Ciao a tutti, nel pc di un mio amico si è infilato qualcosa di veramente anomalo.....premetto ke apparentemente non ha virus nè dll o exe strani(effettuata scansione con vari antivirus)...il problema è ke ha modificato la default page dell'explorer con "c:\winnt\secure.html" e questa caxxo di pagina web(tra l'altro vuota) non vuole andare via.
Se si cancella o si rinomina il file si ricrea in tempo reale, con hijackthis la stessa cosa, non vengono lanciati processi all'avvio e da una ricerca sul file di registro non risulta nulla (a parte la kiave della default page modificata). Effettuata pulizia con regcleaner e adware anche dalla modalità provvisoria ma non c'è nulla da fare....Ho anke cancellato il file da dos ma si ricrea lo stesso.

Ke ne dite?Un'idea geniale?Una mandrakata?
Fatemi sapere.....P.

Usa HiJackThis 198.0 o superiore.

Elimina tutte le R* entries simili a questa:
R* - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

Elimina le stringhe che si riferiscono a secure.html.

Controlla le 017.

Elimina le O18 entries ed il file specificato nella 018.

Originariamente inviato da MrOZ
Usa HiJackThis 198.0 o superiore.

Ehm... hehehe, :asd:

hai ancora la 1.7.7 in signature :D

Ciao

Originariamente inviato da MrOZ
Usa HiJackThis 198.0 o superiore.

Elimina tutte le R* entries simili a questa:
R* - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

Elimina le stringhe che si riferiscono a secure.html.

Controlla le 017.

Elimina le O18 entries ed il file specificato nella 018.
Già fatto tutto....si ricrea sempre

Originariamente inviato da Halloween72
Già fatto tutto....si ricrea sempre

allora devi postare il log con un copia-incolla

Originariamente inviato da wgator
Ehm... hehehe, :asd:

hai ancora la 1.7.7 in signature :D

Ciao

Ora non + :D :D . Link corretto :cool:




PS: GFY!!! :ciapet:

Originariamente inviato da MrOZ
PS: GFY!!! :ciapet:

:D :rotfl: :fuck:

il log in questo momento non posso averlo (causa le ferie del mio amico) ma indica solo le 4 chiavi di registro della default page di explorer modificate con secure.html presenti nella local machine e nella current version, se le fixo e rilancio hijack me le ricrea

Ciao,

è chiaro che da qualche parte c'è qualche file che le ricrea, quindi ci sarà un riferimento nel registro di windows, (merita un'occhiata) e qualche dll o cab o altro sparsa nei meandri del computer.

Oltre le solite cartelle note (temporanei, temporanei di internet, system32 ... potrebbe anche essere nella cartella windows/prefetch quindi sarebbe bene cancellarne tutto il contenuto

Originariamente inviato da Halloween72
il log in questo momento non posso averlo (causa le ferie del mio amico) ma indica solo le 4 chiavi di registro della default page di explorer modificate con secure.html presenti nella local machine e nella current version, se le fixo e rilancio hijack me le ricrea

x trovare file o dll nascoste, devi provare "find'n'fix" http://downloads.subratam.org/FINDnFIX.exe