CoolWWWSearch.Leftovers

[fenomenov]

Allora, inzio con il dirvi che sto diventando pazzo.

Mi sono fatto e strafatto mille guide sugli spyware, ad-ware, malaware, porcaware, e mannaggiaware.....



Il mio problema è questo, anche se non faccio niente vicino al computer mi si apre una finestra con scritto warning e con un msg dentro che mi dice di comprarmi uno spyware... etccc

Ok individuo il problema,

scarico qualsiasi software per toglierli, e c'è sempre ... porca miseria mi ricompare sempre, vi dico ora che configurazone ho e cosa mi succede:



Ho windows xp service pack 2 con firewall attivato

Ho nod32 con antivirus

Ho installato il malaware di microsoft

Ho xp-antispy

Ho Spyware Blaster

e ho messo SpyBot- Search e Destroy (aggiornato e tutti il resto)



Ma questo finestra mi esce ancora.

A dire il vero spybot trova qualcosa:

lo chiama CoolWWWSearch.Leftovers, vado io lo correggo, immunizzo tutto.

Ma dopo mi esce lo stesso sto caz di warning, e vado in spybot e me lo ritrova.

Allora ho pensaot che era spybot che none ra buono, e scarica adware della lavasoft, ma sempre la solita cosa, mi trovano qualcosa e lo tolgono, ma questo qualcosa rispounta sempre.



Vi prego aiutatemi, sono disperato.

(Spero soltanto che non mi conisgliate altri mille software perchè li ho provati quasi tutti, almeno i migliori credo)

Aiutatemiiiiiiiii

 

[enonva]

vediamo se è questo:

da pannello di controllo-> strumenti di amministrazione clicka su servizi cerca messenger tasto destro arresta, fatto questo di nuovo proprietà scegli disabilitato applica

 

[enonva]

in alternativa prova con questo http://www.intermute.com/spysubtract/cwshredder_download.html

 

[fenomenov]

enonva è la prima cosa che ho tolto il messenger.

poi quel programma che mi hai detto, è un altro spybot, o è appropriato solo per il CoolWWWSearch.Leftovers che ho io?

 

[enonva]

bene per messenger... :)

la seconda che hai detto:D prova ;)

 

[Lan_Admin]

Rendiamogli la vita difficile

Ciao Fenomenov, segui con attenzione quello che ti posto e dovremmo venirne fuori...
Avviato il pc, esegui SpyBot e fagli eliminare ciò che trova, poi vai su Start (o avvio) e clicca su 'esegui'.
nel riquadro scrivi 'regedit' e poi premi il tasto invio, così ti ritroverai a navigare nel registry di Windows.
Premi sulla tastiera in contemporanea i tasti 'ctrl' + 'f', ti apparirà un quadro di ricerca, scrivi 'sp.reg' e premi il tasto invio.
Quando la ricerca si arresta se nella parte destra del registry editor c'è una chiave con questo nome eliminala pure, per cercare altre con lo stesso nome premi il fasto 'F3'.
Quando la ricerca si ferma dopo aver trovato una chiave sulla parte destra dell'editor, guarda sulla parte sinistra del registry editor (dove ci sono le cartelline gialle), e vedi se tale chiave si trova nella cartella "5603". Se la trovi allora, tombola!
Questa cartella è una sottocartella di "ACMru", che a sua volta si trova nella cartella "Search Assistant".
Fai un solo clic (mouse sx) su tale cartella (Search Assistant) ed appena diviene selezionata (colore blu), premi il tasto "canc" o "del" sulla tastiera per eliminarla.
Chiudi il registry editor, assicurati che in windows puoi visualizzare tutti i tipi di file (es. in win XP vai in "risorse del computer", clicca sul menu "strumenti" ed ancora su "opzioni cartella", scegli il tag in alto "visualizzazione" e clicca nella finestra per attivare l'opzione "visualizza cartelle e file nascosti")
vai nella cartella del sistema operativo (probabilmente "windows"), visualizza i dati presenti con i dettagli ed ordinali per nome. Ora scorri fino a trovare e quindi cancellare i seguenti files (potresti non averli tutti, non preoccuparti):

HDM.EXE
IVF.EXE
TOOL.EXE
HOSTS
TEST
HAM.HTML
POPUT.HTML
UCL.HTML
SP.HTML
DESKTOP.HTML

cancella anche tutti i file con estensione finale ".tmp" (qualcuno potrebbe non cancellarsi, fa nulla).

Ora clicca su start (o avvio) e poi su "cerca", cerca un file che si chiama "sp.dll". Nei campi di ricerca attiva l'attivabile (cerca sottocartelle, cerca in file nascosti, ecc..). Una volta trovato, guarda in che cartella si trova (si chiamerà sicuramente "temp") ed elimina tutta la cartella. Ora chiudi tutto e vai su "risorse del computer", apri il disco "c", dovrebbe esserci una cartelle che si chiama "Desktop", bisogna eleminarla. Se non la elimina, apri il task manager e ferma i servizi che ti sembrano strani e quelli che si chiamano "SP", poi ritenta.
Stai attento a non aprire questa cartella, potrebbe fare un casino!!
Se comunque ancora non si elimina dicendoti che è una cartella di sistema, procedi così:
clicca su "Start" e poi su "esegui", scrivi il comando "cmd", premi invio, ora sei al prompt di Dos, scrivi "c:\" e premi invio, ora scrivi "rd desktop" e premi invio, ora scrivi "exit" ed invio per finire, cancellata!
Cancella tutti questi files ed abbi cura di non farci doppio clic sopra, mi racc.

Ora cerca un file che si chiama "sexxx.exe", utillizza il "cerca" di windows, nel campo di ricerca scrivi "sexx*.*", avvia la ricerca e cancella tutto ciò che eventualmente salta fuori.

Ora vai al cestino ripulisci tutto.
Spegni windows e riavvialo in modalità provvisoria (premi il tasto "F8" al riavvio dopo la fase di post).
Appena riavviato, fai un nuovo scan con SpyBot, elimina ancora quello che potrebbe trovare, appena finito con SpyBot esegui il programma Hijackthis ed elimina tutto ciò che fa riferimento ad "about:blank", a "dll" che si trovano in directory temporanee ecc. Insomma, rimuovi ciò che non ti convince ma, occhio ;-).
Vai ora al "Pannello di controllo" ed apri "Opzioni Internet", dalla finestra che si aprirà clicca su "Cancella Cookies", poi su "Elimina File" ed infine elimina la cronologia. Chiudi.
Dovresti aver decapitato il nostro amico coolwww anche se protrebbero essere rimasti feriti sul campo, per esempi il tasto dx del mouse sul desktop di windows potrebbe non funzionare, così come pure il comando "proprietà" del menu "file" ecc. Controlla anche il funzionamento dei vari programmi (pacchetto office e winword soprattutto), se tutto funziona bene, altrimenti reinstalla il SP2 di WinXP e successivamente i software che "contano vittime"...

Fammi sapere, Ciao.

 

[AxelIce8]

Complimenti Lan Admin....
Il mese scorso avrei pagato per una giuda così, ho dovuto combattere un mese fa appunto con sta belva disumana ...per un click in una finestra pop-up che è apparsa come per magia al momento sbagliato con il tasto ok sotto la freccetta del muose, roda da matti :blink: :mad: :grrr:
Alla fine è caduto lui, ma ho dovuto seguire manualmente tutte le sue tracce(non avendo la guida) e la cosa mi ha fatto venire un gran mal di testa.

Se posso ci metterei il becco anche io, ti consiglierei anche spy sweeper che ha degli scudi che risultano molto utili...

Poi se non ricordo male c'è anche una cartella sotto windows, sempre con la protezione per non cancellarla e una serie di file numerici casuali 0043257234.??? (non mi pare che lan ne abbia parlato)

Ricordo anche che in TM ci sono dei processi "invisibili" in esecuzione da terminare, dico invisibili perchè sono caricati e si chiudono a velocità elevatissime e per questo in TM si vedrà solo una gran confusione, per quello che riguarda questi processi maledetti e impossibili da terminare poichè non selezionabili per questioni di velocità, per fermarli bisogna terminare (con tutti i processi correlati) un processo molto simile al servizio di win (svchost.exe) che si chiamerà svhost.exe o schost.exe (non ricordo bene dovrei dare un occhi agli appunti), si fermerà tutto il trambusto... e dovresti poter eliminare la dll che ti diceva admin senza usare il prompt.
Poi ti consiglierei di terminare tutti i processi attivi che non riconosci e che ti sembrano sospetti, al limite win si riavvia.
Equipaggiati con un software potente per fare pulizia dei registri e falla dopo aver eliminato i vari flie.
c'è un file .cab da qualche parte e una cartella nei temporanei internet contenente la malefica dll del servizio sopra citato, che riapparirà appena dopo che è stata cancellata, io lho sostituita con un file è l'ho resa intoccabile proteggendo il file.

Il punto forte di sto mostro è la sua capacità di rigenerarsi, agisce da molte parti contemporaneamente e, se si dimentica anche solo una di queste cose attive rigenera tutte le altre, in un lampo.

Io dopo la rimozione non ho avuto problemi di nessun genere, ho impiegato diverse ore per una rimozione chrurgica del ospite indesiderato, ma almeno non ho danneggiato il sistema(che è quello che sto usando ora) e non ho dovuto reinstallare nulla.

Ti h orisposto per quello che ricordavo, se non dovessi riuscire faccelo presente, io e admin l'abbiamo cacciato via a calci, ti sapremo aiutare sicuramente, poi in caso cerco i miei appunti in merito e ti dico anchè qual'è l'ordine delle operazioni e tutti i nomi e le posizioni dei file (che erano parecchi e tutti nascosti).

Ricordo anche la presenza di qualche cosa in esecuzione automatica, non eliminarlo, modifica il percorso e aggiungi in testa un "REM " in modo da far pensare all'intruso che non deve intervenire perchè la sua stringa cè ed è corretta, ma il sistema all'avvio la ignorerà.


Non disperarti, non è immortale come sembrerebbe!!!

(Se il creatore di questo bolide per caso stesse leggendo gli faccio i miei complimenti per l'ingegno dimostrato)

 

[AxelIce8]

Dimenticavo, per caso tu sapresti dirmi dove cavolo l'hai preso sto mostro..
Io per l'incazzamento:grrr:che mi ha fatto venire non l'ho messo via per guardarlo più a fondo in un secondo momento, appena ne sono venuto a capo calci nel culo e via... ma ora mi piacerebbe metterci le mani sopra:shifty: