|
> > Computer & Internet - about:blank |
| Autore |
about:blank |
Deeproad
Reg.: 08 Lug 2002
Messaggi: 25368
Da: Capocity (CA)
|  Inviato: 12-05-2005 14:06 |
|
|
Marienbad
Reg.: 17 Set 2004
Messaggi: 15905
Da: Genova (GE)
| | Inviato: 12-05-2005 21:32 |
|
Ma che merda!
Ma che razza di sito è poi?
_________________
Meglio voi che io
[ Questo messaggio è stato modificato da: Marienbad il 12-05-2005 alle 21:32 ] |
|
Yusuke4
Reg.: 16 Mag 2005
Messaggi: 3
Da: Porto Sant'Elpidio (AP)
| | Inviato: 16-05-2005 16:28 |
|
da quel che ho capito, nn ne capite molto di about: blank
c penso io:
ABOUT.BLANK (SE.DLL)
Visto la problematica a rimuovere il suddetto spyware, ho trovato questa soluzione, che pare essere abbastanza complicata e che non ho avuto modo di provare direttamente. Posto quindi la pagina che ho tradotto da qui > http://www.securiteam.com/securityreviews/5RP0L0UD5U.h tml
Le spiegazioni nella pagina, non parlano di Windows 98 ma solo di XP;
Ho cercato quindi di adattarle, sperando che funzionino
Per prima cosa vi occorre un editor del tegistro, più avanzato di quello di Windows.
Registrar Lite:
http://www.resplendence.com/download/reglite.exe
Riporta:
Ci sono 2 DLL da rimuovere che riguardano il problema
ABOUT BLANK.
Una voce riguardante, una di queste due DLL, nel registro è impostata come nascosta.
Per visualizzarla non basta l'editor del registro di Windows, ma occorre Registrar lite.
Nella barra ADDRESS del programma, digitare (o copiare) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \Cu rrentVersion\Windows\\
e cliccare su GO.
Doppio click sulla voce "AppInit_DLLs"
nella finestra che si aprirà, il campo "value"
indicherà il nome della DLL nascosta.
Cercare quindi il file,(con la funzione "CERCA" di Windows) cliccare con il tasto destro, selezionare proprietà e togliere gli attributi
"nascosto e a sola lettura"
Ancora conRegistrar lite,
Selezionare AppInit_DLLs , Portarsi quindi nel menu "security\edit permission" e selezionare la casella FULL CONTROLL.
Provare ora ad eliminare il file incriminato (Maiusc + Canc o clic destro su Elimina)
Se il file non si lascia eliminare, rinominarlo nel seguente modo.
Per Windows 98:
1.Riavviare in modalità DOS, portarsi nella cartella che contiene il file incriminato, per cambiare l'attributo "a sola lettura" digitare:
attrib -r XXXXX.dll (XXXX sarà il nome della DLL nascosta)
2.rinominare il file digitando:
rename XXXXX.dll YYYYY.dll (YYYY.dll sarà il nome che avrai scelto)
3. riavviare il PC
4. Aprire nuovamente "reglite.exe"
Doppio click su "AppInit_DLLs" in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Windows\\
eliminare il nome del file nel campo "value"
(cambierà anche il valore nel campo "size")
5. Applicare i cambiamenti ed uscire da "reglite.exe"
Per XP:
1. occorre " Microsoft Recovery Console "
recuperabile dal disco di XP digitando da START ESEGUI:
X:\i386\winnt32.exe /cmdcons (X sarà la lettera del lettore CD)
2.riavviare il pC selezionando quindi la consolle di emergenza
3. navigare fino a raggiungere la locazione del file incriminato (esempio : C:\Windows\system32\) per cambiare l'attributo "a sola lettura" digitare:
attrib -r XXXXX.dll
4. rinominare il file digitando:
rename XXXXX.dll YYYYY.dll (YYYY.dll sarà il nome che avrai scelto)
5.digitare Exit e riavviare il PC
Fare il log con Hijack e rimuovere le voci che non ci sono più
--- Aprire nuovamente "reglite.exe"
Doppio click su "AppInit_DLLs" in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\
eliminare il nome del file nel campo "value"
(cambierà anche il valore nel campo "size")
--- Applicare i cambiamenti ed uscire da "reglite.exe"
Ragazzi, ripeto che non ho avuto modo di provare il suddetto metodo,
non vi resta che provare... e visitare magari la pagina (in inglese) dove ho trovato questa soluzione...
http://www.securiteam.com/securityreviews/5RP0L0UD5U.html
riferimento --> http://www.iamnotageek.com/a/se.dll.php
_________________________________________
Apri i registro di configurazione FAI UN BACKUP DI SICUREZZA ed elimina queste voci:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVer sion\Run\Win Server
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersi on\Run\Win Server Updt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi on\Run\Win Server Updt [C:\WINDOWS\wupdt.exe]
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run\Win Server Updt
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run\conscorr
Riavvia il sistema
Vai su start --> Esegui e digita msconfig
Seleziona la scheda "Avvio"
Togli quindi dall'avvio ogni voce riferita ai file sotto (potresti non averli tutti):
TERMINA ANCHE QUESTI PROCESSI (se ci sono)
extract.exe
se.exe
systb.exe
wdskctl.exe
wupdt.exe
winserv.exe
Usando l'utility "Regsvr32.exe" de-registra questi files:
Start --> Run --> cmd ==> regsvr32 -u nomeFile.dll
ieplugin.dll
se.dll
systb.dll
winobject.dll
Cerca tutti i file elencati sopra e se li trovi eliminali
Pulisci il registro con RegScrub XP
http://files4.majorgeeks.com/files/bb702465f3c3141263ddd046c 9585b27/registry/regscrubxpsetup_3.2.exe
incrocia le dita e riavvia
_________
Già che ci sei scarica anche Start Page Guard:
http://pjwalczak.com/spguard/spgsetup.exe
____________*****************_______________
Altri Metodi:
digitare
CMD o COMMAND
a seconda del sistema operativo.
quindi digitare
CD WINDOWS o CD WINNT
a seconda dell'installazione
quindi
CD SYSTEM32
o CD SYSTEM
SOLO se la SYSTEM32 non esiste
poi
DIR *.dll /o:d
Esce le'lenco di tutte le dll. Le ultime sono le più recenti. Quella da rimuovere è una con nome di 4 caratteri insensati e di lunghezza 41472
Per rimuoverla digitare:
regsvr32 -u <nomedelladll>
A questo punto (se ci andate prima non vedrete nulla!!!) scrivete REGEDIT e navigate il registro fino a
LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager
Clikkate due volte su PendingFileRenameOperations e vi si aprirà una finestra con due nomi.
Uno è la dll che avete rimosso e uno è un file .tmp
Prendete nota del nome del file .tmp e cancellate tutto.
Riavviate il computer e cancellate pure la .tmp
E dovrebbe essere tutto a posto...
____________*****************_______________
Avvia dal menu start - esegui > scrivendo 'cmd' e premi invio.
scrivi
regsvr32 -u jnbc.dll e premi invio
e rispondi affermativamente alle seguenti domande.
Quindi sempre nella schermata nera scrivi REGEDIT e premi invio
appare una finestra tipo esplorer
cerca le seguenti parole e clikka sul + vicino al nome:
HK_LOCAL_MACHINE
SYSTEM
CurrentControlSet
Control
Session Manager
Quindi clikka sopra alla scritta "session manager" e a sinistra compaiono altre righe.
Nella parte di sinistra cerca la parola "PendingFileRenameOperations"
Clikka due volte su PendingFileRenameOperations e si aprirà una finestra con dei nomi. Segnati quelli che si chiamano <blablabla>.tmp
Poi cancella tutto il testo e dai ok.
Riavvia il computer.
Quindi fai di nuovo START, ESEGUI e 'cmd' ... invio.
Si apre la finestra nera. Scrivi:
CD C:\WINNT\System32
e quindi scrivi
DEL <blablabla>.tmp e premi invio
dove <blablabla> è il nome che hai trovato scritto prima.
Fatto ciò dovresti essere salva!
"sp" lo devi proprio cancellare!!! E' quella che fa ripartire tutto.
Poi rimuovi per l'ennesima volta la dll, e dentro a system32 cancella tutti i file tmp.
cd c:\winnt\system32
dir *.tmp
se escono dei nomi di file che terminano con tmp scrivi
del *.tmp
Ok.Quindi fai
dir *.tmp
di nuovo. se appare ancora un file .tmp riparti in modalità provvisoria e riprova ad eseguire i comandi qui sopra. L'asterisco e SHIFT+8 e il
punto è al posto del -
Se non trovi i : puoi fare così
ALT + 58 sul tastierino numerico a destra
se non trovi la \ puoi fare così
ALT + 92 sul tastierino numerico a destra
____________*****************_______________
se.dll è il server che fa venire fuori i pop-up anche se non si stà navigando (basta essere collegati ad internet).
bgoi.dll è il programma che cambia la pagina iniziale di internet explorer e ricarica se.dll ri-registrandola ogni volta che si tenta di eliminarla.
bgoi.dll viene caricato da explorer e da msn messanger.
1) ho installato l'anti spy-ware della microsoft (che funziona male come tutti gli altri che ho provato, però almeno ti fa capire cosa stà succedendo).
> http://www.microsoft.com/athome/security/spyware/software/de fault.mspx
2) ho cercato se.dll sull'hd l'ho rinominata se.dl ed ho messo una dll qualunque nella stessa locazione rinomandola se.dll e rendendola read only
3) ho cominciato ad usare Mozilla firefox al posto di i.e. (Mozilla non si fa cambiare la pagina iniziale neanche a martellate)
A questo punto, l'ad-ware è ancora li ma è inoffensivo.(cerca se.dll, la trova, quindi non la riscrive, e non riesce a caricarla).
Mi è comparso un messaggio dell'anti-spyware che annunciava che bgoi.dll stava cercando di modificare la startup page in about:blank.
Ho cercato con process manager (www.sysinternals.com) dove fosse e chi chiamasse questa dll. L'ho cancellata. Ho cancellato con regedit tutti i riferimenti a se.dll e bgoi.dll dal register, e, credeteci o no, finalmente tutto è tornato a funzionare: sono due o tre giorni che posso navigare con i.e. e con Mozilla senza avere pop-up e/o cambi della startup page.
PS: ripristinare tutti i settaggi di i.e. (non solo la startup page) utilizzando la funzione advanced dell'anti-spyware.
Il nome può cambiare, però la dll incriminata contiene la stringa
"about:blank"
Puoi provare con il file find di windows cercando i files *.dll che contengono la stringa about:blank
____________*****************_______________
Dunque... Spero sia la soluzione definitiva...
Dopo aver fatto un'analisi con hijackthis identificate la ormai famosa *.dll infettiva nella cartella C:/WINDOWS/SYSTEM e appuntatevi il nome... Eliminate le voci sospette... Quelle riguardanti se.dll e quelle riguardanti la *.dll dal nome variabile in C:/WINDOWS/SYSTEM
Aprite poi StartDrek. Andate su config, cliccate unmark all e poi selezionate SOLO sotto la voce Registry -> Run Keys e Browser Helper Objects ... Sotto la voce System/Drivers -> Running processes ... scorrete il log che si crea fino alla voce:
>> RunServicesOnce
e controllate se qua c'è per caso scritto
=rundll32 C:\WINDOWS\~GLC00N0.TMP,DllGetClassObject
ATTENZIONE! Il file che cito qua è solo un esempio, perchè sia il nome del file sia l'estensione può essere variabile... quindi può trattarsi di una gif, come di un file tmp, come di un file ini ecc ... Fate attenzione che ci sia scritto rundll32, che il file si trovi nella cartella di WINDOWS (almeno in WinME e Win98) e che dopo il nome ci sia DllGetClassObject. Segnatevi il nome del file.
A questo punto riavviate in modalità DOS. Non aprite semplicemente il Prompt di MS-DOS perchè se darete i comandi qua saranno assolutamente INUTILI.
Per riavviare in modalità MS-DOS WinME e Win98 hanno bisogno del disco di ripristino che potrete creare andando su IMPOSTAZIONI --> PANNELLO DI CONTROLLO --> INSTALLAZIONE APPLICAZIONI --> DISCO DI RIPRISTINO ... Inserite un floppy e fate crea disco.
Riavviate il computer e riconoscerà la presenza del floppy. Appare una schermata, selezionate AVVIA CON CD-ROM (o qualcosa del genere)... Dopo un po' di lavoro vi porterà al DOS.
Come unità vi mostrerà A: ... Quindi voi digitate C:\
Ora siete in
C:\
digitate cd windows
C:\WINDOWS
cd TEMP
C:\WINDOWS\TEMP
e scrivete del se.dll
poi scrivete cd windows
C:\WINDOWS
cd system
C:\WINDOWS\SYSTEM
e scrivete del e il nome della dll incriminata
quindi cd windows
C:\WINDOWS
e scrivete -s -h -r ~GLC00N0.TMP (sostituite ovviamente a questo il nome del vostro file individuato con StartDreck)
Il computer sembrerà impassibile e vi riporterà a
C:\WINDOWS
scrivete ora del ~GLC00N0.TMP (sostituite ovviamente a questo il nome del vostro file individuato con StartDreck)
Ancora impassibilità...
C:\WINDOWS
a questo punto rifate -s -h -r ~GLC00N0.TMP (sostituite ovviamente a questo il nome del vostro file individuato con StartDreck)
E vi dovrebbe segnalare che il file non è stato trovato o non è esistente.
Per maggiori conferme fate anche
del ~GLC00N0.TMP (sostituite ovviamente a questo il nome del vostro file individuato con StartDreck)
E vi dovrebbe dire che il file non è stato trovato o non è esistente.
Se è così avviate Windows e all'apertura vi apparirà una finestra di errore di RUNDLL32 che segnala un errore nel caricare il file che avete cancellato in quanto questo è stato cancellato! Yeah... Tale finestra compare solo al primo avvio di Windows dopo l'operazione...
Avviate CWSHREDDER e fategli fare la pulizia, aprite StartDreck e controllate che la voce sospetta sia stata effettivamente eliminata, fate una scansione con AD-AWARE SE ed eliminate tutte le voci riferite a CoolWebSearch e usando about:buster ripristinate le impostazioni normali di Internet Explorer ... Fate uno scan con HijackThis e controllate che sia tutto a posto...
A questo punto il problema dovrebbe essere davvero eliminato... Credo... Spero
____________*****************_______________
La soluzione che ho trovato mi ha dato su 30 casi un esito positivo e solo in 2 casi il problema si è ripresentato ma in forma nettamente ridotta.
Il programma utilizzato è hijackthis ed elimino sempre queste chiavi:
TUTTE quelle dove appare about blank
TUTTE quelle dove appare la libreria dinamica se.dll
Le ultime due, le 018 o 017..
Ora, questo non è sufficiente.
Prima svuotiamo la cartella temporanea di windows e assicuriamoci che il file se.dll venga cancellato.
Se non ci riusciamo avviamo il sistema con un floppy e in DOS eliminiamo suddetta libreria.
E' necessario creare un file fantasma da 16Kb e rinominarlo in se.dll.
Lo copiamo nella cartella c:\windows\temp e cambiamo gli attributi in sola lettura e nascosto.
Ora riavviamo il sistema e appena si sarà ricaricato il S.O. apriamo Internet explorer e andiamo a cambiare la pagina iniziale da about blank in quella che preferiamo.
Chiudiamo e riapriamo I.E. e il problema è risolto.
Se non funziona è perchè si possono verificare due casi particolari.
Il primo:
il sistema è infetto anche da altri Trojan che aiutano questo a ripristinarsi ma è un caso davvero raro.
Il secondo:
L'internet Explorer punta ad un'altra cartella temp.
____________*****************_______________
1. ho cercato in Trova i file *.dll che contengano il testo "about:blank" trovando un file (nel mio caso dkbn.dll, in windows/system32) che lo conteneva e che risaliva al momento dell'infezione.
2. utilizzando l'utility regsvr32 (windows/system32)l'ho eliminato (bisogna andare in dos e dare regsvr32 -u dkbn.dll nel mio caso). Messaggi di conferma ti diranno che l'operazione ha avuto successo.
3. rimuovere ogni riferimento con regedit nel registro, della parola dkbn ( il mio caso).
4. effettuare una scansione del pc che ti rimuoverà se.dll e rimuovere ogni rif. sul registro di se.dll.
____________*****************_______________
Queste sono tutti i sistemi che ho trovati in Internet riguardanti l'eliminazione di ABOUT.BLANK (SE.DLL) ... Spero che con uno di questi riusciate a risolvere
==========================================
==========================================
Finalmente pare che questa sia la soluzione giusta,
andate su queste pagine:
http://www.ilsoftware.it/av.asp?ID=133
http://www.trojaner-info.de/anleitungen/hijackthis/about_bla nk.html
________________________________________
Ral, ha aggiunto in un post del forum:
Riporta:
Ho quasi risolto il problema di about:blank (se.dll), usando un file che si chiama "spsehjfix111" (trovato per caso..........)
Ha un effetto collaterale, qundo in fase di boot carica i file e librerie di sistema, mi viene fuori una bella crocetta rossa con scritto "non trovo se.dll".
---> il file è prelevabile da QUI
ISTRUZIONI TROVATE:
Creare una nuova cartella chiamandola spfix ,
Decomprimere SpSeHjfix111 in questa cartella.
Disconnettersi da internet (staccare il cavo telefonico) e chiudere TUTTI i programmi
Avviare 'SpSeHjfix'. e cliccare su "Start Disinfection".
Al termine il Pc verrà riavviato per portare a termine la pulizia e sarà
creato un log nella stessa cartella del programma..
Se non viene trovato nessun file SE o qualche "reinstallers" nascosto il sistema è pulito e non dovete procedere con il prossimo passo
Ecco tutto. BUONA FORTUNA!
|
|
Deeproad
Reg.: 08 Lug 2002
Messaggi: 25368
Da: Capocity (CA)
| | Inviato: 16-05-2005 18:49 |
|
|
ilNero
Reg.: 11 Apr 2003
Messaggi: 5388
Da: Napoli (NA)
| | Inviato: 22-05-2005 03:02 |
|
Grazie mille a Yusuke4.Ora sono definitivamente convinto che la soluzione al problema sia una tanica di benzina e un fiammifero.
_________________
Just a perfect day,
Ma starei meglio se tu non appoggiassi quella mano sulla mia spalla. |
|
mulaky
Reg.: 09 Lug 2002
Messaggi: 32104
Da: Catania (CT)
| | Inviato: 22-05-2005 10:53 |
|
che poi joe, è la soluzione che ti ho sempre dato io
_________________
What you fear in the night in the day comes to call anyway
Well darling if the shit came out then, I suppose that the shit went in
(A.D.) |
|
Marienbad
Reg.: 17 Set 2004
Messaggi: 15905
Da: Genova (GE)
| | Inviato: 22-05-2005 13:52 |
|
Il ringraziamento è d'obbligo (seppur la mia diffidenza verso il prossimo, mi esorti a mandarlo affanculo seduta stante); ma il procedimento è talmente complesso, che mi mi vien voglia di optare per una formattazione...
_________________
Inland Empire non l'ho visto e non mi piace |
|
|
0.127570 seconds.
|
