Redirezione pagina iniziale di Explorer: studio e soluzioni

[piercing]

Avrei piacere di poter organizzare un piccolo gruppo di studio e ricerca utilizzando questo topic, per analizzare e trovare una soluzione definitiva al problema della redirezione della pagina iniziale di explorer...

La mia esperienza ha visto che nell'ultimo mese questo problema è davvero pressante... e non ho trovato ancora ne una modalità univoca di eliminazione del problema, ne la sua causa (che presumo sia il solito buco di explorer).

Vorrei quindi fare un'analisi di come avete risolto il problema, e vorrei che questo topic diventasse la soluzione incorporando tutti i link necessari alla risoluzione del problema...



Fatta l'introduzione veniamo ai dati che ho raccolto...

quasi sempre ho risolto il problema con CWShredder e uno svuotamento completo di cookie e file temporanei. Il solo utilizzo del programma non risolveva il problema... la redirezione veniva rigenerata all'avvio successivo...

Vorrei a questo capire come è possibile che con un sistema straaggiornato, con tutte le patch, un file temporaneo sia ancora in grado di "reinstallare" la redirezione... proprio per questo sono stato curioso di conoscere le vostre esperienze...

Altra particolarità è che HijackThis non segnali assolutamente cos'è che lancia l'installazione della redirezione, anche se appena eliminata.

Mi è stato di molto aiuto questo link e tutto il contenuto del sito:

http://www.spywareinfo.com/~merijn/downloads.html


Ritengo che ci troviamo di fronte ad un pò più del semplice spyware...

[Mikizo]

Anch'io ho notato una escalation del fenomeno...

Comunque, tanto per darne conoscenza allo staff e ai frequentatori assidui del forum, sia CWShredder che HijackThis sono programmati in uscita per la sezione download di pc-facile, per il 01/07 e il 15/07 rispettivamente, in una nuova sezione denominata "homepage protection".

Qualsiasi segnalazione di altri software interessanti in questo settore sarà quindi estremamente bene accetta

[pypyno1]

Da stamattina ho anch'io il problema della StartPage di IE.
Ho provato a seguire i vostri consigli:CWShredder non trova niente di anomalo, con HijackThis trovo qualcosa che richiama nel nome la pagina iniziale che mi viene proposta e la cancello, trovo un file con lo stesso nome in System 32, ma dopo averlo eliminato lo ritrovo ancora. con Spy bot trovo DSO Exploit: DSO Exploit:
Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-842925246-2147158611-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


Elimino anche questi e ricomincio da capo. Aiutatemi Voi che potete.Grazie

[piercing]

Per eliminare il DSO Exploit usa AD-Aware build 1.81 con il reference file aggiornato al 20 di giugno...

http://www.lavasoftsupport.com/index.ph ... opic=32713

fallo girare e poi posta il log di hijack... cominciamo a fare un'analisi...

[pjfry]

la scorsa settimana ho dovuto smanettare parecchio con il pc di mio fratello per togliere Vx2.BetterInternet ...
dopo tutte le scansioni con ad-aware e spybot restava una dll che dicevano di poter eliminare al riavvio, ma non ce la facevano
non veniva via neanche in modalità provvisoria, quindi chi caspio la caricava!?!?!?
di sicuro potevo cancellarla tramite console, ma ho fatto prima con un tool fatto apposta per quel determinato spyware

[pjfry]

per esempio per dso exploit ho trovato questo, chi lo prova?
(ho trovato anche diverse pagine che parlavano di un bug di spybot che non riesce a fixarlo automaticamente...)
http://www.nsclean.com/dsostop.html

[piercing]

DSO Exploit come ho detto, non è espressamente uno spyware ma un bug di Explorer (in pratica non è un programma che si scarica navigando, ma un errore di programmazione di Microsoft quindi una porta per eventuali "attacchi" di altri spyware).

E' stato scoperto verso la metà del 2002, quindi ampiamente corretto se il browser è aggiornato e non è quindi un problema se si esegue una corretta politica di aggiornamento del proprio PC.

Non riesco a trovare sul sito M$ qual'è la patch relativa, ma sono certo che sia uscita da un bel pezzo.

Poichè non è uno spyware non mi voglio dilungare molto sui motivi e sulle spigazioni di questo bug, eventualmente se ne può fare una discussione apposita

Per gli interessati comunque dico che era un bug molto grave per il quale con estrema semplicità e anche con gli ActiveX e gli script disattivati era possibile lanciare qualunque eseguibile dal proprio PC utilizzando una particolare proprietà del browser di Microsoft. (5 righe di codice HTML permettevano tutto questo)

[pypyno1]

l'AD aware che ho trovato e' laversione 6.181. L'ho scaricata e fatta girare. Ha trovato un file RegKey di nome Alexa

ALEXA
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[0]=RegKey : SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

L'ho eliminato. Ho fatto rigirare hijackThis che ha ritrovato gli stessi file delle altre volte e gli ho eliminati.

Per quanto rigurda l'aggiornamento di M$ il sito non rileva nulla da aggiornare.

Nemmeno Start page guard elimina il problema.

Comincio a pensare che navigare in internet sia diventata roba da maghi del PC se poi ogni volta bisogna scaricare Mbite di Tools e programmi per eliminare quello che ti entra!

[piercing]

pypino, non è grave neanche Alexa... sempre roba di Microsoft...

la guerra contro i cookie, Alexa e DSO è abbastanza persa in partenza, ma per fortuna non fanno danni di nessun tipo...