• User Attivo

    [Risolto] Pagine web Pubblicità non volute

    Salve, ho notato che quando chiudo explorer trovo spesso una pagina aperta a tutto shermo come pubblicità per esempio skype.com ho fatto una scansione con spyware terminator, ha trovato alcuni elementi ma dopo riavviato si è presentato il problema, come si può risolvere?


  • Consiglio Direttivo

    Ciao peppecol,

    scansiona pure con combofix e dai una ripulita con ccleaner. :ciauz:


  • User Attivo

    Ho provato ccleaner esce ancora pagine pubblicità.


  • User

    Ciao peppecol,
    non è con Ccleaner che risolvi le finestre pubblicitarie indesiderate, ma con Combofix.
    Aggiungo anche che possono essere eliminate con Navilog1, con Lop S&D, oppure con Hijackthis fixando la run incriminata e poi eliminando i files)

    :ciauz:


  • User Attivo

    Nel log di Navilo1 esce questo risultato, ho fatto anche auto ma poi non ci capisco cosa devo fare in questo log dice qualcosa che non và?

    Log:
    Search Navipromo version 3.7.0 began on 12/12/2008 at 9.04.48,15

    !!! Warning, this report may include legitimate files/programs !!!
    !!! Post this report on the forum you are being helped !!!
    !!! Don't continue with removal unless instructed by an authorized helper !!!

    Fix running from C:\Programmi\navilog1

    Updated on 10.12.2008 at 21h00 by IL-MAFIOSO

    Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.80GHz )
    BIOS : BIOS Date: 08/04/05 01:48:51 Ver: 08.00.10
    USER : Administrator ( Administrator )
    BOOT : Normal boot

    Antivirus : avast! antivirus 4.7.1029 [VPS 000773-1] 4.7.1029 (Not Activated)
    Firewall : Norton Internet Worm Protection 2006 (Not Activated)

    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:279 Go (Free:10 Go)
    D:\ (CD or DVD)
    E:\ (Local Disk) - NTFS - Total:279 Go (Free:245 Go)
    F:\ (USB)
    G:\ (USB)

    Search done in normal mode

    *** Searching for installed Software ***

    Favorit
    WebMediaPlayer

    *** Search folders in "C:\WINDOWS" ***

    *** Search folders in "C:\Programmi" ***

    ...\WebMediaPlayer found !

    *** Search folders in "C:\Documents and Settings\All Users\menuav~1\progra~1" ***

    ...\WebMediaPlayer found !

    *** Search folders in "C:\Documents and Settings\All Users\menuav~1" ***

    *** Search folders in "c:\docume~1\alluse~1\datiap~1" ***

    *** Search folders in "C:\Documents and Settings\Administrator\datiap~1" ***

    *** Search folders in "C:\Documents and Settings\Administrator\impost~1\datiap~1" ***

    *** Search folders in "C:\Documents and Settings\Administrator\menuav~1\progra~1" ***

    *** Search with Catchme-rootkit/stealth malware detector by gmer ***
    for more info :

    *** Search with GenericNaviSearch ***
    !!! Possibility of legitimate files in the result !!!
    !!! Must always be checked before manually deleting !!!

    • Scan in "C:\WINDOWS\system32" *

    • Scan in "C:\Documents and Settings\Administrator\impost~1\datiap~1" *

    *** Search files ***

    c:\docume~1\alluse~1\desktop\WebMediaPlayer.lnk found !

    *** Search specific Registry keys ***
    !! Following keys are not certainly all infected !!

    HKEY_CURRENT_USER\Software\Lanconfig found !

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "dhdzpt"=""c:\documents and settings\administrator\impostazioni locali\dati applicazioni\dhdzpt.exe" dhdzpt"

    *** Complementary Search ***
    (Search specific files)

    1)Search new Instant Access files :

    2)Heuristic Search :

    • In "C:\WINDOWS\system32" :

    • In "C:\Documents and Settings\Administrator\impost~1\datiap~1" :

    dhdzpt.exe found !
    dhdzpt.dat found !
    dhdzpt_nav.dat found !
    dhdzpt_navps.dat found !

    3)Certificates Search :

    Egroup certificate not found !
    Electronic-Group certificate found !
    Montorgueil certificate not found !
    OOO-Favorit certificate found !
    Sunny-Day-Design-Ltd certificate not found !

    4)Search others known folders and files :

    C:\WINDOWS\system32\bJjSBcfe.ini2 found ! Possible Vundo infection, not cleaned with this tool !
    C:\WINDOWS\system32\egjjQqru.ini2 found ! Possible Vundo infection, not cleaned with this tool !

    *** Search completed on 12/12/2008 at 9.14.53,75 ***


  • Consiglio Direttivo

    Ciao peppecol,

    scansiona con combofix e superantispyware "aggiornato"! 😉

    :ciauz:


  • User

    Ciao peppecol, Navilog1 va usato in due fasi:
    Fase 1 ricerca
    Fase 2 pulizia

    Il report che hai copiato è della fase 1 che mette in evidenza cosa ha trovato, e cioè la chiave responsabile delle pagine web non volute

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
    "dhdzpt"=""c:\documents and settings\administrator\impostazioni locali\dati applicazioni\dhdzpt.exe" dhdzpt"Ed i relativi files
    dhdzpt.exe found !
    dhdzpt.dat found !
    dhdzpt_nav.dat found !
    dhdzpt_navps.dat found !Ora potresti usare Navilog1 con l'opzione 2 per eliminare quanto trovato, ma ti consiglio si fare una scansione anche con Combofix, visto che già Navilog segnala la presenza di una possibile infezione da Vundo
    C:\WINDOWS\system32\bJjSBcfe.ini2 found ! Possible Vundo infection, not cleaned with this tool !
    C:\WINDOWS\system32\egjjQqru.ini2 found ! Possible Vundo infection, not cleaned with this tool !

    :ciauz:


  • User Attivo

    ...con SUPERAntiSpyware aggiornato pare che sia tutto scomparso!!


  • Consiglio Direttivo

    😉


  • User Attivo

    In verità ho scoperto perchè ora non ho più quell'infezione stà nella lista nera di spyware terminator ed esattamente si trova qui:

    c:/documents and settings\adminastror\impostazioni locali\dati applicazioni\dhdzpt.exe

    Ora la mia domanda visto che sono riuscito a rintracciare il colpevole e cioè DHDZPT.exe come faccio ad eliminarlo?

    Grazie a Voi tutti.


  • Consiglio Direttivo

    Ciao peppecol,

    @peppecol said:

    Ora la mia domanda visto che sono riuscito a rintracciare il colpevole e cioè DHDZPT.exe come faccio ad eliminarlo?

    scarica avenger ed effettua, un copia/incolla di questo script, nel riquadro bianco "input script here":

    Files to delete:
    c:/documents and settings\adminastror\impostazioni locali\dati applicazioni\dhdzpt.exe

    • elimina la spunta su: scan for rootkit "in basso a sinistra"
    • premi su execute
    • rispondi SI alle richieste
    • il pc, dovrebbe riavviarsi
    • al riavvio posta il log!

    :ciauz:


  • User Attivo

    Error: Invalid script. A valid must begin with a command directive Aborting execution!


  • User

    Ciao peppecol, non vorrei insistere con quanto detto nel mio precedente messaggio, ma visto che Navilog1 ha trovato il responsabile delle pubblicità, perchè non usarlo per l'eliminazione??:bho:
    Basta avviarlo e scegliere l'opzione 2

    Lo script di avenger presenta un errore:
    c:**/**documents and settings\adminastror\impostazioni locali\dati applicazioni\dhdzpt.exe

    In ogni caso lo script completo sarebbe:

    Files to delete:
    c:\documents and settings\adminastror\impostazioni locali\dati applicazioni\dhdzpt.exe
    c:\documents and settings\adminastror\impostazioni locali\dati applicazioni\dhdzpt.dat
    c:\documents and settings\adminastror\impostazioni locali\dati applicazioni\dhdzpt_nav.dat
    c:\documents and settings\adminastror\impostazioni locali\dati applicazioni\dhdzpt_navps.dat
    C:\WINDOWS\system32\bJjSBcfe.ini2
    C:\WINDOWS\system32\egjjQqru.ini2

    Inoltre ti ricordo che Navilog ha riscontrato una possibile infezione da Vundo, quindi è consigliabile eseguire Combofix ed allegare il report per l'analisi.

    :ciauz:


  • Consiglio Direttivo

    @peppecol said:

    Error: Invalid script. A valid must begin with a command directive Aborting execution!

    :rollo: .... colpa mia, peppecol!!!

    Ciao JeanGrey,

    @JeanGrey said:

    Lo script di avenger presenta un errore:
    c:**/**documents and settings\adminastror\impostazioni locali\dati applicazioni\dhdzpt.exe

    ...grazie per la segnalazione! 😉