Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

hijacker - about:blank - che fastidio aiuto!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

hijacker - about:blank - che fastidio aiuto!

Messaggioda Maxjol » gio ago 05, 2004 1:15 am

salve a tutti.
inanzitutto vogliate perdonare la mia richiesta d'aiuto. Vi assicuro che con occhi sorretti da stuzzicadenti ho tentato di leggere i post riguardanti i vari hijacker ma non ho trovato un aiuto per il mio problema.
Provo a incollare il logfile generato dalla scansione con il software consigliato. Per me è ovviamente incomprensibile e considerate che la prima volta ho cancellato tutto!, compresi i file di backup... risparmiatemi il voto sulla mia furbizia, conosco il risultato.
Vi ringrazio anticipatamente per l'attenzione e l'aiuto:


Logfile of HijackThis v1.97.7
Scan saved at 2.10.08, on 05/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammiFile comuniSymantec SharedccSetMgr.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32crypserv.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:ProgrammiMicrosoft HardwareKeyboard ype32.exe
C:ProgrammiQuickTimeqttask.exe
C:WINDOWSSystem32ctfmon.exe
C:ProgrammiMessengermsmsgs.exe
C:ProgrammiAdobeAcrobat 5.0DistillrAcroTray.exe
C:ProgrammiInterVideoCommonBinWinCinemaMgr.exe
C:PROGRA~1Yahoo!MESSEN~1ymsgr_tray.exe
C:ProgrammiWinZipWZQKPICK.EXE
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:WINDOWSSystem32wuauclt.exe
C:ProgrammiInternet Exploreriexplore.exe
C:Documents and SettingsmaxDocumentiDalWebSoftHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 5.0AcrobatActiveXAcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:ProgrammiSpybot - Search & DestroySDHelper.dll
O2 - BHO: (no name) - {AE7C46F5-A27A-4351-8034-BA265E34F503} - C:WINDOWSSystem32pommffb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [IntelliType] "C:ProgrammiMicrosoft HardwareKeyboard ype32.exe"
O4 - HKLM..Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM..Run: [NeroCheck] C:WINDOWSSystem32NeroCheck.exe
O4 - HKLM..Run: [SiPixWeb2CamTaskMan] C:WINDOWSTWAIN_32SiPixWeb2CamTask.exe
O4 - HKLM..Run: [QuickTime Task] "C:ProgrammiQuickTimeqttask.exe" -atboottime
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:ProgrammiMessengermsmsgs.exe" /background
O4 - HKCU..Run: [Yahoo! Pager] C:PROGRA~1Yahoo!MESSEN~1ypager.exe -quiet
O4 - Global Startup: Acrobat Assistant.lnk = C:ProgrammiAdobeAcrobat 5.0DistillrAcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:ProgrammiFile comuniAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:ProgrammiInterVideoCommonBinWinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOffice10OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:ProgrammiWinZipWZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~3Office10EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... wmavax.CAB
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLMSystemCCSServicesTcpip..{3D48D3D7-C667-42E6-9432-37D672D1F755}: NameServer = 62.211.69.150 212.48.4.15
Avatar utente
Maxjol
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: gio ago 05, 2004 1:03 am
Località: Piemonte

Messaggioda Erik » gio ago 05, 2004 2:59 am

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
Avatar utente
Erik
Bronze Member
Bronze Member
 
Messaggi: 707
Iscritto il: sab mar 29, 2003 4:42 pm
Località: Marche

Messaggioda crazy.cat » gio ago 05, 2004 7:23 am

Oltre alle voci che ti ha indicato Erik che sono da eliminare,
fai una scansione con il programma che viene spiegato qui
http://www.zanezane.net/articoli.asp?id=427

questa è dubbia,non trovo notizie
O2 - BHO: (no name) - {AE7C46F5-A27A-4351-8034-BA265E34F503} - C:WINDOWSSystem32pommffb.dll

Queste se vuoi le puoi eliminare perché inutili
O4 - HKLM..Run: [NeroCheck] C:WINDOWSSystem32NeroCheck.exe
O4 - HKLM..Run: [QuickTime Task] "C:ProgrammiQuickTimeqttask.exe" -atboottime
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOffice10OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:ProgrammiWinZipWZQKPICK.EXE

Alla fine riavvia il pc,riprova a navigare e fai sapere come và.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Messaggioda Maxjol » gio ago 05, 2004 5:15 pm

erik e crazy.cat vi ringrazio molto per l'attenzione e le tempestive risposte.

Ho fatto tutto ciò che mi avete consigliato. CW shredder mi ha rimosso CWS.search.

Riavviato il PC. Mi sono riconnesso ma ricompare il motore search off e nelle proprietà della pagina iniziale c'è sempre l'about:blank.

Questo è il nuovo log generato e come mi era già successo gli R1 etc.. si riformano, sembra che non vengano cancellati... attendo con calma e un po' di depressione le vostre preziose considerazioni. Saluti e grazie ancora.


Logfile of HijackThis v1.97.7
Scan saved at 18.09.03, on 05/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammiFile comuniSymantec SharedccSetMgr.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32crypserv.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:ProgrammiMicrosoft HardwareKeyboard ype32.exe
C:WINDOWSTWAIN_32SiPixWeb2CamTask.exe
C:WINDOWSSystem32ctfmon.exe
C:ProgrammiMessengermsmsgs.exe
C:ProgrammiAdobeAcrobat 5.0DistillrAcroTray.exe
C:ProgrammiInterVideoCommonBinWinCinemaMgr.exe
C:PROGRA~1Yahoo!MESSEN~1ymsgr_tray.exe
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:ProgrammiInternet Exploreriexplore.exe
C:Documents and SettingsmaxDocumentiDalWebSoftHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = file://C:DOCUME~1maxIMPOST~1Tempsp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 5.0AcrobatActiveXAcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:ProgrammiSpybot - Search & DestroySDHelper.dll
O2 - BHO: (no name) - {A80188DF-43F8-484F-BDDF-2F0FE3F33661} - C:WINDOWSSystem32pommffb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [IntelliType] "C:ProgrammiMicrosoft HardwareKeyboard ype32.exe"
O4 - HKLM..Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM..Run: [SiPixWeb2CamTaskMan] C:WINDOWSTWAIN_32SiPixWeb2CamTask.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:ProgrammiMessengermsmsgs.exe" /background
O4 - HKCU..Run: [Yahoo! Pager] C:PROGRA~1Yahoo!MESSEN~1ypager.exe -quiet
O4 - Global Startup: Acrobat Assistant.lnk = C:ProgrammiAdobeAcrobat 5.0DistillrAcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:ProgrammiFile comuniAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:ProgrammiInterVideoCommonBinWinCinemaMgr.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~3Office10EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... wmavax.CAB
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLMSystemCCSServicesTcpip..{3D48D3D7-C667-42E6-9432-37D672D1F755}: NameServer = 62.211.69.150 212.48.4.15
Avatar utente
Maxjol
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: gio ago 05, 2004 1:03 am
Località: Piemonte

Messaggioda crazy.cat » gio ago 05, 2004 5:56 pm

O paura che hai beccato la versione più rognosa di quel tipo di spyware,è già capitato ad un paio di persone qui nel forum, uno ha formattato e l'altro con molta fatica è riuscito a pulire.
Prova a seguire per bene le istruzioni che trovi qui ed utilizzare i due tools che consigliano nell'ordine
http://www.ilsoftware.it/av.asp?ID=133
mi raccomando sopratutto la cancellazione dei file temp e di disabilitare il ripristino della configurazione.
Speriamo bene.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda crazy.cat » ven ago 06, 2004 7:12 am

Prima di fare la pulizia scaricati questo programma Spywareblaster
http://www.javacoolsoftware.com/spywareblaster.html
lo installi e lo aggiorni subito,poi applichi tutte le protezioni (enable all protection).
Fai la pulizia con i tools che ti avevo suggerito prima, e poi riprovi a collegarti e speriamo bene.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Maxjol » ven ago 06, 2004 9:47 am

Ciao crazy. Hai proprio ragione è un malware rognosissimo. Ho provato a seguire tutte le indicazioni suggerite sul link che mi hai segnalato ma niente...non se ne va!!!.

Leggo adesso il tuo ulteriore suggerimento di precedere la pulizia con Spywareblaster. Provo a fare anche questo perché non voglio arrendermi. Mi girerebbero davvero più veloci di adesso le nocciole dovessi formattare per un hijacker!! (non tanto per il processo di formattazione quanto per il fatto che questa macchina l'ho messa in sesto da poco e subito mi becco stà mazzata..naaaaaaaa!!!)

Sono comunque pessimista e mi sa che alzerò la media degli irrisolti!
Tra l'altro devo dire che per ora l'hijacker non mi ha mai reindirizzato da nessuna parte: si apre solo all'avvio di explorer. Ovviamente cambiando le proprietà della pagina iniziale non riappare fino alla prossima connessione a meno che io non vada a controllare un account di posta elettronica che ho su yahoo: appena inserisco user id e password ed entro, eccolo lì..."search for..." e un sacco di pop up del tipo "il tuo pc è colpito da syware...procedi all'acquisto del nostro software a soli 39 $!!".

Scusa la digressione, oggi farò l'ultimo tentativo. Mi piacerebbe sapere quale tipo di vantaggio ha chi ha ideato tale malware...
Grazie ancora per non avermi abbandonato... faccio sapere.
Avatar utente
Maxjol
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: gio ago 05, 2004 1:03 am
Località: Piemonte

Messaggioda crazy.cat » ven ago 06, 2004 10:14 am

Sotto in inglese c'è la descrizione di quello che dovrebbe essere il tuo "amico".Questa dll pommffb.dll potrebbe essere quella che viene creata dal trojan virus che gira nel tuo pc e che più sotto è chiamata gfmnaaa.dll
O2 - BHO: (no name) - {A80188DF-43F8-484F-BDDF-2F0FE3F33661} - C:WINDOWSSystem32pommffb.dll
quindi prova ad eliminare anche questa voce,controlla se hai ed elimina il files c:filter.log. Elimina, eventualmente dalla modalità provvisoria, la dll pommffb.dll. Controlla nel registro se ci sono ancora delle voci rigurado al file sp.html e cancellale tu.
I vantaggi che hanno a creare queste schifezze,sono che chi non vuole formattare (o non può) va a comperarsi il loro sw per eliminare le cose con cui ti hanno infettato.


Symptoms: IE pages changed to about:blank (which is changed to a search portal linking to searchx.cc) and a search page inside a DLL on the system, hijack returning on system reboot
Manual removal difficulty: Involves lots of Registry editing
Identifying lines in HijackThis log:
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSSystem32gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSSystem32gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res:// C:WINDOWSSystem32gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
O2 - BHO: (no name) - {48918FB4-1FD5-4DF3-87F0- 12C36350039D} - C:WINDOWSSystem32gfmnaaa.dll

This variant is not very hard to spot, but slightly harder to troubleshoot since its symptoms look a lot like those of CWS.Xmlmimefilter. It drops a randomly named DLL in the system folder and sets the IE homepage/search pages to it. A BHO is also added pointing to the same DLL. The about:blank page is modified by creating two new protocol filters for text/html and text/plain which allows the DLL to control most of the content flowing through the IE browser as web pages. The trojan keeps a record of all actions in a log file at c:filter.log. Removing the two filters in the Registry, deleting the BHO, the DLL and the logfile and restoring the IE pages fixes this hijack.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Erik » ven ago 06, 2004 2:12 pm

Devi cancellare quelle voci che ti ho indicato , poi prima di riavviare, cambia la homepage in es. www.google.it e poi riavvia. Se non cambi la home page dopo le modifiche rimane sempre quella.
Avatar utente
Erik
Bronze Member
Bronze Member
 
Messaggi: 707
Iscritto il: sab mar 29, 2003 4:42 pm
Località: Marche

Messaggioda Maxjol » ven ago 06, 2004 4:39 pm

cari amici

ho fatto correttamente tutte le cose da voi consigliate ma proprio nulla, l'hijacker riproduceva le stesse chiavi ogni volta.

nel pieno della disperazione, ho ragionato sull'ultimo post di crazy.cat.

Tu mi segnalavi la dll corretta su cui già avevi dubbi e che poi hai confermato con l'articolo da te postato in inglese.
Eliminarla era impossibile in quanto continuava ad essere segnalata come "file in esecuzione".

Io non so se ho fatto bene, di certo non è corretto quello che sto per indicarvi come presunta soluzione al problema.
Insomma, son riuscito a cambiare il nome alla dll.
L'ho cercata con un semplice "trova file" in win.
Tasto F2 e l'ho rinominata "bas***do.dll".

A questo punto ho aperto il browser e pur tornando l'about:blank, si visualizzava una pagina bianca e non più il motore di ricerca incriminato.
Ho così fatto un'ennesima scansione con Hijackthis e ho visto che il log mi rielenca i soliti R1 - R0 e l'incriminata
O2 - BHO: (no name) - {AE7C46F5-A27A-4351-8034-BA265E34F503} - C:WINDOWSSystem32pommffb.dll

Le ho eliminate col fix.

Poi ho ricercato la dll da me rinominata "bas***do.dll".
Ho premuto sui tasti shift+canc per provare ad eliminare definitivamente la dll.

Fatto, eliminata.

Ho riavviato il sistema cambiando la pagina iniziale in www.google.it (come già facevo ogni volta, erik, grazie comunque per il consiglio!).

Ho aperto il browser ed ecco google. Ho provato a navigare per un po'. La pagina iniziale per ora rimane google. Anche entrando nell'account yahoo (tutte le volte mi reindirizzava al motore search), nessun problema.

Ho riscansionato con Hijackthis, riavviato più volte, riconnesso più volte.
Sembra che "bas***do" se ne sia andato.

Il log file ora mi dice questo e pare che tutto sia a posto.
Sono stato un po' spartano, forse non ho risolto nulla, forse l'incubo riapparirà... forse ho rotto tutto? Sta di fatto che funziona, son contento e nel caso tutto sia a posto per un po', vi comunicherò il successo ottenuto ovviamente grazie ai preziosisissimi vostri consigli. Un abbraccio.





Logfile of HijackThis v1.97.7
Scan saved at 17.29.25, on 06/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammiFile comuniSymantec SharedccSetMgr.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32crypserv.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:ProgrammiMicrosoft HardwareKeyboard ype32.exe
C:WINDOWSTWAIN_32SiPixWeb2CamTask.exe
C:WINDOWSSystem32ctfmon.exe
C:ProgrammiMessengermsmsgs.exe
C:ProgrammiAdobeAcrobat 5.0DistillrAcroTray.exe
C:PROGRA~1Yahoo!MESSEN~1ymsgr_tray.exe
C:ProgrammiInterVideoCommonBinWinCinemaMgr.exe
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:ProgrammiInternet Exploreriexplore.exe
C:Documents and SettingsmaxDocumentiDalWebSoftHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.it/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 5.0AcrobatActiveXAcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:ProgrammiSpybot - Search & DestroySDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [IntelliType] "C:ProgrammiMicrosoft HardwareKeyboard ype32.exe"
O4 - HKLM..Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM..Run: [SiPixWeb2CamTaskMan] C:WINDOWSTWAIN_32SiPixWeb2CamTask.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:ProgrammiMessengermsmsgs.exe" /background
O4 - HKCU..Run: [Yahoo! Pager] C:PROGRA~1Yahoo!MESSEN~1ypager.exe -quiet
O4 - Global Startup: Acrobat Assistant.lnk = C:ProgrammiAdobeAcrobat 5.0DistillrAcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:ProgrammiFile comuniAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:ProgrammiInterVideoCommonBinWinCinemaMgr.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~3Office10EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... wmavax.CAB
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Damage Cleanup Server Control) - http://213.158.72.33/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLMSystemCCSServicesTcpip..{3D48D3D7-C667-42E6-9432-37D672D1F755}: NameServer = 62.211.69.150 212.48.4.15
Avatar utente
Maxjol
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: gio ago 05, 2004 1:03 am
Località: Piemonte

Messaggioda crazy.cat » ven ago 06, 2004 4:54 pm

x Maxjol
Hai fatto bene e mi hai chiarito anche a me come provare ad affrontare quel "simpatico" ospite.
La Dll sei riuscito a rinominarla in modalità provvisoria o normale?
Ricordati comunque di tenere aggiornato e installato spywareblaster in modo da bloccare il ritorno di spyware vari.
Se hai ancora bisogno siamo qui.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Maxjol » sab ago 07, 2004 12:45 am

La .dll l'ho rinominata in modalità normale ma prima di cancellarla ho scansionato con hijakthis ed eliminato con il fix tutte le chiavi R1 - R0 - più la O2 ...WINDOWSSystem32pommffb.dll, perché in ogni caso ricomparivano. Ti confermo che il problema è definitivamente scomparso.

Sono contento di avervi conosciuto attraverso questo forum e devo dire che sono anche lusingato per "aver chiarito" a te delle cose dopo che ne hai chiarite a me di infinite. Aggiornerò lo spyware, parlerò in giro di Zane e siete già tra i miei pochissimi "preferiti"!
Se per caso capita qualcuno con lo stesso problema ti chiedo se hai voglia di segnalarmelo per osservare e magari partecipare alla discussione...puoi immaginare la fatica di questi giorni e non vorrei che capitasse a qualcuno che rassegnato formatti l'hd.

saluti.
Avatar utente
Maxjol
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: gio ago 05, 2004 1:03 am
Località: Piemonte

Messaggioda mark » gio ago 12, 2004 9:22 am

Mark nuovissimo iscritto ,avevo lo stesso problema grazie a tutti voi della discussione l'ho risolto in pochi minuti, quando erano settimane che mi dava fastidio, grazie ancora
Mark
Avatar utente
mark
Neo Iscritto
Neo Iscritto
 
Messaggi: 1
Iscritto il: gio ago 12, 2004 8:52 am
Località: Piemonte

Messaggioda cosmo » gio ago 12, 2004 9:24 am

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da mark</i>
<br />Mark nuovissimo iscritto ,avevo lo stesso problema grazie a tutti voi della discussione l'ho risolto in pochi minuti, quando erano settimane che mi dava fastidio, grazie ancora
Mark
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
Benvenuto mark [applauso]

[^]
Avatar utente
cosmo
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1778
Iscritto il: ven ott 24, 2003 1:29 pm
Località: Sicilia

Messaggioda crazy.cat » gio ago 12, 2004 9:59 am

Bravo Mark, rimani con noi comunque.
E benvenuto nel forum
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Maxjol » mer ago 18, 2004 12:00 am

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da mark</i>
<br />Mark nuovissimo iscritto ,avevo lo stesso problema grazie a tutti voi della discussione l'ho risolto in pochi minuti, quando erano settimane che mi dava fastidio, grazie ancora
Mark
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

uuh ma questo è meraviglioso! [dance]
Avatar utente
Maxjol
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: gio ago 05, 2004 1:03 am
Località: Piemonte

Messaggioda Pablo_sup » mar set 14, 2004 7:57 pm

Salve ragazzi..mi sono appena iscritto poichè ho visto la vostra grande capacità di aiutare le persone in difficoltà con il pc...io penso di aver preso lo stesso spyware di cui sopra,quello dell'aboutblank..il problema è che però mi sembra di capire utilizzando HiJackthis che di volta in volta questo infamone cambia nome e io impazzisco!!!Ho provato anche a rinominarlo come dicevate e a eliminarlo..ma niente dopo 3-4 riavvii del browser mi ricoompare sempre quella pagina di ricerca!!! HELP!![cry+]
Avatar utente
Pablo_sup
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: mar set 14, 2004 7:53 pm
Località: Toscana

Messaggioda Pablo_sup » mar set 14, 2004 8:10 pm

Visto che tutti fanno così senza perder tempo ti invio il log e ti ringrazio anticipatamente..
Logfile of HijackThis v1.98.2
Scan saved at 21:09:11, on 14/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32driversCDAC11BA.EXE
C:WINDOWSsystem32HPConfig.exe
C:ProgrammiHPQNotebook UtilitiesHPWirelessMgr.exe
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:ProgrammiNorton AntiVirusAdvToolsNPROTECT.EXE
C:WINDOWSsystem32mfchq32.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32MsPMSPSv.exe
C:ProgrammiATI TechnologiesATI Control Panelatiptaxx.exe
C:PROGRA~1HPQONE-TO~1OneTouch.EXE
C:ProgrammiSynapticsSynTPSynTPLpr.exe
C:ProgrammiSynapticsSynTPSynTPEnh.exe
C:PROGRA~1DAPDAP.EXE
C:ProgrammiFile comuniRealUpdate_OB ealsched.exe
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:ProgrammiD-Toolsdaemon.exe
C:ProgrammiWinampwinampa.exe
C:WINDOWSsdksm.exe
C:ProgrammiWinampwinamp.exe
C:ProgrammiMSN Messengermsnmsgr.exe
C:ProgrammiInternet ExplorerIEXPLORE.EXE
C:ProgrammiMessengermsmsgs.exe
C:ProgrammiWinRARWinRAR.exe
C:DOCUME~1pIMPOST~1TempRar$EX00.583HijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWS bcan.dll/sp.html#29126
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWS bcan.dll/sp.html#29126
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWS bcan.dll/sp.html#29126
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWS bcan.dll/sp.html#29126
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWS bcan.dll/sp.html#29126
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWS bcan.dll/sp.html#29126
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:WINDOWSSystem32Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O2 - BHO: (no name) - {EBDA7276-BD8D-F0F0-E112-95AF831A4A73} - C:WINDOWSmfcnc32.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM..Run: [AtiPTA] C:ProgrammiATI TechnologiesATI Control Panelatiptaxx.exe
O4 - HKLM..Run: [PreloadApp] c:hpdriversprintersphotosmarthphprld.exe c:hpdriversprintersphotosmartsetup.exe -d
O4 - HKLM..Run: [TV Now] C:ProgrammiHPQNotebook UtilitiesTvNow.exe /RK
O4 - HKLM..Run: [Display Settings] C:ProgrammiHPQNotebook Utilitieshptasks.exe /s
O4 - HKLM..Run: [QT4HPOT] C:PROGRA~1HPQONE-TO~1OneTouch.EXE
O4 - HKLM..Run: [SynTPLpr] C:ProgrammiSynapticsSynTPSynTPLpr.exe
O4 - HKLM..Run: [SynTPEnh] C:ProgrammiSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [DownloadAccelerator] C:PROGRA~1DAPDAP.EXE /STARTUP
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [TkBellExe] "C:ProgrammiFile comuniRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:ProgrammiFile comuniSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [Advanced Tools Check] C:PROGRA~1NORTON~1AdvToolsADVCHK.EXE
O4 - HKLM..Run: [DAEMON Tools-1033] "C:ProgrammiD-Toolsdaemon.exe" -lang 1033
O4 - HKLM..Run: [WinampAgent] C:ProgrammiWinampwinampa.exe
O4 - HKLM..Run: [sdksm.exe] C:WINDOWSsdksm.exe
O4 - HKCU..Run: [Spyware Begone] c:freescanfreescan.exe -FastScan
O8 - Extra context menu item: &Download with &DAP - C:PROGRA~1DAPdapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:PROGRA~1DAPdapextie2.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammiMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammiMessengerMSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b28578.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 5080217605
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b27571.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Ba ... b28177.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... owdown.cab
O17 - HKLMSystemCCSServicesTcpip..{329DCD75-840E-44D0-9E4D-2DD07E069085}: NameServer = 212.216.112.112,212.216.172.62

[prego]
Avatar utente
Pablo_sup
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: mar set 14, 2004 7:53 pm
Località: Toscana

Messaggioda cosmo » mar set 14, 2004 8:18 pm

Benvenuto Pablo_sup [applauso]
Hai provato a fare una scansione con stinger e CwShredder
probabilmente le voci da togliere sono queste
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWS bcan.dll/sp.html#29126
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWS bcan.dll/sp.html#29126
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWS bcan.dll/sp.html#29126
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWS bcan.dll/sp.html#29126
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWS bcan.dll/sp.html#29126
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWS bcan.dll/sp.html#29126


[!!!]Prima di togliere attendi Crazy.cat[!!!] [^]
Avatar utente
cosmo
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1778
Iscritto il: ven ott 24, 2003 1:29 pm
Località: Sicilia

Messaggioda Pablo_sup » mar set 14, 2004 9:20 pm

ok Cosmo grazie aspetterò comunque crazy.cat come tu mi consigli!!E grazie!!
Avatar utente
Pablo_sup
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: mar set 14, 2004 7:53 pm
Località: Toscana

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Bing [Bot] e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising