
Ho XP pro, ho provato praticamente tutti i programmi precedentemente elencati, ma nessuno ha risolto il problema, dal log di hijack a occhio non c'è niente, non so più che fare...
Però nel frattempo utilizzo opera :D

MrOZ
07-09-2004, 01:01
Originariamente inviato da bex
Purtroppo credo di essermi beccato anch'io questo malware, e non riesco proprio a levarlo :muro:
Possibile che mi disabiliti anchei pulsanti "avanti" e "indietro" di internet explorer?
Ho XP pro, ho provato praticamente tutti i programmi precedentemente elencati, ma nessuno ha risolto il problema, dal log di hijack a occhio non c'è niente, non so più che fare...
Però nel frattempo utilizzo opera :D

Apri un nuovo 3D elencando nello specifico il tuo prob, i prog che hai già adoperato e posta un log di hijackthis... qualcuno saprà aiutarti ;)

Ciao.

JamesT
26-09-2004, 23:07
Io l'ho rissolto solo installando AVG 7.
Me l'ha immediatamente beccato e brasato:D

Vash_85
02-10-2004, 22:53
Anche io ho beccato sto spyware e non riesco a toglierlo adaware lo trova dice di averlo cancellato ma riapro ie e siamo di nuovo punto e accapo abouout buster non me lo rileva neppure ho win2000..

input
10-10-2004, 14:58
E' vero!!!!!!!!!!!!!!
Usate AVG7 e about blank sparisce,insieme a search.

carver
28-10-2004, 21:47
Originariamente inviato da MrOZ
Sì , la procedura che ho postato è specifica x win 2000/XP ...stasera ne posto una diversa x win 98.



ciao
volevo sapere come fare con win 98.


ho provato ad installare hijackthis e about buster ma non appena vado a lanciarli mi da questo errore:


"file DLL MSVBM60.DLL non trovato"

come faccio?

la procedura la conosco perche' ho preso gia about:blank sul mio pc... ORA volevo qualche info per risolvere il prob ad un mio amico.

ciao e fammi sapere !

input
31-10-2004, 11:04
Hai usato AVG7?

diablo69
13-11-2004, 12:40
Chi mi può spiegare il funzionamento??

Cosa si deve cliccare per il controllo??

Cliccando su scan mi sono comparsi vari collegamenti, ma se poi li seleziono tutti e clicco su fix checked, mi appaiono sul deskop un mare di file di restore dei collegamenti eliminati.


Ma eliminandoli poi i vari programmi non mi funzionano piu??

Inoltre poi come faccio a mettere i risultati online??:confused: :confused:

cousin jerry
07-07-2005, 12:01
Salve a tutti , ho il problema di about blank

Qualcuno può darmi una mano , le ho provate tutte!!!

Questo è il file di Hj

Logfile of HijackThis v1.99.1
Scan saved at 12.07.44, on 07/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\shnlog.exe
C:\WINNT\system32\msole32.exe
C:\WINNT\popuper.exe
C:\WINNT\system32\intmonp.exe
C:\WINNT\system32\intmon.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\EdgeCAM\Cam\edgecls.exe
C:\Programmi\Outlook Express\MSIMN.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Utente\Documenti\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oneclicksearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oneclicksearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.oneclicksearches.com/
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hp1BD6.tmp
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EdgeCLS5.5.lnk = C:\EdgeCAM\Cam\edgecls.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

BravoGT83
18-07-2005, 18:47
con adawareaway dovresti sistemare un pò di problemi

cmq

juninho85
12-08-2005, 14:34
.
risolvilo con cwshredder

biagimax 101
15-10-2005, 12:37
E' vero!!!!!!!!!!!!!!
Usate AVG7 e about blank sparisce,insieme a search.
va bene anche la vesione trial di avg7 ? dovrei toglierlo dal pc di un mio amico con win 98.Grazie a tutti ciao!

BravoGT83
20-10-2005, 10:07
va bene anche la vesione trial di avg7 ? dovrei toglierlo dal pc di un mio amico con win 98.Grazie a tutti ciao!
ma avg e' un free per privati...

cmq non credo che lo tolga

cosisal
03-11-2005, 11:12
non ci provare nemmeno con AVG

bino74
08-01-2006, 17:24
Ciao a tutti,
anch'io ho avuto problemi con about blank...
Vi dico come l'ho risolti :)
Ho scaricato VirIT ( antivirus - antispyware utilizzabile in versione free per 30 giorni).
Ho fatto una scansione del sistema con lo stesso VirIT in modalità provvisoria (importante).
Dopo (sempre in modalità provvisoria) ho cancellato tutti i files temporanei in internet (tutti) ed ho reimpostato la pagina predefinita in internet explorer.
Ho riavviato il sistema in modalità normale ed il problema è sparito.
Quindi per quello che mi riguarda non c'è bisogno di operare sulle chiavi di registro ne di utilizzare Hijack This o altri programmi.
Ho Xp home edition come sistema operativo.
Provate le mie indicazioni e fatemi sapere.
Ciaoooooooo!!!!!!!!!!!!!

Flegias85
26-02-2007, 09:27
Intanto il link in prima pagina nn funziona!

Cmq ho una variante dell' about:blank.
In pratica nn si imposta come prima pagina, ma appena lancio ie mi viene visualizzata la pag about:blank per circa mezzo sec e poi appare la pagina di google impostata come prima!

Anche quando esco da ie appare per mezzo sec about:blank e poi si chiude!