Hijack

[pierfilippo]

ciao a tutti,
nella pagina iniziale di explorer mi visualizza
http://4-counter.com/?b=dia

Con HijackThis.exe ho eliminato alcuni files, ma il problema persiste...

Ecco il log che mi da hijack:

Logfile of HijackThis v1.97.7
Scan saved at 11.47.35, on 30/07/03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\WSYS.EXE
C:\PROGRAMMI\ICRAFILTER\DATA\ICRASRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\HPSJVXD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM32\WINPROC32.EXE
C:\PROGRAMMI\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\PROGRAMMI\DEJAVU'\ANIAZPOPUP\ANIAZPOPUP.EXE
C:\PROGRAMMI\ICRAFILTER\ICRAUI.EXE
C:\WINDOWS\DESKTOP\NUOVA CARTELLA\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/italy/start
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HPSCANMonitor] c:\windows\SYSTEM\hpsjvxd.exe
O4 - HKLM\..\Run: [NAV Agent] c:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [windll] C:\WINDOWS\SYSTEM\wsys.exe
O4 - HKLM\..\RunServices: [ICRAfilter] C:\Programmi\ICRAfilter\data\ICRASrv.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINDOWS\SYSTEM32\WINPROC32.EXE
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - Startup: aniazPOPUP.lnk = C:\Programmi\deJavu'\aniazPOPUP\aniazPOPUP.exe
O4 - Startup: ICRAfilter.lnk = C:\Programmi\ICRAfilter\ICRAui.exe
O10 - Broken Internet access because of LSP provider 'icralsp.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = www.effesportsdesign.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.183.170.195,217.146.65.7,212.34.224.132

[coniglio]

controlla nel win.ini e nel regedit/hkeylocalmachine/software/microsoft/windows/currenteversion/run

[amvinfe]

la causa è questo hijacker CWS.Winproc32
scaricati da -links utili- è in Rilievo CWShredder, prima di lanciarlo chiudi tutte le applicazioni, broswer compreso, riavvia e posta un nuovo Log di HJT

questa stringa ne è il sintomo
O4 - HKCU\..\Run: [Windows Internet Protocol] C:\WINDOWS\SYSTEM32\WINPROC32.EXE

anche questo valore è da rimuovere
O4 - HKLM\..\RunServices: [windll] C:\WINDOWS\SYSTEM\wsys.exe
è un keylogger, accertati di non averlo installato tu
ma prima lancia CWShredder(!)

Internet Explorer è da aggiornare

[pierfilippo]

risolto...grazie1000

[amvinfe]

Originariamente inviato da pierfilippo
risolto...grazie1000

bene...prego1000