Credevo fosse qualche programmino ostile, ma non lo è.

I.E. apre una pagina iniziale indesiderata, ho provato a cambiarla nelle OPZIONI, ma torna sempre la stessa!

Credevo fosse un programmino all'avvio, ma ho visto e non ho trovato nulla di sospetto.

Come faccio a impostare la pagina iniziale ad esempio www.google.it?

Non ci riesco, faccio applica ma quando riapre ta daaan la stessa di prima.

Mi aiutate per favore?


P.s. in verità non so se è un programmino: con task manager ho visto cosa gira, ma sono tanti una ventina e non so cosa serva e cosa no....
PLZ HELP

prova a fare una pulitina con Ad-aware

ciao

ha ragione buchi...

mi concentrerei sull'idea del programmino ostile...


oltre adaware (aggiorna le defizioni!)
http://www.lavasoftusa.com/

usa cwshredder
http://www.spywareinfo.com/~merijn/downloads.html


se non risolvi potrebbe essere più complicato

scaricati HijackThis
http://www.spywareinfo.com/~merijn/downloads.html

e posta il log in Antivirus e Sicurezza

ciao

Ho provato con Adware 6.0 (PCPRO di giugno), ha trovato qualcosa, ho eliminato i file, ma non è cambiato nulla.

Ho provato con cwshredder, ha trovato qualcosa, ma idem... non cambia nulla

Evidentemente c'è qualcosa di + subdolo.....

Provo l' altro sw.....

PLZ help.

Beh Hijack ha finalmente "visto" i parametri scorretti di Internet Explorer, ma quando li cancellano, ricompaiono.

Evidentemente cìè un programmino che li rigenera.

Che devo fare?

P.s. ho provato a postare la schermata ma è + grande dei 25000 bytes massimi.

non postare la schermata...

fai salva log in basso

e poi posta il testo

prova spybot search&destroy..


altrimenti manualmente...
ma occorre valutare caso per caso..

prima cosa:
(procurati procexp... simile a taskmanager.. che ti permette di analizzare i processi..)
per individuare l'attachment che rompe su I.E....

- se è un file.. .di solito dentro alla cartella programmi oppure windows.. lo devi cancellare.. per cancellarlo devi killare explorer.. perchè tante volte è associato al processo.
- una volta killato explorer.. da Taskmanager.. fai FILE --> nuova operazione --> SFOGLIA...
- cerca la cartella... il file che scassa le scatole.. e cancellalo.

poi..


- fai eseguire il registro.. regedit.
- fai una ricerca del nome che vedi sul titolo della finestra di explorer..
-non essere troppo fiscale... altrimenti rischi di nn trovare niente.
- tra le ricerche che porti a termine nel registro individua le chiavi malevoli e cancellale.. con tutta la cartella pre-stante. se non contiene informazioni viatali (quindi attento, solo riferimenti al prog. malevolo).

sempre sul regedit.

localmachines...software...microsoft...windows..run..
cancella i programmi che si autoeseguono che tu definisci inutili e vedi se esiste niente che sia riferito al programma malevolo..

-------------
occorre un po di pratica.. e focalizzazione.. ma è il metodo migliore alle volte

Ecco il file di log....

La pagina iniziale indesiderata di IE contiene i numeri 96676, quindi ho cancellato tutti quelli (n°6) che contengono questo numero ma ricompaiono dopo la cancellazionel

Logfile of HijackThis v1.97.7
Scan saved at 12.49.55, on 25/06/2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\HPConfig.exe
C:\Programmi\CA\eTrust\InoculateIT\InoRpc.exe
C:\Programmi\CA\eTrust\InoculateIT\InoRT.exe
C:\Programmi\CA\eTrust\InoculateIT\InoTask.exe
C:\WINNT\LogWatNT.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\msad32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\hkcmd.exe
C:\Programmi\Hewlett-Packard\HP Display Settings\hpdisply.exe
C:\WINNT\essspk.exe
C:\WINNT\System32\PRPCUI.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\CA\eTrust\InoculateIT\realmon.exe
C:\WINNT\System32\mslaugh.exe
C:\WINNT\system32\javapc.exe
C:\docume~1\sistem~1\datiap~1\svchost.exe
C:\Documents and Settings\Sistema Informativo\Desktop\assistenza\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\oaxez.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://oaxez.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://oaxez.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\oaxez.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://oaxez.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\oaxez.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {01F55227-6A5D-98CB-D7B3-05E88F55BDDA} - C:\WINNT\system32\d3qv32.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Impostazioni video HP] C:\Programmi\Hewlett-Packard\HP Display Settings\hpdisply.exe /s
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\Programmi\CA\eTrust\InoculateIT\realmon.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
O4 - HKLM\..\Run: [javapc.exe] C:\WINNT\system32\javapc.exe
O4 - HKCU\..\Run: [System Update4] c:\docume~1\sistem~1\datiap~1\svchost.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexIT530.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

cancella oaxez.dll

FIXa le seguenti righe...

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\oaxez.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://oaxez.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://oaxez.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\oaxez.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://oaxez.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\oaxez.dll/sp.html#96676


ammesso che tu non sappia cosa siano precisamente anche

O2 - BHO: (no name) - {01F55227-6A5D-98CB-D7B3-05E88F55BDDA} - C:\WINNT\system32\d3qv32.dll
O4 - HKLM\..\Run: [javapc.exe] C:\WINNT\system32\javapc.exe


poi

O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
O4 - HKCU\..\Run: [System Update4] c:\docume~1\sistem~1\datiap~1\svchost.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.ex...80/dexIT530.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe

fixa riavvia in modalità provvisoria e tenta di eliminare
C:\WINNT\oaxez.dll

riavvia e riposta il log nuovo

Ok grazie di cuore.

smackkkkkkkkkkkkk

Ps. credo la colpa sia proprio di quella DLL, a primo acchitto sembra non ricomparire la pagina indesiderata.

Oggi riavvio e vi faccio sapere BYEZ

Risolto era quella DLL maledetta che mi faceva riapparire la pagina e le 6 voci col numero.

Ho selezionato le 7 voci, ho fixato e tutto a posto.

Grazieeeeeeeeeeeeeee.

contenti che hai risolto...


comunque per rimuovere questi spyware non basta rimuovere una dll...


sono molto cattivi... ;)

ciao