PDA

Visualizza versione completa : About:blank


Cecco
19-01-2005, 19.44.33
Qualcuno che ha avuto il mio stesso problema cerchi di aiutarmi.
Sono stato infettato dallo spyware o non so cosa "about:blank" che continuamente, nonostante i miei tentativi di rimozione, si rinnova e mi riapre appunto in quella pagina.
E' una variante "coolwebsearch", ad-aware ne elimina molti riferimenti, niente si rinnova sempre, cwshredder pure, c'è qualche riferimento che non sono riuscito a identificare ed eliminare.
Grazie

Cecco
19-01-2005, 19.46.56
Questo il log di hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 18.25.54, on 19/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Hcontrol.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\ATKOSD.exe
C:\Programmi\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\Temp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {12D02C08-218F-4A11-BDE1-6611ADB7B81F} - (no file)
O2 - BHO: IE 4.x-6.x BHO for Internet Download Accelerator - {2A646672-9C3A-4C28-9A7A-1FB0F63F28B6} - C:\Programmi\IDA\idaiehlp.dll
O2 - BHO: (no name) - {B81BC8F7-5D92-4F94-A6D0-E377A989C93C} - C:\WINDOWS\System32\dcfnad.dll
O2 - BHO: ViewSource Class - {EB23F789-F17F-4bcc-988B-6B70A3A67E9C} - C:\PROGRA~1\ZEROPO~1\ZERO-P~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKCU\..\Run: [ItweakU] "C:\Programmi\ItweakU\Clear.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download ALL with IDA - C:\Programmi\IDA\idaieall.htm
O8 - Extra context menu item: Download with IDA - C:\Programmi\IDA\idaie.htm
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Internet Download Accelerator - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - C:\Programmi\IDA\ida.exe
O9 - Extra 'Tools' menuitem: &Internet Download Accelerator - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - C:\Programmi\IDA\ida.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Filter: text/html - {0BC7AC89-53A0-441D-8AE2-3B258DA84CFD} - C:\WINDOWS\System32\dcfnad.dll
O18 - Filter: text/plain - {0BC7AC89-53A0-441D-8AE2-3B258DA84CFD} - C:\WINDOWS\System32\dcfnad.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Registry Management Service - Unknown - C:\Programmi\Advanced Registry Doctor\RegManServ.exe

crazy.cat
19-01-2005, 19.54.39
Cerca questa dll dcfnad.dll la sposti sul desktop e la rinomini, riavii il pc in modalità provvisoria, cancelli il file rinominato, i files temporanei di internet e le righe che ti indico qui sotto.Rifai anche la scansione con cwshredder, riavii e riprovi a modificare la pagina e navigare.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about
:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: (no name) - {12D02C08-218F-4A11-BDE1-6611ADB7B81F} - (no file)
O2 - BHO: (no name) - {B81BC8F7-5D92-4F94-A6D0-E377A989C93C} - C:\WINDOWS\System32\dcfnad.dll
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O18 - Filter: text/html - {0BC7AC89-53A0-441D-8AE2-3B258DA84CFD} - C:\WINDOWS\System32\dcfnad.dll
O18 - Filter: text/plain - {0BC7AC89-53A0-441D-8AE2-3B258DA84CFD} - C:\WINDOWS\System32\dcfnad.dll

Cecco
20-01-2005, 16.31.17
Ciao crazy, da poco son potuto tornare al pc ed ho letto la tua risposta che conferma il sospetto che avevo su quella dll ed il relativo processo.
Adesso eseguo l'operazione che mi hai consigliato e ti faccio sapere anche se credo già di capire che funzionerà.
Ciao, intanto grazie ed a presto

Cecco
20-01-2005, 16.56.30
Perfetto crazy, ti ringrazio ancora, il tuo aiuto è stato preziosissimo. Dimmi una cosa, avevo cercato qualcosa sul web per questo problema, non ho trovato molto ma vi è qualche variante di questo about:blank, e poi responsabile è sempre quella dll?
Ciao

crazy.cat
20-01-2005, 18.35.29
Ci sono parecchie varianti, su Megalab me ne postano moltissime di queste infezioni.
La dll cambia sempre nome e se sbagli a rimuoverla al riaviio ti cambia nome.
Il sistema ormai è abbastanza collaudato e funziona sempre
http://www.megalab.it/forum/viewtopic.php?p=93766#93766

Frequency
20-01-2005, 20.41.32
ho lo stesso problema di Cecco, solo che non sono riuscito a trovare il file dcfnad.dll

aiutoooo!!!:(

Frequency
20-01-2005, 20.43.37
ecco il log con hijack

Frequency
20-01-2005, 20.47.45
scusate eccolo

Frequency
20-01-2005, 22.35.52
up

Lionsquid
21-01-2005, 00.48.06
oltre all' "about:blank" (per cui segui i consigli di crazy.cat per rimuoverlo)

hai anche un bel pò di topacci dentro la cartella "Downloaded Program Files"


O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//bahotyq//xmmrmfm//bofbsoz//rytgqp//IT//arct.chm::/painter.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {31F11DFA-3A23-4BC0-89B4-2FB3FB43525B} (Pro_Web016.ProWeb016) - http://sessogratis.net/ProWeb016.CAB
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

rimuovi tutto e poi con winrar o a43 o total commander, entra nella cartella DPF e elimina le relative sozzure (elencate sopra)

poi....

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\IMPOST~1\Temp\sp.dll/sp.html
O2 - BHO: (no name) - {AFC30B2F-5453-4511-8223-14B95292FF42} - C:\WINDOWS\System32\bpeh.dll


come vedi la .dll si chiama SP.DLL, BPEH.DLL,

rimuovi anche:
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O18 - Filter: text/html - {18F81E13-DB61-48CD-A2A5-91F3B78FC681} - C:\WINDOWS\System32\bpeh.dll

ho forti dubbi su:

O23 - Service: Reset 5 - Unknown - C:\WINDOWS\system32\srvany.exe

sebbene srvany.exe sia "apparentemente" un innocuo servizi MS,... lo trovo spesso attivo dopo infiltrazioni maligne nel pc... potrebbe essere "collegato" in qualche modo....

RNicoletto
21-01-2005, 10.58.38
Domanda x Cecco e frequency: che browser utilizzate per navigare su Internet ??

Grazie ! ;)

Frequency
21-01-2005, 13.14.57
Originariamente inviato da RNicoletto
Domanda x Cecco e frequency: che browser utilizzate per navigare su Internet ??

Grazie ! ;)


purtroppo ie...:rolleyes:
ma questa potrebbe essere la goccia che fa traboccare il vaso...

Frequency
21-01-2005, 13.15.30
Originariamente inviato da Lionsquid
oltre all' "about:blank" (per cui segui i consigli di crazy.cat per rimuoverlo)

hai anche un bel pò di topacci dentro la cartella "Downloaded Program Files"


O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//bahotyq//xmmrmfm//bofbsoz//rytgqp//IT//arct.chm::/painter.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {31F11DFA-3A23-4BC0-89B4-2FB3FB43525B} (Pro_Web016.ProWeb016) - http://sessogratis.net/ProWeb016.CAB
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

rimuovi tutto e poi con winrar o a43 o total commander, entra nella cartella DPF e elimina le relative sozzure (elencate sopra)

poi....

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\IMPOST~1\Temp\sp.dll/sp.html
O2 - BHO: (no name) - {AFC30B2F-5453-4511-8223-14B95292FF42} - C:\WINDOWS\System32\bpeh.dll


come vedi la .dll si chiama SP.DLL, BPEH.DLL,

rimuovi anche:
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O18 - Filter: text/html - {18F81E13-DB61-48CD-A2A5-91F3B78FC681} - C:\WINDOWS\System32\bpeh.dll

ho forti dubbi su:

O23 - Service: Reset 5 - Unknown - C:\WINDOWS\system32\srvany.exe

sebbene srvany.exe sia "apparentemente" un innocuo servizi MS,... lo trovo spesso attivo dopo infiltrazioni maligne nel pc... potrebbe essere "collegato" in qualche modo....

grazie....ora provo....;)

Frequency
21-01-2005, 13.28.52
grazie Lions!!!;)(B)
ho risolto...ho fatto una mega pulizia...:)

cappe81
22-01-2005, 11.44.09
io ho risolto così:
start > esegui > digita msconfig > sezione avvio > togli il segno di spunta da C:\WINDOWS\Hcontrol.exe
premi ok e riavvia...

appena riavviato torna su start > esegui > digita regedit > moditica > trova > digita Hcontrol.exe e elimina quello che trova, premi F3 per continuare a cercare ed elimina tutte le voci fino a che ti dice ricerca completata, reimposta la pagina iniziale e riavvia

Cecco
22-01-2005, 11.58.51
Originariamente inviato da cappe81
io ho risolto così:
start > esegui > digita msconfig > sezione avvio > togli il segno di spunta da C:\WINDOWS\Hcontrol.exe
premi ok e riavvia...

appena riavviato torna su start > esegui > digita regedit > moditica > trova > digita Hcontrol.exe e elimina quello che trova, premi F3 per continuare a cercare ed elimina tutte le voci fino a che ti dice ricerca completata, reimposta la pagina iniziale e riavvia

Interessante! Mi pieghi in pratica, se ti va:
1-cosa produce l'esclusione" di "hcontrol.exe" dai programmi d'avvio?
2-xchè quindi da registro digitando il ns. escono fuori tutte quelle voci che noi abbiamo eliminato a mano?
Ciao

Lionsquid
22-01-2005, 13.05.41
Originariamente inviato da cappe81
io ho risolto così:
start > esegui > digita msconfig > sezione avvio > togli il segno di spunta da C:\WINDOWS\Hcontrol.exe
premi ok e riavvia...

appena riavviato torna su start > esegui > digita regedit > moditica > trova > digita Hcontrol.exe e elimina quello che trova, premi F3 per continuare a cercare ed elimina tutte le voci fino a che ti dice ricerca completata, reimposta la pagina iniziale e riavvia

questa tecnica funziona solo se il processo maligno ha solo se stesso in esecuzione e nessun altro "clone" di se altrove...

in pratica, questa procedura si può attuare soltanto poche volte....

...l'utilizzo di msconfig è egregiamente sostituito dal lavoro di hijackthis...

disattivare l'avvio automatico dell'eseguibile e trascurare il controllo di servizi maligni o pagine infette nei temp. di IE, o ancora, ignorare le installazioni furtive dentro la cartella "Download Program Files" può produrre risultati nulli, con conseguente rifacimento del lavoro di indagine e di rimozione

Lionsquid
22-01-2005, 13.14.26
Originariamente inviato da Cecco


Interessante! Mi pieghi in pratica, se ti va:
1-cosa produce l'esclusione" di "hcontrol.exe" dai programmi d'avvio?
2-xchè quindi da registro digitando il ns. escono fuori tutte quelle voci che noi abbiamo eliminato a mano?
Ciao

provo a risponderti ...

1) l'esclusione dell'eseguibile dovrebbe impedire al processo maligno di replicarsi o per sottrarre al controllo (blocco file in uso) di win il processo stesso....

cosa che funziona solo se da qualche altra parte non si "istruisce" win a ricreare altri cloni, magari con nomi diversi...


2) tutte le rimozioni manuali con hijackthis e relativi file dalle cartelle lascia inalterate le intrusioni nel registro di win... questo compito è solitamente demandato ai pulitori tipo ad-aware o spybot.. in assenza di uso di tali sw.... devi cercarti le chiavi a mano con regedit... cosa fattibilissima, ma certamente più laboriosa... di solito si ricorre al regedit solo quando falliscono i metodi automatici... ma non sempre si conoscono le chiavi correlate :(

ciao