PDA

Visualizza versione completa : Chiedo Disperatamente Aiuto...win95 + start page hijack


Nathan Perry
23-09-2002, 21.47.08
Salve a tutti,
chiedo aiuto a voi in merito ad una brutta situazione a cui sono incappato in questi giorni. Per lavoro mi sono dovuto occupare di un intervento presso un cliente che possiede un pc vecchiotto ( Compaq Pentium 50, 32 Mb di RAM, Windows 95 ), per farla breve il problema riuslta essere un "browser hijacking" (dirottamento del browser )...in pratica viene modificata la start page di explorer con un sito italiano "www.tuttoesubito.com" inoltre dopo un po' di minuti di connessione si apre un popup erotico sul desktop (sprovvisto dei bottoni di chiusura) che fa riferimento ad un file chiamato "sexy.mht" piazzato in windows\system . Inutile dire che cambiando la start page dalle opzioni di IE e cancellando il file "sexy.mht" il problema si ripete dopo un certo lasso di tempo.
Di solito nei casi di "hijacking" viene lanciato un eseguibile o comunque un file di registro ad ogni avvio...quindi disabilitando la voce dal registro di configurazione o da msconfig (che per altro non c'è sul 95) si dovrebbe risolvere il problema...in questo caso però era diverso. Ho controllato i programmi lanciati all'avvio e non si trova niente di anomalo, ho fatto pulizie del registro varie, fatto ricerche all'interno del registro (ho cercato "sexy.mht", "g-129" il nome della finstra explorer contenente il popup, scansione con antivirus aggiornato, scansione con adaware aggiornato ma senza risultati...ho provato anche a disinstallare explorer con ieradicator, disinstallato i protocolli e accesso remoto...per rimuovere anche il winsock.dll, reinstallato tutto con explorer 5.5 sp1 + ultimi hotfix per la sicurezza...ma il problema persiste. Il file "sexy.mht" si rigenera tutte le volte che appare il popup ( o meglio il popup E' il file sexy.mht ..si puo' notare dalla barra degli indirizzi) e la pagina iniziale di explorer viene impostata sul sito tuttoesubito.com . Esaminando la cartella dei file temporanei internet ho notato che vengono scaricati diversi file .ini , un file chiamato hosts.txt e il file "sexy.mht" tutti da un sito ftp che mi pare si chiami 1740.org o qualcosa di simile...cancellando questi file il problema continua a rimanere...ho visistato un sacco di siti che spiegano come rimediare ai browser hijacks oltre all'ottimo www.spywareinfo.com ma i metodi che descrivono si rifanno ai casi più "tradizionali"...infatti non viene mensionata da nessuna parte l'estensione .mht attraverso la quale viene visualizzato il popup. Sembra quasi una falla nella sicurezza di IE...e comunque rimane sempre un problema fastidiosissimo...sono stato ore a cercare di cavarci qualcosa...e vi assicuro che è deprimente lavorare ore ed ore su un pc lentissimo con continui riavvi e alla fine ritrovarsi punto e a capo. Preferirei evitare di formattare essendo un pc con diversi programmi e molti dati. Chiedo quindi aiuto a chiunque...sperando di aver fatto la richiesta nel posto giusto ringrazio anticipatamente chi leggerà e risponderà a questo lungo post. Grazie

robloz
24-09-2002, 08.42.21
La butto lì...

dando per scontato che la scansione sia stata effettuata in maniera efficace, è possibile che venga alterato il file hosts per far puntare la home-page memorizzata dal browser verso un indirizzo IP differente (magari sto dicendo una palla...) ?

Io personalmente imposto i file winsock.etc... come protetti da scrittura per evitare scherzetti, magari si può fare lo stesso con il file in questione. Comunque msconfig del 98 funziona anche sul 95: comunque per controllare le impostazioni di avvio puoi utilizzare Startup Manager.

Ciao

prandot
25-09-2002, 21.32.54
Hai provato start page guard ?

http://pjwalczak.com/spguard/index.php