hijacker CoolWebSearch Googlems [era: 2 icone maligne...non vanno via. help]

[WebDesign74]

mi appaiono 2 icone di collegamenti a internet sul desktop, si chiamano: "diet pills" e "play online" (qyest'ultimo ha come icona una stampante... e sarà un caso ma la mia stampante non funzia piu). Entrambi hanno come proprietà: tipo di file - collegamento a internet, e URL: http://www.idgsearch.com/Party+Poker.html (questo url mi si mette automaticamente come pagina di avvio).
Ho fatto un antivirus completo e ho fatto uno scan completo con ad-aware, ho anche rimosso manualmente le icone ma il problema si ripresenta continuamente.
Di cosa si tratta? come posso fare?
Grazie

[amvinfe]

Per quanto riguarda idgsearch.com la causa è una variante dell'hijacker CoolWebSearch Googlems, è una variante difficile da rimuovere. Ed è anche l'unica, se non ricordo male, che modifica o cancella i files di sistema.
Il mio consiglio è quello di farti aiutare da un'assistente HijackThis l'uso è intuitivo, l'unica raccomandazione è di usarlo SOLO se hai capito il suo funzionamento potresti cancellare files di sistema e compromettere così il funzionamento del tuo pc. Qualora non fossi sicuro dell'azione da intraprendere, copia nel 3d il risultato, in linea di massima comunque questi sono le voci da eliminare:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.idgsearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.idgsearch.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.idgsearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.idgsearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.idgsearch.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.idgsearch.com/iec
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.idgsearch.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.idgsearch.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.idgsearch.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.idgsearch.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.idgsearch.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.idgsearch.com/iec
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.idgsearch.com/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.idgsearch.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.idgsearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.idgsearch.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.idgsearch.com/
O2 - BHO: GoogleMS Search Helper - {79369D5C-2903-4b7a-ADE2-D5E0DEE14D24} - C:\Documents and Settings\Craig\Application Data\GoogleMS.dll

Verifica inoltre che all'apertura di Windows Media Player il funzionamento del player sia corretto e che il problema, dopo la sua apertura, non si ripresenti visto che CoolWebSearch Googlems corrompe alcuni suoi files.


Marco(amvinfe)

[WebDesign74]

grazie marco...
visto che sei esperto daresti un'occhiata a questo thread? :

http://forum.html.it/forum/showthrea...hreadid=561466

è spiegato meglio il problema.
Intanto cerco di togliere le chiavi di registro che mi hai indicato...

grazie ciao

[tittula]

Fai un bel backup non si sa mai.

[WebDesign74]

allora ho tolto con "hijackthis" varie "voci" sospette (tutte quelle che riportava amvinfe e che riportavano la scritta idgserarch, e qualche altra che secondo me non doveva starci. Ho fatto un backup come giustamente consigliava tittula. Ho cancellato con regedit le voci di registro che si riferivano a quei processi o comunque sospette (sysu,kxhpf ecc). Ho fatto antivirus e ad-aware e sembra tutto ok. Ho riavviato il pc e sembra che funzioni tutto.
Ora mi chiedo:
1) posso cancellare i backup?
2) devo fare qualche altro controllo?
3) visto che sono stato bucato alla grande (e non è la prima volta), significa che il mio firewall non è granchè (uso balckice dell ISS). Esiste una valida alternativa a zone alarm? (zone alarm non mi si installa va in conflitto con qualcosa e mi blocca il pc).


Grazie
Ciao

[WebDesign74]

c'è qualcuno???

mi continuano ad apparire maledette icone sul desktop.. le 2 solite e ora anche un certo "iwordi" che compare anche nella barra delle applicazioni e nei processi di taskmanager...
non so piu come fare, aiutatemi

[davdie]

Hai fatto come ti hanno detto passo per passo?

[seclimar]

avvia in modalità provvisoria...
togli dal registry i riferimenti (con le chiavi che ti ho detto )

e riavvia...
non dovrebbero ripartire!

[WebDesign74]

allora sono stato 2 giorni a combattere contro la peste che ha preso il mio pc.

Vi dico cosa ho fatto:
1) impostato punto di ripristino di windows a data in cui pensavo di non avere ancora virus, spyware,adware ecc (invece c'era già di tutto e di più)
2) antivirus completo e aggiornatissimo sia "norton" che "pc-cillin on-line", nessun virus trovato
3) scansione completa con ad-aware 6 professional aggiornato e con "pestpatrol", tds3 ecc.. rimosse tutte (ed erano tante!) le voci sospette o infette.
4) sistemazione del registro con "regsupreme", sistemate circa 100 chiavi e valori di registro che erano sbagliati
5) scansione con "hijackthis" e rimozione di tutte le voci in cui figura la dicitura "idgsearch".

A questo punto sembrava fosse tutto risolto, ma oggi vado per collegarmi ad internet e appena mi connetto si carica una pagina, indovinate quale? idgsearch.com! e appaiono sul desktop le due maledette icone "play online" e "diet pills".
Così faccio fare di nuovo una scansione ad "hijackthis", e vedo che trova di nuovo tutte le voci che avevo tolto. Le ho ritolte ma tornano sempre.
E adesso???
aiutatemi
grazie

(p.s. seclimar: ma qual chiavi mi avevi detto?)

[amvinfe]

Originariamente inviato da WebDesign74

A questo punto sembrava fosse tutto risolto, ma oggi vado per collegarmi ad internet e appena mi connetto si carica una pagina, indovinate quale? idgsearch.com!...Così faccio fare di nuovo una scansione ad "hijackthis"... Le ho ritolte ma tornano sempre.
E adesso???
aiutatemi
grazie

(p.s. seclimar: ma qual chiavi mi avevi detto?)

Magari ti sarari accorto che giorni fa ti avevo modificato il titolo del 3d, ovviamente non a caso
Quando ti ho chiesto di postare il risultato della scansione di Hijackthis il motivo c'era. In poche parole ti si è installata una variante di CoolWebSearch, che fra le altre cose non è così facile da rimuovere se non sai cosa rimuovere.
Scaricati cwshredder.zip , fai click su "scan only" ti verranno elencate le voci presenti sul tuo pc riferite a CoolWebSearch, clicca poi su "Next" ti verranno eliminate in automatico tutti i riferimenti che questa variante ha installato.

IMPORTANTE!!!
Prima di lanciare cwshredder.zip TUTTE (!) le finestre sul computer DEVONO eesere chiuse, l'unica finestra che DEVE essere presente è quella di cwshredder. NON DEVI essere connesso ad internet!!!
Spero tu segua alla lettera le indicazioni


Marco(amvinfe)