Problemi con CWS/HiJacker che non riesco a togliere.

[OSMIUM_modified]

Ho provato ad usare i tool consigliati nella discussione in evidenza senza tuttavia riuscire nell'impresa di eliminare la pagina iniziale di Search-Daily.

Il CWShredder mi trova un CWS.Yexe che rimuove ma che si ripresenta ad ogni scansione. Ho provato col HijackThis rimuovendo la chiave omonima senza risultati. Ho fatto una scansione collo SpyBot infruttuosamente.

La pagina iniziale rimane sempre quella lì. Cosa mi consigliate con questo insetto coriaceo???

[Leron]

antivirus?

[OSMIUM_modified]

Norton 2004. Proverò a fare una scansione ma non è mai stato attivato.

[Leron]

Quote:

Originariamente inviato da OSMIUM
Norton 2004. Proverò a fare una scansione ma non è mai stato attivato.

ci avrei scommesso che era Norton Virus 2004

proverei qualcosa di meglio, magari quel virus non viene visto

PS sposto in antivirus e sicurezza

[netquik]

dicci anche in dettaglio cosa hai provato...

posta un log di hijackthis...

[OSMIUM_modified]

Allora non so come ma ho risolto...

Il Norton ha trovato 4 file costituenti Spy/Adware: ne ha eliminati solo 2.

All'apertura del browser rieccomi sulla pagina iniziale incriminata.

Allora procedo con HijackThis a fare una scansione per fare il log richiestomi da voi. Ecco di nuovo la chiave relativa al Search-Daily. Tento di rimuoverla di nuovo. Faccio una scansione con CWShredder per vedere se è ancora presente CWS.Yexe ma non la trovo più (ho cmq eseguito 2 scansioni perchè m'è scappato il bottone...).

Riapro il browser e la pagina iniziale incriminata è scomparsa.

Ripeto la scansione coll'HijackThis e non trovo più la chiave Search-Daily. Problema risolto ma come mai? Perchè la procedura non ha dato resultato positivo la prima volta che l'ho fatta?

Vi allego il log richiesto e vi ringrazio per il sostegno. Ciao.

P.S.: noterete la chiave relativa alla pagina iniziale www.search...etc.com accanto ad R0.

[OSMIUM_modified]

Ragazzi non è cambiato un piffero... mi sono lasciato trascinare dall'entusiasmo.

La pagina iniziale s'è di nuovo spostata sul quel maledetto sito.

Eccovi il nuovo log nel quale della chiave rimossa non c'è più traccia.

[OSMIUM_modified]

Ho rifatto uno scan ed ecco tornata la chiave infausta. Sempre in R0. Vi confesso che non so più cosa pensare...

[OSMIUM_modified]

Dimenticavo...

[netquik]

scusami potresti postarla come testo semplice nel post?

[OSMIUM_modified]

Logfile of HijackThis v1.98.2
Scan saved at 15.21.55, on 13/10/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\inet10047\services.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\ATI Multimedia\main\launchpd.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Varie\Kerio Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\eMule\emule.exe
D:\Download\ZIP-EXEorig\EXEorig\Insetticidi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-daily.com/10047/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: run=C:\WINDOWS\inet10047\services.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Varie\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\Varie\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet10047\services.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programmi\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet10047\services.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\Varie\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\Varie\FlashGet\jc_all.htm
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programmi\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\Varie\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\Varie\FlashGet\flashget.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/420/online.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv74/x.chm::/load.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/dlt/136.chm::/file.exe
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//nvipecs//wp...::/painter.exe
O21 - SSODL: eplrr - {970DC7F0-FA80-4196-8CF0-AB4E493DF623} - C:\WINDOWS\System32\eplrr0.dll
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

[netquik]

Avvia possibilmente in provvisoria... termina questo processo se presente...

C:\WINDOWS\inet10047\services.exe

fixa queste righe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about :NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :NavigationFailure
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-daily.com/10047/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about :NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :NavigationFailure

F3 - REG:win.ini: run=C:\WINDOWS\inet10047\services.exe

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet10047\services.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet10047\services.exe

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/420/online.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv74/x.chm::/load.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/dlt/136.chm::/file.exe
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//nvipecs//w...m::/painter.exe
O21 - SSODL: eplrr - {970DC7F0-FA80-4196-8CF0-AB4E493DF623} - C:\WINDOWS\System32\eplrr0.dll
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

elimina

C:\WINDOWS\inet10047\
C:\WINDOWS\System32\eplrr0.dll
C:\WINDOWS\System32\vbsys.dll

ora se vuoi (meglio) fai partire qualche scansione
con i soliti programmi
Consiglio Ad-aware, Aboutbuster
e una scansione AV

tutto da modalità provvisoria

poi riavvia... testa...e posta un nuovo log

[OSMIUM_modified]

Da Provvisoria ho fatto tutto tranne rimuovere eplr0.dll perchè non mi ricordavo il nome.

Tutto come prima. Benchè rimossa la cartella Inet10047 continuo a trovarmi sulla stessa pagina. Piuttosto in System32 ho trovato 8 file che cominciano con inet: un *.cpl e varie *.dll cancello anche queste?

[OSMIUM_modified]

Epl0r.dll resiste ai tentativi di eliminazione.

Ho riprovato la procedura e sembrerebbe tutto a posto.

Ecco i log prima e dopo l'ultima "irrorata"...

[OSMIUM_modified]

Confermo: mantiene la situazione ma adesso che ho risolto coll'hijacker come faccio ad ottenere il controllo della macchina?

Mi spiego: non posso lanciare il client, non posso accedere alle opzioni Internet perchè vi sono delle restrizioni dell'amministratore di sistema (io)...

[netquik]

ma hai cancellato quelle dll inet*.*???

NON AVRESTI DOVUTO nel caso


da start>> Esegui

fai SFC /SCANNOW

[netquik]

inoltre vedo che hai la versioni di XP normale

sbaglio?

dovresti installare tutti gli aggiornamenti importanti...

o se vuoi sp2...

[OSMIUM_modified]

Allora ho fatto lo scan e dovrei aver recuperato i file necessarii.

Gli aggiornamenti io non li scarico. Scaricai la patch cumulativa per la sicurezza e ad ogni installazione ex novo di Win provvedo a scaricare solo gli aggiornamenti della sicurezza ulteriori. Ma una tantum poi non torno più a vedere se ce ne stanno di nuovi.

I Service Pack non mi garbano. Il primo mi appesantiva il sistema anche se indubbiamente giovava a molte cose in primis al mio modem ADSL, ma da quando sto con Fastweb (me misero, me tapino...) il problema non si pone più.

Tu in generale che mi dici sull'SP2?

[netquik]

bhè tutti sappiamo che può causare problemi...


ma io sono sempre dell'idea che in quanto update del sistema bisogna sempre aggiornare e nel caso risolvere i successivi problemi... che se sei fortunato potresti non avere affatto...

[OSMIUM_modified]

Scusa un'ultima cosa: come faccio a tornare in possesso di tutte le autorizzazioni che mi impediscono di lanciare Outlook Express, etc.?