Condividi:        

problemi con CoolWebSearch

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

problemi con CoolWebSearch

Postdi pollicino » 21/03/05 20:36

Buongiorno a tutti. Ho subito un attacco dal famigerato CoolWebSearch. Non mi si schioda una maledetta about:blank dalla pagina iniziale. Inoltre, ogni tanto, senza apparente motivo, mi esce fuori il riquadro di accesso remoto (sempre con la connessione predefinita, però). Spybot, Ad Aware, CWShredder, Hijackthis niente hanno potuto: individuano il problema, ma non lo risolvono. Vi mando qualche log, sperando mi possiate aiutare a risolvere questi problemi, magari anche ricorrendo alla modifica delle chiavi di configurazione.

Scansione di Spybot:

CoolWWWSearch.Bootconf: URL di ricerca di IE (Modifica al registro, nothing done)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant=about:blank

CoolWWWSearch.Bootconf: Barra di ricerca di IE (Modifica al registro, nothing done)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar=about:blank

CoolWWWSearch.Bootconf: Barra di ricerca di IE (Modifica al registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar=about:blank

CoolWWWSearch.Bootconf: Pagina di ricerca di IE (Modifica al registro, nothing done)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page=http://www.google.com

CoolWWWSearch.Bootconf: Pagina di ricerca di IE (Modifica al registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page=http://www.google.com

CoolWWWSearch.Bootconf: URL di ricerca di IE (Modifica al registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant=about:blank

Scansione di Hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\DSKRFUOUI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\DSKRFUOUI.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\DSKRFUOUI.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\DSKRFUOUI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\DSKRFUOUI.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\DSKRFUOUI.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Name - {1CE2E300-99B2-11D9-AAF2-444553540000} - C:\WINDOWS\SYSTEM\MSTMP.DLL
O2 - BHO: (no name) - {42297BCF-9A01-11D9-AAF2-F65100FEAC8F} - C:\WINDOWS\SYSTEM\DSKRFUOUI.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\DOCNTROP.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.197,195.225.176.31
O18 - Filter: text/html - {42297BCE-9A01-11D9-AAF2-F6516FB20914} - C:\WINDOWS\SYSTEM\DSKRFUOUI.DLL
O18 - Filter: text/plain - {42297BCE-9A01-11D9-AAF2-F6516FB20914} - C:\WINDOWS\SYSTEM\DSKRFUOUI.DLL
pollicino
Utente Senior
 
Post: 109
Iscritto il: 19/02/05 20:14

Sponsor
 

Postdi *~Hayabusa~* » 21/03/05 20:44

Guarda qui e qui. Fai quello che c'è scritto, se hai problemi riposta.

Ps. se cercavi CoolWebSearch nel forum avresti trovato la risposta in 2 secondi ;)
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi pollicino » 23/03/05 11:33

In realtà avevo già dato uno sguardo ai link che mi hai segnalato. Ed anche le altre discussioni su CoolWebSearch non mi hanno aiutato. Sia Spybot che CWShredder individuano il problema ma non riescono ad eliminarlo. Per quanto riguarda Hijackthis, ho eliminato più volte la voce HBO (no name) ma quella si ripresenta puntualmente alla scansione successiva. Infine non ho notato voci sospette sulle chiavi di configurazione.
Qualcuno sa darmi una dritta? Per fornire ulteriori indizi, aggiungo che la pagina iniziale somiglia molto a quella di Google, ma si chiama “Quick Web Search”, anche se sulla barra degli indirizzi appare “about:blank”.
Inoltre, spesso quando mi collego, si scollega non appena apro internet explorer.
pollicino
Utente Senior
 
Post: 109
Iscritto il: 19/02/05 20:14

Postdi dado » 23/03/05 12:17

Ho letto su google che qcuno ha risolto semplicemente usando il ripristino di sistema ad una data precedente...

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi pollicino » 26/03/05 19:30

scusa l'ignoranza, ma che significa ripristinare il sistema a una data precedente?
pollicino
Utente Senior
 
Post: 109
Iscritto il: 19/02/05 20:14

Postdi dany » 26/03/05 19:44

è un metodo per tornare diciamo indietro a prima che capitasse il problema, ovvero ad una configurazione del sistema operativo precedente.
Per il metodo dipende dal sitema operativo che hai!
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi pollicino » 26/03/05 21:59

Un momento! Penso di aver finalmente individuato l’origine del problema. Vi prego di seguirmi, così potrete darmi una mano, a prescindere dal rispristino.
Dunque, dal pannello “Trova file” ho scovato sei o sette applicazioni create nell’ultima settimana, tutte con nomi strani e inserite nella cartella “System”. Sicuramente mi sono state rifilate da qualche pirata bastardo nel corso di una navigazione. Ho rimosso manualmente tutti i file, tranne uno che si chiamava “dwozf.exe”, che non si eliminava, e ogni volta che tentavo di farlo, usciva fuori il messaggio di “Accesso negato”.
Questo file veniva evidenziato nella scansione di Hijackthis, ma neanche questo riusciva a rimuoverlo.
Ho spento e riacceso il pc, e questo è quanto che è accaduto: le applicazioni eliminate poco prima, come per magia, si sono rigenerate. Quanto all’applicazione inamovibile, ha cambiato nome, ed ora si chiama “dwepl.exe”
Come faccio a togliere di mezzo ‘sto file?
pollicino
Utente Senior
 
Post: 109
Iscritto il: 19/02/05 20:14

Postdi pollicino » 27/03/05 10:10

Buona Pasqua a tutti.
C’è un particolare da aggiungere: ho aggiornato il mio Ad-Aware, che in effetti trascuravo da qualche settimana. Ho poi fatto la scansione, che ha rilevato diversi CoolWebSearch in azione. La cosa strana è che quando do il comando “fix”, si blocca tutto, già dalla fase "Quarantining".
pollicino
Utente Senior
 
Post: 109
Iscritto il: 19/02/05 20:14

Postdi dany » 27/03/05 10:58

:) Ciao, mi dici per favore che sistema operativo hai?
Inoltre ti chiedo , visto ad-aware non era aggiornato, spy bot lo è? ;)
Hai fatto l'aggiornamento windows update?
Sei sicuro di ciò che hai cancellato? Hai il firewall?
Scusa di tutte queste domande, ma sono utili, se vuoi risolvere il problema ;)
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi dany » 27/03/05 11:05

Ho controllato or ora il tuo log, e dice .... che noi hai il firewall, ma neanche l'antivirus, le cose sono tre ho non li hai o non sono attivati, oppure il programma Hijackthis è vecchio :)
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi pollicino » 29/03/05 11:34

Dunque. La situazione è questa: non ho ancora né antivirus né firewall (vedrò di scaricare al più presto ZoneAlarm). Ad ogni modo, questi strumenti servono solo a prevenire, più che a tirar via 'na frittata già fatta, no?
Il pc, appena riformattato, ha un windows '98 cui non ho ancora fatto l'update.
Al momento, ho Spybot e Ad-Aware, entrambi aggiornati all'ultimo secondo.
pollicino
Utente Senior
 
Post: 109
Iscritto il: 19/02/05 20:14

Postdi pollicino » 29/03/05 11:38

Comunque correggo una cosa. Non è che ogni tanto, appena collegato a internet, si stacca automaticamente. Mi succede una cosa, apparentemente meno grave: una volta collegato, e aperto IE, mi esce fuori il pannello di accesso remoto, come quando non è in linea. E tuttavia è ancora collegato. Infatti basta che premo invio, per far sparire il pannello, e tutto torna alla normalità.
Ad ogni modo ho fatto tutti i controlli possibili per verificare se ho un dialer. Non dovrei averlo.
pollicino
Utente Senior
 
Post: 109
Iscritto il: 19/02/05 20:14

Postdi pollicino » 29/03/05 11:41

Chiedo scusa per il messaggio a singhiozzi. E' che le idee mi vengono così, una alla volta...
volevo aggiungere della presenza di un altro fenomeno. Di punto in bianco, nonostante li abbia cancellati diverse volte, a fine navigazione vedo comparire nella mia cartella dei preferiti un bel pacchetto di dieci siti porno.
pollicino
Utente Senior
 
Post: 109
Iscritto il: 19/02/05 20:14

Postdi dany » 29/03/05 11:55

Ti consiglio di installare la più presto sia l'antivirus che i firewall. ;)
Aggiorna al più presto windows. ;)
Spy bot e ad-aware (fai una bella scansione da modalità provvisoria)
Raduna le ideee e poi dimmi come va! :)
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi pollicino » 29/03/05 18:28

Credo di aver risolto buona parte dei problemi. In modalità provvisoria sono riuscito ad eliminare definitivamente il file dw…exe e tutti i suoi figliocci.
Ho eliminato il file dll da hijackthis, e infine, sempre in modalità provvisoria, ho fatto correre tutti e tre gli antispyware, che in più riprese sono riusciti a ripulire tutto.
Il risultato è che la search bar clandestina è sparita.
L’unico problema rimasto è che ogni tanto appare il pannello di accesso remoto, senza che lo chiami. E poi c'è sempre quella cosa che appena collegato mi appare il pannello e sono costretto a premere invio per farlo sparire. Adesso proverò a navigare per un po’, così verifico se mi rimanda di nuovo a qualche search bar in automatico.
Comuque seguirò tutti i consigli, grazie...
pollicino
Utente Senior
 
Post: 109
Iscritto il: 19/02/05 20:14

Postdi Tomas Milian » 29/03/05 19:09

[quote="pollicino"]Dunque. La situazione è questa: non ho ancora né antivirus né firewall (vedrò di scaricare al più presto ZoneAlarm). Ad ogni modo, questi strumenti servono solo a prevenire, più che a tirar via 'na frittata già fatta, no? [quote]

E prevenire ti sembra una cosa da poco? :)

[quote="dany"]Ti consiglio di installare al più presto sia l'antivirus che il firewall. ;)
Aggiorna al più presto windows. ;)
[quote]

Fai assolutamente queste cose altrimenti ti ritroverai di nuovo nei casini! ;)
"Chi caca sotto la neve, pure se fa la buca e poi la copre, quando la neve se scioglie la m**da viè sempre fuori!"
Avatar utente
Tomas Milian
Utente Senior
 
Post: 211
Iscritto il: 18/02/05 20:25
Località: Roma

Postdi Tomas Milian » 29/03/05 19:11

pollicino ha scritto:Dunque. La situazione è questa: non ho ancora né antivirus né firewall (vedrò di scaricare al più presto ZoneAlarm). Ad ogni modo, questi strumenti servono solo a prevenire, più che a tirar via 'na frittata già fatta, no?


E prevenire ti sembra una cosa da poco? :)

dany ha scritto:Ti consiglio di installare al più presto sia l'antivirus che il firewall. ;)
Aggiorna al più presto windows. ;)


Fai assolutamente queste cose altrimenti ti ritroverai di nuovo nei casini! ;)
"Chi caca sotto la neve, pure se fa la buca e poi la copre, quando la neve se scioglie la m**da viè sempre fuori!"
Avatar utente
Tomas Milian
Utente Senior
 
Post: 211
Iscritto il: 18/02/05 20:25
Località: Roma

Postdi dany » 30/03/05 08:57

Così per sicurezza ogni tanto da start -> Programmi controlla se si è installato qualcosa di non rischiesto in esecuzione automatica; da strumenti del browser -> opzioni internet -> connessioni guarda se ci sono installate solo le tue connessioni.
Un'altro controllo che dovresti fare è con ctrl + alt + can ti fa vedere quali sono i programmi che girano in quel momento, inoltre fai tutto ciò che ti è stato consigliato e ricontrolla tutto dall'inizio in modo da verificare che non sia rimasto nulla sul tuo pc. Fammi poi sapere se hai ancora problemi. :)
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo


Torna a Sicurezza e Privacy


Topic correlati a "problemi con CoolWebSearch":


Chi c’è in linea

Visitano il forum: Nessuno e 55 ospiti