Novizio con due problemi...

[GbLoArNdCiEnS]

Ciao,
appena iscritto e complimenti per il sito.

Se questa è la sezione giusta, vorrei segnalare due vicende che mi sono capitate di recente e per le quali mi piacerebbe avere competenti opinioni.
La prima, riguarda un sito di fan del grande Renato Zero. recandosi a questo indirizzo (se poi il moderatore me ne darà il permesso, fornirò link), si viene immediatamente fatti oggetto di un tentativo di intrusione non frequente nella rete (o almeno per la mia esperienza). Com'è possibile questo fatto?

La seconda cosa che volevo chiedere, riguarda il mai battito "about:blank"; ho provato tutti i suggeriementi esistenti, ma il maledetto ritorna sempre. Adesso ho risolto con un programmino che obbliga tutti i browser a reindirizzarsi sempre alla mia vera home page. Le dll che originano le deviazioni, si possono trovare e cancellare?

Ciao e grazie.

[Stev-O]

per about c'e' un tool....

[GbLoArNdCiEnS]

Ciao,
credo di avere usato tutto quello che è disponibile in rete, ma se mi indichi più chiaramente a cosa fai riferimento, proverò volentieri la soluzione.

[Stev-O]

eh non mi ricordo il link... fai casomai una scansione con ewido
www.ewido.net

[andorra24]

Si puo' provare anche con un log di hijackthis.

[GbLoArNdCiEnS]

Ho provato :
hjt
ewido
ispfix
spsehfix

fatto operazioni anche da modalità provvisioria...l'attività malware ritorna.
Credo che se fosse possibile isolare la o le dll responsabili, si potrebbe rinominarle e, dopo, eliminarle.
Ma il problema consiste nel fatto che queste dll cambiano la loro denominazione, rendenbdo di fatto complicatissima la loro eliminazione.

[Stev-O]

postalo il log

[GbLoArNdCiEnS]

Quote:

Originariamente inviato da Stev-O

postalo il log

Eccolo :

Logfile of HijackThis v1.99.1
Scan saved at 15.23.19, on 26/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\rsvp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\system32\GSICON.EXE
C:\WINNT\system32\dslagent.exe
C:\Programmi\Norton SystemWorks\Norton GoBack\GBTray.exe
E:\Sezione Browser\Avant Browser\Versione base\Avant Browser\2\avant.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
J:\Emule\versione 047a\emule.exe
E:\Cassetta degli attrezzi speciali\Spyware\hijack this\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.corriere.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = www.corriere.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.corriere.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = base corriere
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\CASSET~1\Spyware\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [zSPGuard] e:\cassetta degli attrezzi speciali\deviazioni internet\startpage guard\spguard\spguard.exe /s /r
O4 - Global Startup: Norton GoBack.lnk = C:\Programmi\Norton SystemWorks\Norton GoBack\GBTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Aggiungi l'indirizzo alla Lista Nera della pubblicità - E:\Sezione Browser\Avant Browser\Versione base\Avant Browser\2\AddToADBlackList.htm
O8 - Extra context menu item: Apri tutti i collegamenti nella pagina in linguette diverse - E:\Sezione Browser\Avant Browser\Versione base\Avant Browser\2\OpenAllLinks.htm
O8 - Extra context menu item: Blocca tutte le immagini provenienti dal server di questa - E:\Sezione Browser\Avant Browser\Versione base\Avant Browser\2\AddAllToADBlackList.htm
O8 - Extra context menu item: Evidenzia in questa pagina - E:\Sezione Browser\Avant Browser\Versione base\Avant Browser\2\Highlight.htm
O8 - Extra context menu item: Open In New Avant Browser - E:\Sezione Browser\Avant Browser\Versione base\Avant Browser\2\OpenInNewBrowser.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACFD3E24-EDA7-4315-BD9E-B5A9E4C24AAD}: NameServer = 212.216.112.112 212.216.172.62
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E:\diskeeper pro10\DkService.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GBPoll - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton GoBack\GBPoll.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - E:\Cassetta degli attrezzi speciali\Diagnosi\Sandra 2005 lite\Sisoftware Sandra Lite SR3 1069 eou\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - E:\Cassetta degli attrezzi speciali\Diagnosi\Sandra 2005 lite\Sisoftware Sandra Lite SR3 1069 eou\RpcSandraSrv.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

[andorra24]

Il log e' pulito.

[Stev-O]

non lo volevo dire ma lo pensavo: allora dove sono finiti i mailware???
ah, metti sp2 velocemente

[GbLoArNdCiEnS]

Amic,
se il log fosse stato "sporco", avrei discusso intorno a tali elementi. Il problema è proprio qui...non esiste traccia di attività malevola, ma ogni 5/6 ore avviene il tentativo di variare la home page dei navigatori che uso (tre).
Circa il suggeriemnto del sp2, credo sia consigliabile per chi utilizza XP; non credo che il buon windows 2000 apprezzerebbe molto una tale manovra

[Stev-O]

ah...
beh sp4 per 2000
immunizza anche il browser (i browsers) con spywareblaster e cerchiamo di individuare questa attività....
occorre forse il programma suggerito da andorra l'altro ieri che è un beta ancora

[andorra24]

Ci sono dei tools che eliminano about:blank ma non sono freeware:

http://www.adwareaway.com/
http://www.scosoft.com/remove-about-blank-buddy.htm

[Stev-O]

pensavo fosse meno duro questo about blank

[andorra24]

Quote:

Originariamente inviato da Stev-O

pensavo fosse meno duro questo about blank

no, purtroppo e' una carogna.

[GbLoArNdCiEnS]

Grazie ad entrambi per l'attenzione e la disponibilità.
Posso farvi ridere?
Pochi minuti fa, il programma di guardia, mi ha avvisato che mi erano state cambiate le home page...e così era.
Da non credere.

Confermo il fatto che about:blank sia un cliente difficile. Sembra esista da circa 4 anni e non è mai stato definitivamente sconfitto.
Provo ad interessarmi dei programmi segnalati e ancra grazie.

PER IL MODERATORE :
Posso scrivere il link del sito che invade i pc dei navigatori?

[andorra24]

Se si tratta di un link pericoloso non e' possibile metterlo sul forum per evitare che qualcuno ci finisca incautamente.

[GbLoArNdCiEnS]

Il mio firewall lo ha bloccato scrivendo :

http:MSIE filedragdrop embed code www.XXXXXXXXXX.info
62.149.130.121
tentativo d'intrusione rilevato e bloccato.

Se interessa, sono disponibile a fornire indirizzo del sito (coperto con delle "X").
Hai ragione quando dici che qualcuno potrebbe incappare in problmei, ma è anche vero che se nessuno ne parla, ci si finisce dentro ancora meglio e senza alcuna possibilità di difesa...

[Stev-O]

secondo me spywareblaster dovrebbe immunizzare da esso
in futuro naviga con firefox e utilizza le estensioni noscript e adblock con filterset e siteadvisor che ti segnala in anticipo se un sito è affidabile o meno

[andorra24]

Quote:

Originariamente inviato da GbLoArNdCiEnS

Hai ragione quando dici che qualcuno potrebbe incappare in problmei, ma è anche vero che se nessuno ne parla, ci si finisce dentro ancora meglio e senza alcuna possibilità di difesa...

Il sito penso che tu possa indicarlo ma non renderlo cliccabile, fagli qualche modifica.