Sono impestato da adware vari e non c'e verso di eliminarli (alcuni esempi:"coolwebsearch","win32.psv.msnfaker","possible browser hijack attempt")

E' da ieri che faccio scansioni con il norton ,Sbybot e Ad Aware ma non riesco a liberarmene....tornano sempre sti bas####i.
Tra l'altro ho selezionato per sbaglio l'opzione del Norton per ignnorarli nella prossima scansione....come faccio a fargli cambiare idea?

Help!!!!

Prova con CWSHREDDER, se non funziona fai un log con HiJackThis.. A proposito, Spybot e AdAware erano aggiornati?

Originariamente inviato da andy276
Sono impestato da adware vari e non c'e verso di eliminarli (alcuni esempi:"coolwebsearch","win32.psv.msnfaker","possible browser hijack attempt")

E' da ieri che faccio scansioni con il norton ,Sbybot e Ad Aware ma non riesco a liberarmene....tornano sempre sti bas####i.
Tra l'altro ho selezionato per sbaglio l'opzione del Norton per ignnorarli nella prossima scansione....come faccio a fargli cambiare idea?

Help!!!!
Spy Sweeper!!!;)

http://www.emsisoft.com/en/

l'ideale è fare il back up dell'HD con ghost e quando la situazione diventa tragica fai un bel restore, impiegni meno tempo a ripristinare il sistema che a eseguire una scansione con i software anti spy ecc. accade poi che non riesci neanche ad eliminarli...

Intanto grazie a tutti per le risposte e ora vi faccio il punto della situazione.

Ho fatto diversi scan con diversi prodotti tutti aggiornati.

Norton:non mi rileva piu' nulla
CWShred: mi da tutto pulito
Spy Sweeper:Tutto pulito
Spy Bot: tutto pulito

Invece ogni santa volta che faccio uno scan con Ad-aware mi ritrovo il malefico coolwebsearch

Usando invece hijack this trovo parecchie cose ma non ho la minima idea di come interpretarle.
(non mi sembra pero' di trovare file simili a quelli in cui adawre trova coolwebsearch)


Cosa devo fare?

postare il log di haickthis....


ma ad-aware non te lo rimuove?

stai usando l'ultima versione?

hai provato da provvisoria?

Dunque

1)AdAware lo rimuove ma allo scan successivo lo ritrovo sempre.
(la versione di Adè la 1.03)

2)Cosa devo fare per la versione in modalita' provvisoria?:(

3)come faccio ad alegarti il log di Hijack this?
MI dice che il formato non è corretto.

Grazie ancora per l'aiuto.
Non è possibile che adaware rilevi un falso positivo?

Speriamo che funzioni!!

Originariamente inviato da andy276
Dunque

1)AdAware lo rimuove ma allo scan successivo lo ritrovo sempre.
(la versione di Adè la 1.03)

2)Cosa devo fare per la versione in modalita' provvisoria?:(

3)come faccio ad alegarti il log di Hijack this?
MI dice che il formato non è corretto.

Grazie ancora per l'aiuto.
Non è possibile che adaware rilevi un falso positivo?

Allora....la modalità provvisoria riuarda il computer e non ad aware.
Riavvia il pc.......qualche secondo prima che Windows si carichi, premi continuamente F8.
Poi secgli "modalità provvisoria".
La modalità provvisoria carica soltanto le informazioni basilari minime, quindi non preoccuparti se noti una grafica orrenda e dei file/programmi(internet ecc.) mancanti.
Uaa volta entrato in MP fai una scansione con ad aware e con l'antivirus(possibilmente non il norton, magari Bit Defender o AVG).
Per quanto riguarda il log di hijackthis, dopo aver scansionato, selziona il contentuo del log poi copialo e incollalo in un post....non inserire un allegato...
CiaO!:)

Rigrazie.

Provato in modalita' provvisoria con identici risultati:nessuno trova niente a parte Ad-Aware che trova 2 file con Coolwebsearch li elimina ma allo scan successivo si ripresentano idenmtici!!!


Per quanto riguarda Hijack this ho risolto usando il link (lo so...potevo pensarci prima....)postato ad inizio forum e ho eliminato tutto quello che mi dava come nasty.:muro:

. To reverse the changes to the registry


--------------------------------------------------------------------------------
WARNING: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified keys only. Read the document, "How to make a backup of the Windows registry," for instructions.
--------------------------------------------------------------------------------


Click Start, and then click Run. (The Run dialog box appears.)
Type regedit

and then click OK. (The Registry Editor opens.)


Navigate to the key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


In the right pane, delete any of these values, or any values that refer to the file names, which were detected as Trojan.Norio:

"Windows Update"="<file name>"
"service"="<file name> delete"
"service_ls"="<file name> delete"
"Network Service"="<file name> -sr -0"


Navigate to and delete the key:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinUpdate


Exit the Registry Editor.


Ho seguito tutte le istruzioni per la rimozione manuale ma devo dire che non ho trovato nessun cambiamento ceh dovrei trovare se ci fosse CoolWebSearch in giro.

andy...

dopo aver fatto ad-aware e un antivirus in provvisoria...


postaci il log di hijackyhis


è difficile consigliarti ad occhi chiusi

Me lo ero scordato Netquik!!!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\GetRight\getright.exe
C:\Programmi\GetRight\getright.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Downloads\hijackthis.exe
C:\Programmi\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programmi\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll


Vi/ti posto anche una coppia di quello che mi da AdAware


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment : CWS.FullSearch
Rootkey : HKEY_LOCAL_MACHINE
Object : system\currentcontrolset\enum\root\legacy_o?*001e*2019*017drt*00f1*00e5*00c8*00b2$*000e*00d3

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment : CWS.FullSearch
Rootkey : HKEY_LOCAL_MACHINE
Object : system\controlset001\enum\root\legacy_o?*001e*2019*017drt*00f1*00e5*00c8*00b2$*000e*00d3
<STOP>

strano il log mi sembra pulito...

ti consiglierei di fare uno scan con questo programma da provvisoria...

http://www.majorgeeks.com/download4289.html

Io direi di cambiare antivirus....è risaputo che il Norton ahimè........:(

Originariamente inviato da axxaxxa3
Io direi di cambiare antivirus....è risaputo che il Norton ahimè........:(


su questo non posso che essere d'accordo...

ma il problema se non sbaglio è che lo trova ad-aware

Originariamente inviato da axxaxxa3
Io direi di cambiare antivirus....è risaputo che il Norton ahimè........:(

con CWS non c'è antivirus che tenga :(

Originariamente inviato da Manp
con CWS non c'è antivirus che tenga :(
:D nah!:sofico:

Originariamente inviato da netquik
su questo non posso che essere d'accordo...

ma il problema se non sbaglio è che lo trova ad-aware

Verissimo è solo ad-aware che lo trova e ritrova sempre.

Spybot,Norton,CWS,SpySweeper e a quanto pare anche HijackThis trovano pulito.

L'unico che mi da' sto malefico CWS e' Ad-aware

X Netquik:

ho provato About buster e ti mando il log!

-- Scan 1 ---------------------------
About:Buster Version 3.0
Reference List : 15


ADS not scanned System(FAT)
Removed 2 Random Key Entries
Attempted Clean Of Temp folder.
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 3.0
Reference List : 15


ADS not scanned System(FAT)
Removed 2 Random Key Entries
Attempted Clean Of Temp folder.
Pages Reset... Done!

Originariamente inviato da axxaxxa3
:D nah!:sofico:

mi piacerebbe vederlo...

andy... fatto questo hai controllato se ad-ware trova ancora il data miner?

Originariamente inviato da Manp
mi piacerebbe vederlo...
Appena mi infettano :sofico:

Originariamente inviato da netquik
andy... fatto questo hai controllato se ad-ware trova ancora il data miner?

2 aggiornamenti

1)dopo lo scan con buster ho trovato ancora il bas####o

2)poi leggendo in giro ho trovato il suggerimento di permettere la visualizzazione dei file nascosti.
Fatto questo ho rifatto lo scan con adaware che ha trovatto un fracco di roba apparentemente non molto simpatica.
ho eliminato tutto e udite udite......:eek: allo scan successivo il figliastro di putt.....pare essere sparito

........per ora......
Speriamo.
Sto facendo scongiuri di tutti i generi!!!
Per ora un gran grazie!!!