greatsearch.biz non lo riesco a togliere

[Morgan Leah]

questo grande bastardo si è messo come pagina iniziale ad un mio amico e non sono riuscito ad eliminarlo in nessun modo.
antivir
spybot
kill2me
startup list
bazooka
bho list
cwshreddere
hijackthis
kaspersky
ho usato questi (tutti aggiornati) ma non ho risolto il problema.
Ho provato pure a mano cancellando o editando le voci di registro, ma non l'ho rimosso dalla pagina iniziale.
L'unico sistema che ho trovato per non far caricare quella pagina all'avvio è stato quella di bloccare l'IP con zone alarm.
Vi allego il log di hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 21.46.43, on 24/05/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMMI\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMMI\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMMI\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMMI\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAMMI\SPYBOT - SEARCH & DESTROY\TeaTimer.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

spero che riusciate ad aiutarmi.
Non ho mai trovato un "coso" così bastardo...

[wgator]

Ciao,

ti manca solo di fare un test on line con spyaudit:
http://www.earthlink.net/spyaudit/

[Morgan Leah]

Quote:

Originariamente inviato da wgator
Ciao,

ti manca solo di fare un test on line con spyaudit:
http://www.earthlink.net/spyaudit/

proverò

[Morgan Leah]

non ha funzionato nemmeno spyaudit.
non ho alternative che il format?

[MrOZ]

Scarica l'ultimo tool di questa pag. http://forum.gladiator-antivirus.com...=0&#entry50187 Lancialo e poi riavvia.

Elimina questi file se li trovi:

C:\windows\system32\system32.dll
C:\windows\system\system32.dll
C:\winnt\system32\system32.dll


Fai uno scan con hijackthis ed elimina tutte le R* che si riferiscono a greatsearch.biz

[FiorDiLatte]

Quote:

Originariamente inviato da MrOZ
Scarica l'ultimo tool di questa pag. http://forum.gladiator-antivirus.com...=0&#entry50187 Lancialo e poi riavvia.

Elimina questi file se li trovi:

C:\windows\system32\system32.dll
C:\windows\system\system32.dll
C:\winnt\system32\system32.dll


Fai uno scan con hijackthis ed elimina tutte le R* che si riferiscono a greatsearch.biz

Ma il problema e' che hijackthis non me le toglie le chiavi di registro, me le scansiona, ma non le toglie.

Provero' cmq con quel software che hai consigliato.

byezzz

[Alieno]

Ci ho perso 4 ore la settimana scorsa, eccoti la procedura completa, da eseguire passo passo così come è scritta.

Scarica i seguenti programmi: CWShredder, Ad-aware, HiJackThis, Spybot e Spysweeper.
Al primo avvio di ogni programma, senza fare ancora nulla, aggiornali via Internet (hanno tutti un update online automatico, tipo antivirus).
Riavvia il pc in provvisoria ed esegui la scansione con Spysweeper. Togli pure tutto quello che ti trova.
Fai la stessa cosa con CWShredder.
Poi lancia Ad-aware, vai in Settings (iconcina in alto) > Tweak > Scanning Engine e seleziona "Unload recognized processes during scanning". In Cleaning Engine invece seleziona "Let Windows remove files in use at next reboot". Clicca Proceed e poi Start. Seleziona "Use Custom scanning options", attiva "Activate in-depth scan", poi seleziona "Select drives\folders to scan" e seleziona la partizione col sistema operativo. Poi clicca su Customize e verifica che siano attive 'Scan Within Archives', 'Scan Active Processes', 'Scan Registry', 'Deep Scan Registry', 'Scan My IE Favorites For Banned URL'S', e 'Scan My Hosts File' . Clicca Proceed e Next. Dopo la scansione elimina tutto quello che ti trova.
Poi, sempre senza riavviare, apri Spybot, clicca Search&Destroy e lancia la scansione. Elimina anche qui tutto quello che ti trova.
Non riavviare ancora, crea un nuovo file di testo e incollaci dentro tutto quello che c'è qui sotto, esclusi gli asterischi:

*******************
REGEDIT 4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
[-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]
[-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]
[-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]
********************

Salva il file come nomequalunque.reg (salvalo come "tutti i file" e non come .txt) sul desktop, facci doppio click e rispondi SI quando ti chiede di aggiungere le voci al registro.
Fai una ricerca su c: per il file system32.dll ed eliminalo.
Lancia HiJackThis ed elimina le cose relative a greatsearch.biz (più eventualmente tutte le altre cose sospette).
Verifica se hai questi file sul pc. Se ci sono eliminali:
C:\WINDOWS\svchost.exe
C:\WINDOWS\dl.exe (o dl.qualisasiestensione)
C:\WINDOWS\dlm.exe (o dlm.qualisasiestensione)

Idem queste cartelle:
C:\Program Files\MyWay
C:\Program Files\Perfect...
C:\WINDOWS\wt\updater
C:\Program Files\Common files\updmgr

Riavvia e vivi in pace.

[Morgan Leah]

ellamadonna....
proverò la soluzione proposta da alieno.

[winnertaco]

navigando in rete, si può rimanere vittime di fastidiose (e non richieste!) modifiche della pagina iniziale del browser, ovvero quella predefinita che viene visualizzata al momento dell'apertura di Internet Explorer. Anche modificandola manualmente, al successivo riavvio del programma, ritroviamo quella URL sempre lì, che da sola si è insidiata nel nostro PC. A chi ne è rimasto "vittima" ed ancora non ha trovato una soluzione, consiglio di usare un piccolo tool, creato specificamente per questo scopo: CWShredder. Noi lo abbiamo messo a disposizione gratuitamente su Manuali.net e lo potete scaricare da qui.

Poiché però, prevenire è meglio che curare, vediamo come impedire queste fastidiose modifiche... Occorre agire sul registro, procedendo in questo modo:

- da "Start" - "Esegui" - digitare regedit
- spostarsi su HKEY_CURRENT_USERS\Software\Policies\Microsoft

Bisogna creare una nuova chiave, dal menu "Modifica" -> "Nuovo" -> "Chiave" chiamandola "Internet Explorer". Ripetere l'operazione creando al suo interno un'ulteriore chiave, chiamandola "Control Panel", ed in essa bisogna creare un nuovo valore di tipo DWORD (dal menu "Modifica" - "Nuovo" - "Valore DWORD") con il nome "Homepage" ed assegnandogli valore pari ad 1.

In questo modo la pagina iniziale non si potrà più modificare; se si desidera renderla nuovamente modificabile, basterà semplicemente cambiare questo valore in 0.

[FiorDiLatte]

Quote:

Originariamente inviato da winnertaco
navigando in rete, si può rimanere vittime di fastidiose (e non richieste!) modifiche della pagina iniziale del browser, ovvero quella predefinita che viene visualizzata al momento dell'apertura di Internet Explorer. Anche modificandola manualmente, al successivo riavvio del programma, ritroviamo quella URL sempre lì, che da sola si è insidiata nel nostro PC. A chi ne è rimasto "vittima" ed ancora non ha trovato una soluzione, consiglio di usare un piccolo tool, creato specificamente per questo scopo: CWShredder. Noi lo abbiamo messo a disposizione gratuitamente su Manuali.net e lo potete scaricare da qui.

Poiché però, prevenire è meglio che curare, vediamo come impedire queste fastidiose modifiche... Occorre agire sul registro, procedendo in questo modo:

- da "Start" - "Esegui" - digitare regedit
- spostarsi su HKEY_CURRENT_USERS\Software\Policies\Microsoft

Bisogna creare una nuova chiave, dal menu "Modifica" -> "Nuovo" -> "Chiave" chiamandola "Internet Explorer". Ripetere l'operazione creando al suo interno un'ulteriore chiave, chiamandola "Control Panel", ed in essa bisogna creare un nuovo valore di tipo DWORD (dal menu "Modifica" - "Nuovo" - "Valore DWORD") con il nome "Homepage" ed assegnandogli valore pari ad 1.

In questo modo la pagina iniziale non si potrà più modificare; se si desidera renderla nuovamente modificabile, basterà semplicemente cambiare questo valore in 0.

1) Il CWShredder non funziona!! Il Greatsearch.biz non e' cosi' semplice da togliersi sembra piu' un worm vero e prioprio che altro.

2) riguardo al blocca Homepage qui trovate gia' i file .reg x XP http://www.wintricks.it/faqreg/reg_c_xp.html ed altre cosuccie utili.


byezzz

[FiorDiLatte]

Un altro link su come disinstallare i vari spyware che si installano in "bundle" con altri software http://www.pchell.com/support/savenow.shtml


byezzz

[FiorDiLatte]

Qui la procedura e' un po' meno complicata, rispetto a quella consigliata da Alieno:

http://forums.techguy.org/t230887.html e' l'ultimo post in fondo.



byezzz

[MrOZ]

Quote:

Originariamente inviato da winnertaco
navigando in rete, si può rimanere vittime di fastidiose (e non richieste!) modifiche della pagina iniziale del browser, ovvero quella predefinita che viene visualizzata al momento dell'apertura di Internet Explorer. Anche modificandola manualmente, al successivo riavvio del programma, ritroviamo quella URL sempre lì, che da sola si è insidiata nel nostro PC. A chi ne è rimasto "vittima" ed ancora non ha trovato una soluzione, consiglio di usare un piccolo tool, creato specificamente per questo scopo: CWShredder. Noi lo abbiamo messo a disposizione gratuitamente su Manuali.net e lo potete scaricare da qui.

CWShredder non è ancora in grado di rimuovere completamente lo spyware/hijacker di cui si parla in questo thread. La procedura di rimozione x cashsearch.biz, greatsearch.bix e jksearch.biz verrà prob inclusa nelle definizioni della prossima ver di CWShredder.

[FiorDiLatte]

Quote:

Originariamente inviato da winnertaco
Noi lo abbiamo messo a disposizione gratuitamente su Manuali.net e lo potete scaricare da qui.

Scusa ma e' piu' forte di me
Ti devo criticare.

Cosa intendi per:

"Noi lo abbiamo messo a disposizione gratuitamente"

lo volevate mettere a pagamento!?
Lo si trova gia' gratuitamente in rete e' freeware, il "NOI" mi sembra un po' snob e provocatorio.


byezzz

[Morgan Leah]

grazie alla procedura descritta da Alieno sono riuscito a rimuovere quell'odiosa home page.
Da come era scritta sembrava più complessa di com'è in realtà...
Un grazie a tutti voi per l'aiuto che mi avete dato
Grazie Alieno!

[winnertaco]

Quote:

Originariamente inviato da FiorDiLatte
Scusa ma e' piu' forte di me
Ti devo criticare.

Cosa intendi per:

"Noi lo abbiamo messo a disposizione gratuitamente"

lo volevate mettere a pagamento!?
Lo si trova gia' gratuitamente in rete e' freeware, il "NOI" mi sembra un po' snob e provocatorio.


byezzz

ehm....BBBBOOONNIIII!

praticamente ho fatto un copia incolla di un E-mail della newsletter UN TRUCCO AL GIORNO!

[Alieno]

Quote:

Originariamente inviato da Morgan Leah
grazie alla procedura descritta da Alieno sono riuscito a rimuovere quell'odiosa home page.
Da come era scritta sembrava più complessa di com'è in realtà...
Un grazie a tutti voi per l'aiuto che mi avete dato
Grazie Alieno!

Ti pare.

[FiorDiLatte]

Quote:

Originariamente inviato da winnertaco
ehm....BBBBOOONNIIII!

praticamente ho fatto un copia incolla di un E-mail della newsletter UN TRUCCO AL GIORNO!

Sei sicuro!?

Guarda che se dici le bugie ti si allunga il coso!!


byezzz

[winnertaco]

Quote:

Originariamente inviato da FiorDiLatte
Sei sicuro!?

Guarda che se dici le bugie ti si allunga il coso!!


byezzz

il coso? se è quello che penso io...da oggi...inizio a dir bugie!!!

[FiorDiLatte]

Quote:

Originariamente inviato da winnertaco
il coso? se è quello che penso io...da oggi...inizio a dir bugie!!!

Rocco non a caso, e' un bugiardo cronico!!


byezzz