Virus?spyware?Bohhhhh

Halloween72 · 24-07-2004, 14:09

Ciao a tutti, nel pc di un mio amico si è infilato qualcosa di veramente anomalo.....premetto ke apparentemente non ha virus nè dll o exe strani(effettuata scansione con vari antivirus)...il problema è ke ha modificato la default page dell'explorer con "c:\winnt\secure.html" e questa caxxo di pagina web(tra l'altro vuota) non vuole andare via.
Se si cancella o si rinomina il file si ricrea in tempo reale, con hijackthis la stessa cosa, non vengono lanciati processi all'avvio e da una ricerca sul file di registro non risulta nulla (a parte la kiave della default page modificata). Effettuata pulizia con regcleaner e adware anche dalla modalità provvisoria ma non c'è nulla da fare....Ho anke cancellato il file da dos ma si ricrea lo stesso.

Ke ne dite?Un'idea geniale?Una mandrakata?
Fatemi sapere.....P.

MrOZ · 24-07-2004, 14:50

Usa HiJackThis 198.0 o superiore.

Elimina tutte le R* entries simili a questa:
R* - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

Elimina le stringhe che si riferiscono a secure.html.

Controlla le 017.

Elimina le O18 entries ed il file specificato nella 018.

wgator · 24-07-2004, 14:55

Quote:

Originariamente inviato da MrOZ
Usa HiJackThis 198.0 o superiore.

Ehm... hehehe,

hai ancora la 1.7.7 in signature

Ciao

Halloween72 · 24-07-2004, 17:09

Quote:

Originariamente inviato da MrOZ
Usa HiJackThis 198.0 o superiore.

Elimina tutte le R* entries simili a questa:
R* - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html

Elimina le stringhe che si riferiscono a secure.html.

Controlla le 017.

Elimina le O18 entries ed il file specificato nella 018.

Già fatto tutto....si ricrea sempre

MrOZ · 24-07-2004, 18:45

Quote:

Originariamente inviato da Halloween72
Già fatto tutto....si ricrea sempre

allora devi postare il log con un copia-incolla

MrOZ · 24-07-2004, 18:52

Quote:

Originariamente inviato da wgator
Ehm... hehehe,

hai ancora la 1.7.7 in signature

Ciao

Ora non +

. Link corretto

PS: GFY!!!

wgator · 24-07-2004, 19:56

Quote:

Originariamente inviato da MrOZ
PS: GFY!!!

Halloween72 · 25-07-2004, 09:36

il log in questo momento non posso averlo (causa le ferie del mio amico) ma indica solo le 4 chiavi di registro della default page di explorer modificate con secure.html presenti nella local machine e nella current version, se le fixo e rilancio hijack me le ricrea

wgator · 25-07-2004, 10:14

Ciao,

è chiaro che da qualche parte c'è qualche file che le ricrea, quindi ci sarà un riferimento nel registro di windows, (merita un'occhiata) e qualche dll o cab o altro sparsa nei meandri del computer.

Oltre le solite cartelle note (temporanei, temporanei di internet, system32 ... potrebbe anche essere nella cartella windows/prefetch quindi sarebbe bene cancellarne tutto il contenuto

MrOZ · 25-07-2004, 11:32

Quote:

Originariamente inviato da Halloween72
il log in questo momento non posso averlo (causa le ferie del mio amico) ma indica solo le 4 chiavi di registro della default page di explorer modificate con secure.html presenti nella local machine e nella current version, se le fixo e rilancio hijack me le ricrea

x trovare file o dll nascoste, devi provare "find'n'fix" http://downloads.subratam.org/FINDnFIX.exe

24-07-2004, 14:09	#1
Halloween72 Member Iscritto dal: Mar 2002 Messaggi: 168	Virus?spyware?Bohhhhh Ciao a tutti, nel pc di un mio amico si è infilato qualcosa di veramente anomalo.....premetto ke apparentemente non ha virus nè dll o exe strani(effettuata scansione con vari antivirus)...il problema è ke ha modificato la default page dell'explorer con "c:\winnt\secure.html" e questa caxxo di pagina web(tra l'altro vuota) non vuole andare via. Se si cancella o si rinomina il file si ricrea in tempo reale, con hijackthis la stessa cosa, non vengono lanciati processi all'avvio e da una ricerca sul file di registro non risulta nulla (a parte la kiave della default page modificata). Effettuata pulizia con regcleaner e adware anche dalla modalità provvisoria ma non c'è nulla da fare....Ho anke cancellato il file da dos ma si ricrea lo stesso. Ke ne dite?Un'idea geniale?Una mandrakata? Fatemi sapere.....P. __________________ Mb:Abit AT7 MAX2 Cpu:Barton 2800+@3200+ cooled by Vantec Tornado Hd: Maxtor 200 Gb Ram:2 gb DDR 400 TwinMos Connessione ADSL 4Mb Skeda Video:ATI 9800PRO 128Mb Monitor:LG Flatron 19'' F900p Skeda Audio: SB Audigy player Masterizzatore DVD: Pioneer 111D S.O. : Windows Vista Home Premium Case Xaser 3 con finestra trasparente e neon UV

25-07-2004, 09:36	#8
Halloween72 Member Iscritto dal: Mar 2002 Messaggi: 168	il log in questo momento non posso averlo (causa le ferie del mio amico) ma indica solo le 4 chiavi di registro della default page di explorer modificate con secure.html presenti nella local machine e nella current version, se le fixo e rilancio hijack me le ricrea __________________ Mb:Abit AT7 MAX2 Cpu:Barton 2800+@3200+ cooled by Vantec Tornado Hd: Maxtor 200 Gb Ram:2 gb DDR 400 TwinMos Connessione ADSL 4Mb Skeda Video:ATI 9800PRO 128Mb Monitor:LG Flatron 19'' F900p Skeda Audio: SB Audigy player Masterizzatore DVD: Pioneer 111D S.O. : Windows Vista Home Premium Case Xaser 3 con finestra trasparente e neon UV

25-07-2004, 10:14	#9
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, è chiaro che da qualche parte c'è qualche file che le ricrea, quindi ci sarà un riferimento nel registro di windows, (merita un'occhiata) e qualche dll o cab o altro sparsa nei meandri del computer. Oltre le solite cartelle note (temporanei, temporanei di internet, system32 ... potrebbe anche essere nella cartella windows/prefetch quindi sarebbe bene cancellarne tutto il contenuto __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

24-07-2004, 14:50	#2
MrOZ Senior Member Iscritto dal: Jun 2003 Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002 Messaggi: 4426	Usa HiJackThis 198.0 o superiore. Elimina tutte le R* entries simili a questa: R* - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html Elimina le stringhe che si riferiscono a secure.html. Controlla le 017. Elimina le O18 entries ed il file specificato nella 018.

Strumenti
Mostra una versione stampabile Invia questa pagina per email