www.MegaLab.it

[d-roby]

Dunque, innanzi tutto salve a tutti e grazie per il supporto che ho trovato sul forum.
Ho qui un pc di un amico che si è beccato il famigerato problema della pagina inziale di explorer.
Ho fatto una scansione con hijackthis che allego

Logfile of HijackThis v1.99.0
Scan saved at 13.39.32, on 10/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\CTFMON32.EXE
C:\WINDOWS\System32\CSRSSU.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\SpywareBlaster\spywareblaster.exe
E:\spyware\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE
O4 - HKCU\..\Run: [CTFMON32] C:\WINDOWS\System32\CTFMON32.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmi\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe


Credo che la dll incriminata sia" sehlp.dll ". Riesco a cancellarla (ho provato anche a spostarla e rinominarla), ma poi riappare subito su c:\windows
Ho anche provato ad avviare sotto dos e cancellarla ma si riproduce.
Attendo qualche suggerimento anche su altri elementi da eliminare dal file di log .
Grazie in anticipo
Roberto

[crazy.cat]

Oltre a quella dll, dai una bottarella anche a questi due
O4 - HKCU\..\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE
O4 - HKCU\..\Run: [CTFMON32] C:\WINDOWS\System32\CTFMON32.EXE
In home page del sito trovi scangui e cleanboot per farti una scansione sulla presenza virus.
Benvenuto nel forum e facci sapere.

[d-roby]

Oltre a quella dll, dai una bottarella anche a questi due
O4 - HKCU\..\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE
O4 - HKCU\..\Run: [CTFMON32] C:\WINDOWS\System32\CTFMON32.EXE
In home page del sito trovi scangui e cleanboot per farti una scansione sulla presenza virus.
Benvenuto nel forum e facci sapere.

Ehi! che risposta velocissima..grazie!
ora sto andando in ufficio, stasera provo la pulizia e vi faccio sapere..
Grazie
ancora
Roby

[d-roby]

Oltre a quella dll, dai una bottarella anche a questi due
O4 - HKCU\..\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE
O4 - HKCU\..\Run: [CTFMON32] C:\WINDOWS\System32\CTFMON32.EXE
In home page del sito trovi scangui e cleanboot per farti una scansione sulla presenza virus.
Benvenuto nel forum e facci sapere.

Dunque ho cancellato i due files indicati (spostandoli e rinominandoli)
al riavvio però si ripresentano assieme alla dll mannaggiaaaa..
ma questo cacchio di virus è proprio fetente...

[crazy.cat]

Non sempre si può vincere al primo colpo.
Prepara questo cd e disabilità il ripristino della configurazione prima di tutto
http://www.MegaLab.it/2166

[d-roby]

Non sempre si può vincere al primo colpo.
Prepara questo cd e disabilità il ripristino della configurazione prima di tutto
http://www.MegaLab.it/2166

Grazie ancora ,ora eseguo..
qual è la procedura per disabilitare il ripristino configurazione (con XP)

[crazy.cat]

http://www.MegaLab.it/2330

[d-roby]

Alla fine ci sono riuscito!
ho seguito le procedure, poi per eliminare i due files
CSRSSU.EXE
CTFMON32.EXE
ho dovuto fare il boot in dos e poi cancellarli
il problema about blank è scomparso
solo adesso nei preferiti ho una cartella "links", vuota, che non riesco ad eliminare (si ricrea da sola)
Potrebbe essere un problema?
Grazie ancora per tutto il supporto che mi avete dato
Roberto

[crazy.cat]

La cartella Links o Collegamenti mi si ricrea sempre anche a me, forse con qualche modifica al registro sarebbe possibile eliminarla, ma non sò quale.

[d-roby]

La cartella Links o Collegamenti mi si ricrea sempre anche a me, forse con qualche modifica al registro sarebbe possibile eliminarla, ma non sò quale.

Ok ...allora non dovrebbe essere un problema
Grazie Crazy Cat!