Ciao,
appena iscritto e complimenti per il sito.

Se questa è la sezione giusta, vorrei segnalare due vicende che mi sono capitate di recente e per le quali mi piacerebbe avere competenti opinioni.
La prima, riguarda un sito di fan del grande Renato Zero. recandosi a questo indirizzo (se poi il moderatore me ne darà il permesso, fornirò link), si viene immediatamente fatti oggetto di un tentativo di intrusione non frequente nella rete (o almeno per la mia esperienza). Com'è possibile questo fatto?

La seconda cosa che volevo chiedere, riguarda il mai battito "about:blank"; ho provato tutti i suggeriementi esistenti, ma il maledetto ritorna sempre. Adesso ho risolto con un programmino che obbliga tutti i browser a reindirizzarsi sempre alla mia vera home page. Le dll che originano le deviazioni, si possono trovare e cancellare?

Ciao e grazie.

per about c'e' un tool.... :mbe:

Ciao,
credo di avere usato tutto quello che è disponibile in rete, ma se mi indichi più chiaramente a cosa fai riferimento, proverò volentieri la soluzione.

eh non mi ricordo il link... fai casomai una scansione con ewido
www.ewido.net

Si puo' provare anche con un log di hijackthis.

Ho provato :
hjt
ewido
ispfix
spsehfix

fatto operazioni anche da modalità provvisioria...l'attività malware ritorna.
Credo che se fosse possibile isolare la o le dll responsabili, si potrebbe rinominarle e, dopo, eliminarle.
Ma il problema consiste nel fatto che queste dll cambiano la loro denominazione, rendenbdo di fatto complicatissima la loro eliminazione.

postalo il log

postalo il log

Eccolo :

Logfile of HijackThis v1.99.1
Scan saved at 15.23.19, on 26/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\rsvp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\system32\GSICON.EXE
C:\WINNT\system32\dslagent.exe
C:\Programmi\Norton SystemWorks\Norton GoBack\GBTray.exe
E:\Sezione Browser\Avant Browser\Versione base\Avant Browser\2\avant.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
J:\Emule\versione 047a\emule.exe
E:\Cassetta degli attrezzi speciali\Spyware\hijack this\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.corriere.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = www.corriere.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.corriere.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = base corriere
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\CASSET~1\Spyware\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [zSPGuard] e:\cassetta degli attrezzi speciali\deviazioni internet\startpage guard\spguard\spguard.exe /s /r
O4 - Global Startup: Norton GoBack.lnk = C:\Programmi\Norton SystemWorks\Norton GoBack\GBTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Aggiungi l'indirizzo alla Lista Nera della pubblicità - E:\Sezione Browser\Avant Browser\Versione base\Avant Browser\2\AddToADBlackList.htm
O8 - Extra context menu item: Apri tutti i collegamenti nella pagina in linguette diverse - E:\Sezione Browser\Avant Browser\Versione base\Avant Browser\2\OpenAllLinks.htm
O8 - Extra context menu item: Blocca tutte le immagini provenienti dal server di questa - E:\Sezione Browser\Avant Browser\Versione base\Avant Browser\2\AddAllToADBlackList.htm
O8 - Extra context menu item: Evidenzia in questa pagina - E:\Sezione Browser\Avant Browser\Versione base\Avant Browser\2\Highlight.htm
O8 - Extra context menu item: Open In New Avant Browser - E:\Sezione Browser\Avant Browser\Versione base\Avant Browser\2\OpenInNewBrowser.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACFD3E24-EDA7-4315-BD9E-B5A9E4C24AAD}: NameServer = 212.216.112.112 212.216.172.62
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E:\diskeeper pro10\DkService.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GBPoll - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton GoBack\GBPoll.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - E:\Cassetta degli attrezzi speciali\Diagnosi\Sandra 2005 lite\Sisoftware Sandra Lite SR3 1069 eou\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - E:\Cassetta degli attrezzi speciali\Diagnosi\Sandra 2005 lite\Sisoftware Sandra Lite SR3 1069 eou\RpcSandraSrv.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Il log e' pulito.

non lo volevo dire ma lo pensavo: allora dove sono finiti i mailware???
ah, metti sp2 velocemente

Amic,
se il log fosse stato "sporco", avrei discusso intorno a tali elementi. Il problema è proprio qui...non esiste traccia di attività malevola, ma ogni 5/6 ore avviene il tentativo di variare la home page dei navigatori che uso (tre).
Circa il suggeriemnto del sp2, credo sia consigliabile per chi utilizza XP; non credo che il buon windows 2000 apprezzerebbe molto una tale manovra :D

ah... :doh:
beh sp4 per 2000
immunizza anche il browser (i browsers) con spywareblaster e cerchiamo di individuare questa attività....
occorre forse il programma suggerito da andorra l'altro ieri che è un beta ancora

Ci sono dei tools che eliminano about:blank ma non sono freeware:

http://www.adwareaway.com/
http://www.scosoft.com/remove-about-blank-buddy.htm

pensavo fosse meno duro questo about blank

pensavo fosse meno duro questo about blank
no, purtroppo e' una carogna. :rolleyes:

Grazie ad entrambi per l'attenzione e la disponibilità.
Posso farvi ridere?
Pochi minuti fa, il programma di guardia, mi ha avvisato che mi erano state cambiate le home page...e così era.
Da non credere.

Confermo il fatto che about:blank sia un cliente difficile. Sembra esista da circa 4 anni e non è mai stato definitivamente sconfitto.
Provo ad interessarmi dei programmi segnalati e ancra grazie.

PER IL MODERATORE :
Posso scrivere il link del sito che invade i pc dei navigatori?

Se si tratta di un link pericoloso non e' possibile metterlo sul forum per evitare che qualcuno ci finisca incautamente.

Il mio firewall lo ha bloccato scrivendo :

http:MSIE filedragdrop embed code www.XXXXXXXXXX.info
62.149.130.121
tentativo d'intrusione rilevato e bloccato.

Se interessa, sono disponibile a fornire indirizzo del sito (coperto con delle "X").
Hai ragione quando dici che qualcuno potrebbe incappare in problmei, ma è anche vero che se nessuno ne parla, ci si finisce dentro ancora meglio e senza alcuna possibilità di difesa...

secondo me spywareblaster dovrebbe immunizzare da esso
in futuro naviga con firefox e utilizza le estensioni noscript e adblock con filterset e siteadvisor che ti segnala in anticipo se un sito è affidabile o meno

Hai ragione quando dici che qualcuno potrebbe incappare in problmei, ma è anche vero che se nessuno ne parla, ci si finisce dentro ancora meglio e senza alcuna possibilità di difesa...
Il sito penso che tu possa indicarlo ma non renderlo cliccabile, fagli qualche modifica.

secondo me spywareblaster dovrebbe immunizzare da esso
in futuro naviga con firefox e utilizza le estensioni noscript e adblock con filterset e siteadvisor che ti segnala in anticipo se un sito è affidabile o meno
Esatto, lo staff di siteadvisor potrebbe fare un controllo su quel sito e se davvero risulta infetto lo marchiano di rosso.

Esatto, lo staff di siteadvisor potrebbe fare un controllo su quel sito e se davvero risulta infetto lo marchiano di rosso.
andrebbe diffuso meglio tale plugin :rolleyes:

pensavo fosse meno duro questo about blank

[Ignorante mode]
Ma che roba è about blank?

[Ignorante mode]
Ma che roba è about blank?
about:blank e' un fastidiosissimo malware, un homepage hijacker variante del CoolWebSearch.

about:blank e' un fastidiosissimo malware, un homepage hijacker variante del CoolWebSearch.

E come si becca?
Per il CoolWebSearch era abb buono Spybot S&D ma se è una variante dubito che sia efficace.

E come si becca?
Per il CoolWebSearch era abb buono Spybot S&D ma se è una variante dubito che sia efficace.
Probabilmente si becca andando su certi siti molto infetti. Spybot contro about:blank non e' efficace purtroppo.