about blank

[easyand]

Mi si è installata questa dannata homepage,ho usato ad aware,cwshredder,spyboy search e destroy,spybot stopper e hijackthis ma niente funziona in maniera definitiva,cosa posso fare??AIUTOOOOOOOOOOOOOOOO
questo è il risulltato di hijackthis:

Scan saved at 19.04.05, on 21/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmi\ABIT\ABIT uGuru\uGuru.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\andre@\IMPOST~1\Temp\Rar$EX00.484\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {126B2116-20AB-4CF4-A955-A783E82F73FD} - C:\WINDOWS\mrhop.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ABIT uGuru] C:\Programmi\ABIT\ABIT uGuru\uGuru.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programmi\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA8D3A45-F22A-4CBD-80FA-97D06FB1C704}: NameServer = 217.141.109.207 151.99.125.1

[wgator]

Ciao,

non sono un esperto di hijackthis (ci vorrebbe MrOz) ma queste voci mi sembrano tutte schifezze:

C:\WINDOWS\System32\GSICON.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

Edit: riguardando la lista ne ho viste altre

O2 - BHO: (no name) - {126B2116-20AB-4CF4-A955-A783E82F73FD} - C:\WINDOWS\mrhop.dll

e, forse anche questa:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank

Prima di farlo attendi una risposta più autorevole della mia, ma secondo me andrebbero killate tutte

[MrOZ]

Il modo x togliere about:blank è complicatissimo, in quanto i file cambiano di volta in volta casualmente a seconda dei casi e si nascondono in windows.

Prova questo metodo:

scarica questo tool http://tools.zerosrealm.com/dllfix.exe e scompattalo ad esempio in C o in C:/Programmi.

Apri il file start.bat e guarda lo screen che compare,lancia l'opzione "1. Run Find-all 3.0" e controlla e posta il risultato del log Output.txt.

Riapri start.bat e scegli l'opzione 2. Run fix. Se il log Output.exe ti dava il nome di una DLL allora scegli l'opzione "1. Enter DLL name manually", poi esegui e riavvia. Se invece non ti dava nessun nome, scegli l'opzione "2. run fix without DLL name".

Aspetta il riavvio, poi scarica adaware6, aggiornalo e lancialo.
Fai un nuovo scan con hijackthis e riposta un nuovo log.

E' tutto molto complicato... ma spero di essere stato il + chiaro possibile.

Ciao.

[easyand]

--==***@@@ FIND-ALL' VERSION 5.2 -5/18 @@@***==--

22/05/2004
11.24

System Info:

Microsoft Windows XP [Versione 5.1.2600]
C: "" (1CF1:673B) - FS:NTFS clusters:4k
Total: 81 948 430 336 [76G] - Free: 75 803 082 752 [71G]


*IE version and Service packs:
6.0.2600.0 C:\Programmi\Internet Explorer\Iexplore.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings

*Google Toolbar version and Attributes:
Defaults: "A" ;"R"
Impossibile trovare il percorso - C:\Programmi\google
Impossibile trovare il percorso - C:\Programmi\google

*UserAgent:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


*Wmplayer version:
8.0.0.4477 C:\Programmi\Windows Media Player\wmplayer.exe
6.4.9.1120 C:\Programmi\Windows Media Player\mplayer2.exe

*M$Java version:


*PC uptime:
11:24am up 0 days, 0:24
Locked or 'Suspect' file(s) found...


*List of top level windows:
HWND PID PRIO TITLE
c010a 988 norm SysFader
3008e 988 norm Menu Avvio
10082 988 norm CiceroUIWndFrame
30034 988 norm _Shell_TrayWnd
100e2 1776 norm CiceroUIWndFrame
200d8 1776 norm TF_FloatingLangBar_WndTitle
10026 448 high NetDDE Agent
a0128 1444 norm C:\WINDOWS\System32\cmd.exe
80132 988 norm dllfix
90124 988 norm DDE Server Window
601d6 988 norm MCI command handling window
20102 988 norm Connections Tray
200f8 988 norm Misuratore alimentazione
200fc 988 norm MS_WebcheckMonitor
100ea 1716 norm DIEmWin
100da 1784 norm DDE Server Window
100ae 1724 norm Opzioni del cassetto nForce
100bc 1716 norm ATI Tray Icon Application
100a8 1732 norm GlobeSpan Cpl Target Window
100a4 1740 norm DSLAGENT
901b4 988 norm SysFader
10084 988 norm Program Manager
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{513D237F-B014-4B7D-BB55-5F9219F6B564}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{90D6C993-2468-4586-9533-F21ABC856E58}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{90D6C993-2468-4586-9533-F21ABC856E58}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

*Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read BUILTIN\Users
(ID-IO) ALLOW Read BUILTIN\Users
(ID-NI) ALLOW Full access BUILTIN\Administrators
(ID-IO) ALLOW Full access BUILTIN\Administrators
(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Users
Full access BUILTIN\Administrators
Full access NT AUTHORITY\SYSTEM

[easyand]

sembra che con il tuo programma e ad aware aggiornato se ne sia andata,stiamo a vedere.

[Jaguar64bit]

Installa Spyware Blaster , almeno sei immune a questi problemi.

[MrOZ]

Quote:

Originariamente inviato da easyand
sembra che con il tuo programma e ad aware aggiornato se ne sia andata,stiamo a vedere.

x avere una ulteriore conferma posta un nuovo log di hijackthis.

Inoltre stai attento a quando navighi e prendi qualche precauzione.

Ciao.

[easyand]

questa è l' ultima scansione hijackthis,ho provato un riavvio e sembra tutto ok.

Logfile of HijackThis v1.97.7
Scan saved at 14.28.05, on 22/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmi\ABIT\ABIT uGuru\uGuru.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\andre@\IMPOST~1\Temp\Rar$EX00.062\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ABIT uGuru] C:\Programmi\ABIT\ABIT uGuru\uGuru.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programmi\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA8D3A45-F22A-4CBD-80FA-97D06FB1C704}: NameServer = 217.141.109.207 151.99.125.1

[MrOZ]

elimina con hijackthis questo valore
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)

riavvia, poi cerca il file mrhop.dll se lo trovi (in C:\WINDOWS) ed eliminalo manualmente.

[easyand]

perche??

[axxaxxa3]

Quote:

Originariamente inviato da easyand
perche??

Perchè si!

[easyand]

ma che risposta è?!

[axxaxxa3]

QUOTE]Originariamente inviato da easyand
ma che risposta è?! [/quote]

Dai scherzo!! p.s. non ti arrabbiare... sono fatto così![

[Jaguar64bit]

Quote:

Originariamente inviato da easyand
perche??

Se te lo dice il mago di Oz fidati

[tntgiallo]

Quote:

Originariamente inviato da MrOZ
x avere una ulteriore conferma posta un nuovo log di hijackthis.

Inoltre stai attento a quando navighi e prendi qualche precauzione.

Ciao.

che intendi per precauzioni? ho installato noton internet security, e in piu ho installato norton antivirus 2004....
che altro devo farE?ieri anche io ho preso il problema della pagina iniziale "about:blank" che alòtro posso farE?

[MACC]

Ho lo stesso problema.... Aiutatemi per favore...
Ho fatto girare ora SpyAudit e SpySweeper e mi ha rimosso qualche trojan un pò di adware e 3 cookie...
Anche a me compare la pagina about:blank come agli altri utenti...
Se non ho capito male devo far girare questo programma:hijackthis... Poi??

[MrOZ]

Quote:

Originariamente inviato da tntgiallo
che intendi per precauzioni? ho installato noton internet security, e in piu ho installato norton antivirus 2004....
che altro devo farE?ieri anche io ho preso il problema della pagina iniziale "about:blank" che alòtro posso farE?

gli antivirus non proteggono completamente dagli adaware, spyware e hijacker.... anzi spesso non lo fanno proprio.

[tntgiallo]

rinvio a questa discussione, dove crentro meglio il problema:
http://forum.hwupgrade.it/showthread...hreadid=692903

ciao