about:blank

[Hakuna Matata]

Ciao a tutti, il computer di un amico ha avuto un problema con about:blank, abbiamo già provato a cancellare le voci che puntano a main page ma il virus è tornato, sapete como possiamo toglierlo?
Questo è il response di hijackthis:
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ipvu.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\iphd.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Chicco\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {FF48EAF3-387F-49B3-744B-302CADC8BD81} - C:\WINDOWS\system32\netad.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programmi\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [d3eg32.exe] C:\WINDOWS\d3eg32.exe
O4 - HKLM\..\Run: [ntbc32.exe] C:\WINDOWS\system32\ntbc32.exe
O4 - HKLM\..\Run: [iphd.exe] C:\WINDOWS\iphd.exe
O4 - HKLM\..\Run: [sdknv.exe] C:\WINDOWS\system32\sdknv.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [javafy.exe] C:\WINDOWS\system32\javafy.exe
O4 - HKLM\..\Run: [addji32.exe] C:\WINDOWS\addji32.exe
O4 - HKLM\..\Run: [winxh32.exe] C:\WINDOWS\winxh32.exe
O4 - HKLM\..\Run: [d3fy32.exe] C:\WINDOWS\d3fy32.exe
O4 - HKLM\..\Run: [ntps.exe] C:\WINDOWS\system32\ntps.exe
O4 - HKLM\..\Run: [ntzo.exe] C:\WINDOWS\ntzo.exe
O4 - HKLM\..\Run: [apitb.exe] C:\WINDOWS\apitb.exe
O4 - HKLM\..\Run: [iedn.exe] C:\WINDOWS\iedn.exe
O4 - HKLM\..\Run: [javaoq32.exe] C:\WINDOWS\javaoq32.exe
O4 - HKLM\..\Run: [sdkfx32.exe] C:\WINDOWS\sdkfx32.exe
O4 - HKLM\..\Run: [netfd.exe] C:\WINDOWS\netfd.exe
O4 - HKLM\..\Run: [netci32.exe] C:\WINDOWS\system32\netci32.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by1fd.bay1.hotmail.msn.com/re...s/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02113cc9...dxIE601_it.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109668615302
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\ipvu.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Grazie in anticipo.

[bluepix]

Per rimuovere about:blank usa AdAware Away che trovi a questo indirizzo:
http://www.adwareaway.com/
ciao

[andorra24]

C'e' un tool per rimuovere questo spyware: http://news.swzone.it/swznews-13684.php

Dal tuo log fixa queste:
C:\WINDOWS\ipvu.exe
C:\WINDOWS\iphd.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\tpuzj.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {FF48EAF3-387F-49B3-744B-302CADC8BD81} - C:\WINDOWS\system32\netad.dll
O4 - HKLM\..\Run: [d3eg32.exe] C:\WINDOWS\d3eg32.exe
O4 - HKLM\..\Run: [ntbc32.exe] C:\WINDOWS\system32\ntbc32.exe
O4 - HKLM\..\Run: [iphd.exe] C:\WINDOWS\iphd.exe
O4 - HKLM\..\Run: [sdknv.exe] C:\WINDOWS\system32\sdknv.exe
O4 - HKLM\..\Run: [javafy.exe] C:\WINDOWS\system32\javafy.exe
O4 - HKLM\..\Run: [addji32.exe] C:\WINDOWS\addji32.exe
O4 - HKLM\..\Run: [winxh32.exe] C:\WINDOWS\winxh32.exe
O4 - HKLM\..\Run: [d3fy32.exe] C:\WINDOWS\d3fy32.exe
O4 - HKLM\..\Run: [ntps.exe] C:\WINDOWS\system32\ntps.exe
O4 - HKLM\..\Run: [ntzo.exe] C:\WINDOWS\ntzo.exe
O4 - HKLM\..\Run: [apitb.exe] C:\WINDOWS\apitb.exe
O4 - HKLM\..\Run: [iedn.exe] C:\WINDOWS\iedn.exe
O4 - HKLM\..\Run: [javaoq32.exe] C:\WINDOWS\javaoq32.exe
O4 - HKLM\..\Run: [sdkfx32.exe] C:\WINDOWS\sdkfx32.exe
O4 - HKLM\..\Run: [netfd.exe] C:\WINDOWS\netfd.exe
O4 - HKLM\..\Run: [netci32.exe] C:\WINDOWS\system32\netci32.exe
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\ipvu.exe

[Hakuna Matata]

Grazie a tutti e due, più tardi provo a fare quello che mi avete detto e se ho altri problemi vi farò sapere.
Grazie

[andorra24]

Quote:

Originariamente inviato da Hakuna Matata

Grazie a tutti e due, più tardi provo a fare quello che mi avete detto e se ho altri problemi vi farò sapere.
Grazie

Bene, facci sapere.

[ciucciarello]

Un momento, un momento solo, sorry, fatemi capire bene questa cosa
Mi spiegate meglio cos'è about:blank?
Se io apro il mio browser e la pagina iniziale è about:blank ho uno spyware? Ho visto 'sta cosa oggi in ufficio sul pc di un mio collega. Apre il browser, pagina bianca, la barra di navigazione reca la suddetta scritta e................non naviga. Tutte le connessioni sono bloccate, a 56k e adsl.
Spiegatemi se stiamo parlando della stessa cosa

[andorra24]

Quote:

Originariamente inviato da ciucciarello

Un momento, un momento solo, sorry, fatemi capire bene questa cosa
Mi spiegate meglio cos'è about:blank?
Se io apro il mio browser e la pagina iniziale è about:blank ho uno spyware? Ho visto 'sta cosa oggi in ufficio sul pc di un mio collega. Apre il browser, pagina bianca, la barra di navigazione reca la suddetta scritta e................non naviga. Tutte le connessioni sono bloccate, a 56k e adsl.
Spiegatemi se stiamo parlando della stessa cosa

Bisogna fare un distinguo tra about:blank cioe' la pagina bianca che si può impostare al proprio browser e il malware denominato
"about:blank". E’ un Trojan startpage, la cui funzione è quella di modificare le principali configurazioni di Internet Explorer, al fine di far puntare la pagina iniziale ad una determinato sito web come about:Blank e Search For...
Quando si viene infettati da about:blank si installa una libreria.dll tra i file temporanei in: C:\WINDOWS\TEMP\SE.DLL ,DllInstall

Quando si esegue l’archivio SE.DLL , questo crea un archivio chiamato sp.html e una libreria.DLL con nome aleatorio nella cartella di sistema di Windows:
C:\windows\system32\[nome aleatorio] .DLL

Esistono molti programmi per eliminare questo malware come ad esempio questo: http://news.swzone.it/swznews-13684.php

[Hakuna Matata]

Grazie a tutti.
Perfettamente risolto
Ciao

[andorra24]

Quote:

Originariamente inviato da Hakuna Matata

Grazie a tutti.
Perfettamente risolto
Ciao

ottimo