hijacker a distanza di giorni

**maxximo** · 11-09-2004, 16:43

Salve,
ho un problema con del malware che non riesco ad eliminare del tutto.
ho un pc con win 2000 pro
Mi ritrovo l'home page di IE 6 impostata su un sitazzo
e mi ritrovo una cartella "Spex" nel disco C con dentro un file .cht
rimuovo la cartella manualmente,
eseguo Spybot e Adaware ed elimino tutto
ok
a distanza di un giorno mi ritrovo la home page reimpostata di nuovo e di nuovo la cartella Spex
Poi ho trovato nella cartella C:Winnt, con data recente
i files msxmidi.exe e msxmidi.exe.js con dentro uno script che inizia con "wscript.sleep(5000) ... ecc"
li elimino

Tuttavia, a distanza di un paio di giorni, mi ritrovo di nuovo l'odiosa home page e la cartella Spex (non c'è più msxmidi però)

Ora ho ririmosso il tutto
ho fatto girare HiJack This
e qui di seguito posto il log

Logfile of HijackThis v1.98.2
Scan saved at 15.37.52, on 11/09/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
.......
C:\WINNT\System32\WBEM\WinMgmt.exe
........
C:\WINNT\system32\internat.exe
.....
C:\WINNT\system32\wuauclt.exe
.....

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://www.heretofind.com/show.php?id=18&q=%s
........
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://www.heretofind.com/show.php?id=18&q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://my-find.com/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://security.kolla.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
..........
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
..........
O4 - HKCU\..\Run: [internat.exe] internat.exe
.........
O4 - Startup: PowerReg Scheduler.exe
........
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

C:\WINNT\web\related.htm
........
O14 - IERESET.INF: START_PAGE_URL=http://www.pcw.it
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
.........

Qualcuno puo essere così gentile da aiutarmi nell'interpretazione ??
Glene sarei molto grato

Discussione: hijacker a distanza di giorni

Strumenti discussione

Ricerca discussione

Visualizza

Visualizzazione discussione

hijacker a distanza di giorni

Permessi di invio