MegaLab.it

dunque il problema è questo:
la pagina iniziale che avevo impostata come vuota è stata sostituita da un'altra pagina da cui mi partono dei pop up che mi avvertono delle presenza di spyware. con ad-aware e spybot li tolgo, sono circa una dozzina, ma quando riapro explorer mi vengono reinstallati, al 99% dalla pagina iniziale che non riesco a sostituire. un altro programma, spykiller, mi trova una ventina di spyware in più, ma vuole 40 euro per togliermeli...
avete una soluzione per sostituire la pagina?
può servire riportare il sistema (xp home)un po' indietro, a prima che succedesse tutto? se sì, come si fa?
grazie comunque.

rettifico, i pop up che avvertono degli spyware (peraltro in modo decisamente fastidioso) a volte compaiono anche nel collegarmi ad un sito senza passare per la pagina iniziale modificata.

Scaricati CWShredder e fai la scansione e pulizia http://209.133.47.12/~merijn/files/CWShredder.exe

scaricati HijackThis fai la scansione (non cancellare niente) salvi il log della scansione in un file di testo e poi ne posti il contenuto qui
http://209.133.47.12/~merijn/files/HijackThis.exe

solo adesso (avevo già fatto una scansione completa) norton mi trova un trojan in windowssystem32jfcg.dll, che è un trojan startpage, ma non riesce a rimuoverlo (accesso negato al file. che faccio?

questo è il log di hijack

Logfile of HijackThis v1.97.7
Scan saved at 11.27.52, on 28/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINDOWShtpatch.exe
C:ProgrammiATI TechnologiesATI Control Panelatiptaxx.exe
C:ProgrammiSynapticsSynTPSynTPLpr.exe
C:ProgrammiSynapticsSynTPSynTPEnh.exe
C:WINDOWSAGRSMMSG.exe
C:ProgrammiLaunch ManagerLaunchAp.exe
C:ProgrammiLaunch ManagerPowerKey.exe
C:ProgrammiLaunch ManagerHotkeyApp.exe
C:ProgrammiLaunch ManagerCtrlVol.exe
C:ProgrammiLaunch ManagerWbutton.exe
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:WINDOWSSystem32P2P NetworkingP2P Networking.exe
C:Program FilesAltnetPoints ManagerPoints Manager.exe
C:ProgrammiQuickTimeqttask.exe
C:ProgrammiFile comuniRealUpdate_OB ealsched.exe
C:ProgrammiD-Toolsdaemon.exe
C:WINDOWSSystem32ctfmon.exe
C:ProgrammiMessengermsmsgs.exe
C:ProgrammiSpyKillerspykiller.exe
C:ProgrammiFile comuniMicrosoft SharedWorks Sharedwkcalrem.exe
C:PROGRA~2AltnetDOWNLO~1asm.exe
C:WINDOWSSystem32Ati2evxx.exe
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:ProgrammiInternet Exploreriexplore.exe
C:ProgrammiInternet Exploreriexplore.exe
C:Documents and SettingsGiuseppe MarinoDesktopHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [LaunchApp] LaunApp
O4 - HKLM..Run: [HTpatch] C:WINDOWShtpatch.exe
O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM..Run: [ATIPTA] C:ProgrammiATI TechnologiesATI Control Panelatiptaxx.exe
O4 - HKLM..Run: [SynTPLpr] C:ProgrammiSynapticsSynTPSynTPLpr.exe
O4 - HKLM..Run: [SynTPEnh] C:ProgrammiSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM..Run: [LaunchAp] C:ProgrammiLaunch ManagerLaunchAp.exe
O4 - HKLM..Run: [PowerKey] "C:ProgrammiLaunch ManagerPowerKey.exe"
O4 - HKLM..Run: [HotkeyApp] C:ProgrammiLaunch ManagerHotkeyApp.exe
O4 - HKLM..Run: [CtrlVol] C:ProgrammiLaunch ManagerCtrlVol.exe
O4 - HKLM..Run: [Wbutton] "C:ProgrammiLaunch ManagerWbutton.exe"
O4 - HKLM..Run: [WorksFUD] c:ProgrammiMicrosoft Workswkfud.exe
O4 - HKLM..Run: [Microsoft Works Portfolio] c:ProgrammiMicrosoft WorksWksSb.exe /AllUsers
O4 - HKLM..Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM..Run: [Windows Automation] mslaugh.exe
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:ProgrammiFile comuniSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [P2P Networking] C:WINDOWSSystem32P2P NetworkingP2P Networking.exe /AUTOSTART
O4 - HKLM..Run: [AltnetPointsManager] C:Program FilesAltnetPoints ManagerPoints Manager.exe -s
O4 - HKLM..Run: [QuickTime Task] "C:ProgrammiQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [TkBellExe] "C:ProgrammiFile comuniRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [DAEMON Tools-1033] "C:ProgrammiD-Toolsdaemon.exe" -lang 1033
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:ProgrammiMessengermsmsgs.exe" /background
O4 - HKCU..Run: [ChkMail] °<‹
O4 - HKCU..Run: [SpyKiller] C:ProgrammiSpyKillerspykiller.exe /startup
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOfficeOSA9.EXE
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
O17 - HKLMSystemCCSServicesTcpip..{6FA496EB-B438-4783-A51E-74D49F822724}: NameServer = 80.21.163.20 151.99.125.1

Un altro ospite è saltato fuori, segui le istruzioni nel sito
O4 - HKLM..Run: [Windows Automation] mslaugh.exe
http://news.swzone.it/swznews-8037.php

Aggiorna norton e fai la scansione dalla modalità provvisoria
Prova a seguire le istruzioni di questo sito in italiano
http://www.ilsoftware.it/av.asp?ID=128
qui ci sono in inglese a seconda della variante che hai
http://securityresponse.symantec.com/av ... age.c.html
http://securityresponse.symantec.com/av ... age.e.html

Se vuoi farti anche una scansione online (per non avere altre sorprese)
http://www.pandasoftware.com/activescan ... ncipal.htm

innanzitutto grazie mille per la disponibilità.
il trojan credo d'averlo eliminato e la pagina iniziale non dà più problemi.
per l'altro virus che mi hai evidenziato, però, non ho ben capito cosa devo fare. ho scaricato la patch dal sito da te indicatomi. ho fatto la scansione on line che mi ha eliminato un'altra cosa (a proposito, ma panda mette a disposizione un antivirus on line gratis?), ho fatto una scansione del sistema con norton e mi dice che tutto va bene, ma dal log di hijack l'"ospite" risulta ancora presente.
inoltre ad aware mi identifica una cosa legata ad hijack, questo il suo log
Analisi approfondita registro avviata
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Possibile attacco incontrollato al browser : SoftwareMicrosoftInternet ExplorerMainStart Pageabout:blank

Possible Browser Hijack attempt Oggetto riconosciuto!
Tipo : Dato di registro
Dato : "about:blank"
Rootkey : HKEY_CURRENT_USER
Oggetto : SoftwareMicrosoftInternet ExplorerMain
Valore : Start Page
Dato : "about:blank"

devo fregarmene?

Se stiamo parlando che non hai risolto ancora con il primo virus il Lovsan devi scaricarti il tools di rimozione Symantec W32.Blaster.Worm Removal Tool a-b-c 139 Kb
e lanciarlo dalla modalità provvisoria lascialo fare la scansione e poi quando hai riavviato vai a questa pagina
http://news.swzone.it/swznews-7839.php e ti prendi la patch per il tuo sistema operativo e la installi e riavvii il pc (anzi la patch è meglio che la scarichi subito prima di ricollegarti a internet e la installi dopo la pulizia con il tools di rimozione).
e poi ricontrolli con hijackthis se è ancora presente quel files.
quel avviso va bene così lui interpreta la pagina bianca come un pericolo,imposta tu una pagina iniziale e ti dovrebbe sparire quel messaggio.

tutto a posto, ancora grazie, sei stato gentilissimo.