win32ncasespy

**amvinfe** · 07-09-2004, 00:37

Come prima cosa, metti HijackThis all'interno di una nuova cartella.
Scaricati AdAware da -links utili- è in Rilievo.

Apri la task manager (CTRL+ALT+CANC) e termina questi processi
D:\Program Files\Winad Client\Winad.exe
D:\Program Files\Winad Client\WinClt.exe
D:\Programmi\Web_Rebates\WebRebates1.exe
D:\Programmi\Web_Rebates\WebRebates0.exe

Chiudi tutte le eventuali finestre di altre applicazioni. Apri HJT lancia la scansione e metti la spunta al fianco dei seguenti valori, clicca su Fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cus...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cus...//www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - D:\WINDOWS\System32\nvms.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll (file missing)
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - D:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [Winad Client] D:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [WebRebates0] "D:\Programmi\Web_Rebates\WebRebates0.exe"
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...cafa03db
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (AxisCamControl) - http://caldarulocam.webstudioitalia...sCamControl.ocx
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/605157.exe
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab

Elimina il contenuto della cartella Temporary Internet Files
Elimina il contenuto della cartella TEMP

Riavvia in modalità provvisoria
Elimina
D:\Program Files\Winad Client \Winad.exe <==la cartella
D:\Program Files\Winad Client \WinClt.exe <==la cartella
D:\Programmi\Web_Rebates \WebRebates1.exe <==la cartella
D:\Programmi\Web_Rebates \WebRebates0.exe <==la cartella

Sempre dalla provvisoria Apri Adaware e lancia una scansione, elimina tutti i valori infetti.

Riavvia e posta un nuovo log di HJT

Discussione: win32ncasespy

Strumenti discussione

Ricerca discussione

Visualizza

Visualizzazione discussione

Permessi di invio