PDA

Visualizza versione completa : CoowwwSearch.SmartSearch


roberto45
19-05-2005, 18.01.32
Questo un troiano che reindirizza Iexplorer ad una pagine e blocca la pagina di apertura del Browser su un sito. Sono riuscito con un utility a sbloccare la pagina iniziale, AVG non lo rileva ma SPYBOT lo riconosce ma non lo rimuove neppere al reboot. Ho usato CWShredder per tentare di rimuoverlo ma neppure lo riconosce. Qualcuno ha idea o consigli per procedere ?

roberto45
19-05-2005, 18.12.08
Perdonate il nome esatto COOLWWWSEARCH.SMARTSEARCH; alla ricerca con google mi propone coolwebsearch che potrebbe essere lo stesso troiano, ma non ne sono convinto. Curiosando sui siti ho trovato rifermenti a modifiche di directx ed explorer. Qualcuno ha avuto e risolto il problema. Ho aggiuno il sito al file HOSTS per evitare problemi ulteriori! Il computer infetto del solito amico pasticcione che navigava senza antivirus, hosts settato e pure senza firewall, inoltre si ostina ad usare il browser di guglielmo cancelli.

crazy.cat
19-05-2005, 20.12.25
Fai la scansione con hijackthis e posta qui il log che viene fuori.

Muttley
19-05-2005, 20.12.45
Prova con hijackthis, o Emco Malware Bouncer... se fai una ricerca sul forum trovi molte informazioni su entrambi ;)

MUT :D

roberto45
19-05-2005, 20.19.51
Con Emco Malaware non ha trovato nulla, in esecuzione automatica non c' nulla di sospetto ed il sito a cui punta secondo SPYBOT ZeroSpyWare.com. Prover con hijackthis anche se temo che sia un falso positivo visto che su questo malaware ho trovato molto poco !

Giorgius
20-05-2005, 12.15.45
Usa il Trial di "SpySweeper". ;)

roberto45
21-05-2005, 08.30.41
Ho eliminato ma non so come ! Come da ultimo suggerimento ho provato SPY SWEEPPER, ma non lo ha rimosso perch al successivo reboot SPYBOT lo ha ritrovato. Ho pasticciato con vari altri programmi di rimozione che o non lo rilevavano o mi informavano che c'era ancora e non potevano rimuoverlo perch era bloccato in quanto in uso. Alla fine ho rimosso tutti i programmi in esecuzione automatica e con TOOLBAR ho disattivato tutti i servizi, ho lanciato SPY SWEPPER che lo ha eliminato. Domanda: SPYBOT quando trova uno malware che non riesce a rimuovere chiede se si al successivo reboot si vuole lanciarlo; esso carica solamente servizi indispensabili tra cui sicuramente non explorer e COOLWWWSEARCH.SMARTSEARCH mi sembra sia un BHO e quindi collegato al browser. Qualcuno riesce a spiegarlo ?

Muttley
21-05-2005, 08.43.41
Scusa con Hijack non hai trovato nulla?

MUT :D

roberto45
21-05-2005, 09.04.53
S, questo:

Logfile of HijackThis v1.99.1
Scan saved at 20.40.31, on 19/05/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\SYMTRAY.EXE
C:\PROGRAMMI\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE
C:\HJ\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - -{A8E27F2B-ACF0-C15A-585C-6E675F5EE811} - (no file)
O2 - BHO: (no name) - -{BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - -{53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: (no name) - -{8E718888-423F-11D2-876E-00A0C9082467} - (no file)
O3 - Toolbar: (no name) - -{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Umail - {F93AE969-896D-4ADB-A0B9-C95FF22B996F} - http://gw.virgilio.it/b2c01.umail (file missing) (HKCU)
O9 - Extra button: ToolbarCop - {A349A035-E26F-454b-ABB4-5208E50E1BE7} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: ToolbarCop - {A349A035-E26F-454b-ABB4-5208E50E1BE7} - (no file) (HKCU)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab


Come vedi un posticciaccio senza fine !

Muttley
21-05-2005, 12.32.46
L'hai fatto analizzare qui (http://www.hijackthis.de/it)?

MUT :D

roberto45
21-05-2005, 13.40.04
Non subito, ci sono arrivato da solo visto che SPYBOT rilevava il file in uso anche sul reboot da lui sollecitato. Era evidente che era un file di sistema ma non mi aspettavo che venissu caricato il browser su cui erano agganciati i BHO. Quando ho ripulito il tutto sono passato sul sito ed ne ho avuto la conferma. Comunque mi sembra idiota caricare il browser prima di lanciare al reboot SPYBOOT. Guglielmo cancelli si fatto i soldi con i suoi errori!

roberto45
21-05-2005, 19.29.58
A quanto pare questa variante una rogna. La casa di SPYBOT ha reso disponibile un removal specifico che lo trovate a questa pagina:
http://www.safer-networking.org/minifiles.html

Forse sarebbe il caso di metterlo tra le NEWS.