PDA

Visualizza versione completa : CWShredder


Cecco
09-02-2004, 12.35.52
Stamane IE mi apre con la pagina "http://searchcentral.cc/index.php?V=
4&aff=2309" anzicchè con quella da me predefinita.
Ripetendosi poi il problema faccio una scansione con "Ad-aware" e "BPS
spyware-adware remover" e poi con l'antivirus. Tutto ok.
Apro il registro e dal percorso "HKCU\software\microsoft\internet explorer\main" elimino due voci relative alla pagina incriminata.
Poi mi viene di scansire anche con "CWShredder" ultima versione e
durante la scansione mi escono due messaggi, il primo recita:
"cwshredder will now remove cws.smartsearch (if present) from your system. Please close all notepad windows and the windows media player
before clicking ok. If you do not do this, any unsaved data in those
programs will be lost."
Non ho notepad e WMP aperti e dunque clicco su "ok" ed un ulteriore messaggio mi avverte: "killprocess "\notepad.exe".
Continua la scansione ed ecco il secondo messaggio: "cwshredder will now remove cwsmsconfig (if present) from your system. Please close msconfig (aka system configuration utility) before clicking ok. If you do not do this, any unsaved settings in msconfig will be lost."
Bah, clicco su ok e la scansione continua senza indicare alcuna infezione. Ma ripetendo la scansione tutto ricomincia. Avete qualche idea? Fatemi sapere, ciao

Cecco
09-02-2004, 18.17.43
Sono ricompare le due voci nel registro di cui al percorso descritto:

-http://searchcentral.cc/search.php?v=4&aff=2309

-http://searchcentral.cc/index.php?v=4&aff=2309

Giorgius
09-02-2004, 23.22.38
Solite "mondezze" che girano nella rete (Dialer e simili).

Devi usare AdAware aggiornato all'ultimo database. ;)
http://www.lavasoftusa.com/italian/support/download/#free

davlak
09-02-2004, 23.44.24
There is a variant of the Coolwebsearch trojan spreading that closes several anti-spyware apps when you try to open them.
If this is happening to you, download PepiMK's CoolWWWSearch.SmartKiller removal tool first and run it. After it does its job, CWShredder and HijackThis will run properly (as well Spybot S&D, Ad-aware and several anti-spyware forums).
http://www.merijn.org/downloads.html
http://www.safer-networking.org/files/delcwssk.zip

inoltre puoi provare a usare spybot per la pagina iniziale:

http://www.wintricks.it/forum/showthread.php?s=&threadid=63068&highlight=pagina+AND+iniziale

ciao Cecco :)

Cecco
10-02-2004, 08.31.06
Originariamente inviato da davlak
There is a variant of the Coolwebsearch trojan spreading that closes several anti-spyware apps when you try to open them.
If this is happening to you, download PepiMK's CoolWWWSearch.SmartKiller removal tool first and run it. After it does its job, CWShredder and HijackThis will run properly (as well Spybot S&D, Ad-aware and several anti-spyware forums).
http://www.merijn.org/downloads.html
http://www.safer-networking.org/files/delcwssk.zip

inoltre puoi provare a usare spybot per la pagina iniziale:

http://www.wintricks.it/forum/showthread.php?s=&threadid=63068&highlight=pagina+AND+iniziale

ciao Cecco :)

Ciao dav, in effetti la cosa è piuttosto strana perchè nessun antispyware, benchè aggiornato, rileva anomalie. Lo stesso CWShredder
durante la scansione invia quei messaggi, ma solo precisando "se presente" poichè alla fine riporta per tutte le voci "non infetto".
Dunque l'anomalia sta solo in quelle due stringhe del registro che si ricreano anche dopo la cancellazione, infatti anche l'apertura di IE avviene ora normalmente con la pagina da me predefinita. Mah, ciao.

Giorgius
10-02-2004, 09.35.09
Usa "Hijackthis" ed elimina la stringa su Winzozzo incriminata. ;)
Con AdAware, altri sono riusciti ad eliminarlo tranquillamente.

Cecco
10-02-2004, 11.36.00
Originariamente inviato da Giorgius
Usa "Hijackthis" ed elimina la stringa su Winzozzo incriminata. ;)
Con AdAware, altri sono riusciti ad eliminarlo tranquillamente.

Sì, quella stringa l'ho già eliminata ma qualcosa che non ho ancora ben capito la fa resuscitare. Grazie comunque, ciao

Giorgius
10-02-2004, 14.58.41
Se hai Winzozzo XP:

Controlla su C:\Windows\System32\Drivers\Etc , se il file "Hosts" contenga come al solito, indirizzi IP strani (o perso il conto di quante volte ho postato questa risposta)...

Cecco
10-02-2004, 16.31.38
Originariamente inviato da Giorgius
Se hai Winzozzo XP:

Controlla su C:\Windows\System32\Drivers\Etc , se il file "Hosts" contenga come al solito, indirizzi IP strani (o perso il conto di quante volte ho postato questa risposta)...

Il file hosts contiene solo: 127.0.0.1 localhost. Ciao

Giorgius
10-02-2004, 17.46.39
Allora è a posto. ;)

davlak
10-02-2004, 18.44.47
Cecco prova a cercare nel registro:

update12.js

e vedi se hai quel file in \WINDOWS

Cecco
10-02-2004, 18.51.31
Originariamente inviato da davlak
Cecco prova a cercare nel registro:

update12.js

e vedi se hai quel file in \WINDOWS

Niente Dav, nè nel registro, nè in windows. Insomma alla fine mi pare d'esser sicuro di non essere infettato e la pagina d'apertura di IE è
quella da me impostata.
Rimane solo il mistero di quei riferimenti nel registro:

-http://searchcentral.cc/search.php?v=4&aff=2309

-http://searchcentral.cc/index.php?v=4&aff=2309

che, pur se eliminati, riappaiono.

Qualcun'altro se li ritrova? Ciao

Giorgius
11-02-2004, 00.00.49
Prova a leggere i messaggi lasciati su "Gruppi" di Google.it
Basta che copi uno dei 2 indirizzi che hai citato.

Cecco
11-02-2004, 12.11.49
Originariamente inviato da Giorgius
Prova a leggere i messaggi lasciati su "Gruppi" di Google.it
Basta che copi uno dei 2 indirizzi che hai citato.

Si certo, questa è una delle prome cose che ho fatto, qualche vago riferimento ma niente più. Ciao

Giorgius
11-02-2004, 12.33.30
Deve essere qualcosa rimasto in un comando Java. ;)


Pestscan On-Line:
http://www.pestscan.com/

X-Cleaner On-Line:
http://www.spywareinfo.com/xscan.php


Prova anche a svuotare la Cache DNS. ;)

"Start" -> "Esegui" -> digiti "cmd", poi "INVIO"
Digiti "ipconfig /flushdns", poi "INVIO".

Risistemi la prima pagina che deve aprire IE e riavvi il Sistema.


Un Utility per la pulizia del caso: "Smart Protector - Internet Washer"
http://www.smartprotector.com/eraser/download.htm

Giorgius
12-02-2004, 00.11.58
CWShredder Problem
http://www.dslreports.com/forum/remark,9359455~mode=flat

Cecco
12-02-2004, 11.06.04
Grazie Giorgius. Ciao