Benvenuto Ospite

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Cool www search.wcadw

Cool www search.wcadw

Opzioni

Topic Precedente · Topic Sucessivo

Maxdant70

Inviato: Saturday, January 06, 2007 9:17:07 PM

Rank: Member

Iscritto dal : 8/6/2006
Posts: 0

Tramite spybot seach&destroy rilevo questo spy nel PC che modifica 6 chiavi di registro relative a Internet Explorer. Infatti quando avvio il browser trova una pag. iniziale C\\secure... e anche modificandola non mantiene la modifica. Nonostante rimuova lo spy esso si rigenera. Mi potete aiutare..Grazie

Torna in alto

Sponsor

Inviato: Saturday, January 06, 2007 9:17:07 PM

Torna in alto

monsee

Inviato: Saturday, January 06, 2007 9:39:12 PM

Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971

Prova così:
1) disabilita il Ripristono configurazione di sistema;
2) vai in Modalità Provvisoria;
3) lancia Spybot in scansione;
4) elimina le voci che ti rileva;
5) torna in Modalità Normale e riattiva il Ripristino configurazione di sistema;
6) creati un "punto di ripristino" a cui poter tornare in caso di bisogno.

Torna in alto

Maxdant70

Inviato: Sunday, January 07, 2007 10:38:48 AM

Rank: Member

Iscritto dal : 8/6/2006
Posts: 0

Ho fatto come mi hai detto..In mod. provvisoria rileva lo spy con 3 modifiche al registro che ho corretto ma tornando in mod. normale non cambia niente.
Oltre a questo problema avevo il file C\windows\system32\autosys.exe che era sospetto e probabilmente collegato allo spy.
Tramite un altro forum ho fatto, dopo quello di cui sopra, questo:
-installato ed aggiornato AVG antispyware 7.5
-sono entrato in mod. provissoria e ho con smitfraudfix.cmd in pos. 2-clear ho fatto il regisrty cleaning.
-reboot in mod.provvisoria
-ho cancellato i files di C\windows\temp, C\documents&settings\"per tutti gli utenti"\impostazioni locali\temp
-da pannello di controllo ho cancellato i file temporanei e i cookies di explorer e tutti gli elementi sotto la scheda generale
-ho svuotato il cestino
-ho fatto lo scan con AVG che ha trovato dopo quasi 2 ore questo malware downloader.small.edu che ho eliminato
Tornato in modalità normale ho verificato explorer, ho modificato la pag.iniziale e mi ha tenuto la modifica ed inoltre il file autosys.exe non c'è piu
Ho creato il punto di ripristino e ho lanciato spybot s&d che mi trova coolwwwsearch.wcadw che però modifica solo 2 voci di registro. Non ho corretto il problema...Cosa pensi sia meglio fare?

Torna in alto

Maxdant70

Inviato: Sunday, January 07, 2007 10:39:57 AM

Rank: Member

Iscritto dal : 8/6/2006
Posts: 0

Torna in alto

Maxdant70

Inviato: Sunday, January 07, 2007 10:41:22 AM

Rank: Member

Iscritto dal : 8/6/2006
Posts: 0

Torna in alto

Maxdant70

Inviato: Sunday, January 07, 2007 10:47:46 AM

Rank: Member

Iscritto dal : 8/6/2006
Posts: 0

Torna in alto

Maxdant70

Inviato: Sunday, January 07, 2007 10:50:01 AM

Rank: Member

Iscritto dal : 8/6/2006
Posts: 0

Torna in alto

Maxdant70

Inviato: Sunday, January 07, 2007 10:50:58 AM

Rank: Member

Iscritto dal : 8/6/2006
Posts: 0

Torna in alto

a.roselli

Inviato: Monday, January 08, 2007 12:04:13 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,045

Scarica questo programma e leggi le istruzioni per inserire il tuo log
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175

alfonso_aiutamici@hotmail.it

Torna in alto

Maxdant70

Inviato: Monday, January 08, 2007 9:27:17 PM

Rank: Member

Iscritto dal : 8/6/2006
Posts: 0

Il problema penso di averlo risolto, infatti poi con spybot ho eliminato coolwwwsearch.wcadw poi ho fatto lo scan con cwshredder e lo spy è sparito.
In ogni caso ti chiedo se mi puoi controllare il lgo hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21.15.15, on 08/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\mcafee.com\agent\mcregwiz.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\programmi\mcafee.com\agent\mcdetect.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\TuneUp Utilities 2006\MxmOptimizer.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\devnz\gbpvr\GBPVRRecordingService.exe
E:\DATI\Downloads\Safety tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: GB-PVR Recording Service - devnz.com - C:\Programmi\devnz\gbpvr\GBPVRRecordingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programmi\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Programmi\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Grazie

Torna in alto

a.roselli

Inviato: Tuesday, January 09, 2007 12:00:31 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,045

Il log è pulito da spyware.

alfonso_aiutamici@hotmail.it

Torna in alto

Utenti presenti in questo topic

Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Cool www search.wcadw

Salta al Forum

Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Invia topic via Email

RSS Feed

Watch this topic

Stampa topic

Normale

Threaded