CoolWebSearch [era: rimuovere Command Desktop Advertising]

[Sgnafurz]

ciao
nel io computer, non so come, è presente un adware che si chiama Command Desktop Advertising che non fa altro che rallentarmi le prestazioni, aprire popup pubblicitarie e avvertirmi (bontà sua) che il mio pc è infetto da spyware consigliandomi un loro sito dove acquistare software contro le loro schifezze.

Se provo a eliminarlo da "installazione applicazioni", nominato come "command" mi apre una pagina web dove mi dicono di scaricare il loro uninstaller (un eseguibile) e io non ci penso neppure.

Adaware e kaspersky mi trovano l'adware e un sacco di trojan e worm da lui generati ma non riescono a debellarlo definitivamente.

Inoltre nei servizi di sistema non risulta avviato, ho pensato a un cmdService nelle chiavi di registro ma non ne trovo.

Qualche consiglio?

[Deifobe]

Ciao,
scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

Carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto .

[Sgnafurz]

ok eseguo e ritorno

[Sgnafurz]

ecco il link al report
http://www.savefile.com/files/1609524

[Deifobe]

lo controllo... mi ci vorrà un poco.. A dopo


edit:

il primo intervento è molto delicato e devi farlo con molta attenzione , senza sbagliare. Se stampi questa pagina è meglio.

ATTENZIONE a non eliminare altro a parte quello indicato, altrimenti il computer non sarà più in grado di riavviarsi!!!

Apri il registro -> Start / Esegui ,digita regedit e dai l'ok
Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Clicca su winlogon e, nella finestra a destra, trova "Userinit"

Nella colonna "dati" vedrai scritto:

c:\windows\system32\userinit.exe,C:\WINDOWS\system32\iftuyszv.exe,

Tutto quello scritto in rosso è la parte che dovrai eliminare

Fai doppio clic su "userinit" e, nella finestra che si apre, elimina solo

C:\WINDOWS\system32\iftuyszv.exe,
(virgola finale compresa)

Al termine della modifica, nella finestra deve esserci scritto esattamente :

c:\windows\system32\userinit.exe,

(virgola compresa, mi raccomando!)

Chiudi il registro, vai nella cartella C:\WINDOWS\system32, trova ed elimina il file iftuyszv.exe.

Riavvia il sistema


se qualcosa non ti è chiaro non toccare nulla e chiedi.

Fatto questo, procedi con la seconda parte... te la posto tra un po'.

[Deifobe]

Scarica Avenger, Norman Malware Cleaner, SmitfraudFix e CCleaner

Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\documents and settings\Proprietario\Menu Avvio\Programmi\Esecuzione automatica\Piylzq2tOn.lnk
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\rridsviv.exe
C:\WINDOWS\lfn.exe
C:\WINDOWS\mainms.vpi
C:\WINDOWS\accesss.exe
C:\WINDOWS\astctl32.ocx
C:\WINDOWS\cpan.dll
C:\WINDOWS\clrssn.exe
C:\WINDOWS\avpcc.dll
C:\WINDOWS\ctfmon32.exe
C:\WINDOWS\ctrlpan.dll
C:\WINDOWS\directx32.exe
C:\WINDOWS\explore.exe
C:\WINDOWS\editpad.exe
C:\WINDOWS\dnsrelay.dll
C:\WINDOWS\explorer32.exe
C:\WINDOWS\funniest.exe
C:\WINDOWS\funny.exe
C:\WINDOWS\gfmnaaa.dll
C:\WINDOWS\iedll.exe
C:\WINDOWS\helpcvs.exe
C:\WINDOWS\internet.exe
C:\WINDOWS\loader.exe
C:\WINDOWS\inetinf.exe
C:\WINDOWS\msconfd.dll
C:\WINDOWS\iexplorer.exe
C:\WINDOWS\msspi.dll
C:\WINDOWS\mswsc10.dll
C:\WINDOWS\mswsc20.dll
C:\WINDOWS\mtwirl32.dll
C:\WINDOWS\quicken.exe
C:\WINDOWS\olehelp.exe
C:\WINDOWS\qttasks.exe
C:\WINDOWS\notepad32.exe
C:\WINDOWS\rundll32.vbe
C:\WINDOWS\rundll16.exe
C:\WINDOWS\searchword.dll
C:\WINDOWS\sistem.exe
C:\WINDOWS\svchost32.exe
C:\WINDOWS\systeem.exe
C:\WINDOWS\svcinit.exe
C:\WINDOWS\users32.exe
C:\WINDOWS\time.exe
C:\WINDOWS\systemcritical.exe
C:\WINDOWS\waol.exe
C:\WINDOWS\win32e.exe
C:\WINDOWS\window.exe
C:\WINDOWS\winajbm.dll
C:\WINDOWS\win64.exe
C:\WINDOWS\x.exe
C:\WINDOWS\winmgnt.exe
C:\WINDOWS\xxxvideo.hta
C:\WINDOWS\xplugin.dll
C:\WINDOWS\y.exe
C:\WINDOWS\muotr.so
C:\WINDOWS\megavid.cdt
C:\WINDOWS\mssys.exe
C:\WINDOWS\default.htm
C:\WINDOWS\system32hljwugsf.bin
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\duvpjlal.exe
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\29.tmp

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{ce84f08e-fbd1-4193-9b44-bb72d01385a7}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{00110011-4b0b-44d5-9718-90c88817369b}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{086ae192-23a6-48d6-96ec-715f53797e85}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{150fa160-130d-451f-b863-b655061432ba}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{17da0c9e-4a27-4ac5-bb75-5d24b8cdb972}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{2d38a51a-23c9-48a1-a33c-48675aa2b494}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{2e9caff6-30c7-4208-8807-e79d4ec6f806}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{467faeb2-5f5b-4c81-bae0-2a4752ca7f4e}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{5321e378-ffad-4999-8c62-03ca8155f0b3}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{587dbf2d-9145-4c9e-92c2-1f953da73773}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{6cc1c91a-ae8b-4373-a5b4-28ba1851e39a}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{79369d5c-2903-4b7a-ade2-d5e0dee14d24}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{799a370d-5993-4887-9df7-0a4756a77d00}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{98dbbf16-ca43-4c33-be80-99e6694468a4}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{a55581dc-2cdb-4089-8878-71a080b22342}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{b847676d-72ac-4393-bfff-43a1eb979352}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{bc97b254-b2b9-4d40-971d-78e0978f5f26}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{cf021f40-3e14-23a5-cba2-717765721306}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{e2ddf680-9905-4dee-8c64-0a5de7fe133c}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{e3eebbe8-9cab-4c76-b26a-747e25ebb4c6}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{e7afff2a-1b57-49c7-bf6b-e5123394c970}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{fcaddc14-bd46-408a-9842-cdbe1c6d37eb}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{fd9bc004-8331-4457-b830-4759ff704c22}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880}

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Svuota C:\WINDOWS\Prefetch

da hjt fixa: O1 - Hosts: 5.86.201.246 svnvm (SE non lo conosci)

Avvia il PC in modalità provvisoria (*) ed esegui Norman Malware Cleaner.
Finita la scansione, viene generato un log sul desktop (che dovrai postare).

Sempre in modalità provvisoria, esegui SmitfraudFix. Seleziona l'opzione 2 (Clean) e premi invio (elimina i file infetti). Alla domanda "Registry cleaning - Do you want to clean the registry ?" digita "Y" e dai l'invio (rimuove tutto quanto associato con l'infezione - potrebbe reimpostare lo sfondo del desktop).
Il computer si riavviera' per completare il processo di pulizia (altrimenti riavvialo tu in modalita' normale). Sul desktop verra' visualizzato un file di testo che dovrai postare (lo trovi anche in C:\rapport.txt).

Posta il log di SmitfraudFix, quello di Norman Malware Cleaner e un nuovo systemscan.


(*) Per entrare in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria
(usa il tasto freccia ^).


ciao



(manca iftuyszv.exe)

[Sgnafurz]

questo è il link al report di Norman
http://www.savefile.com/files/1610540

questo è il link al report di smitfraud fix
http://www.savefile.com/files/1610543



il report del nuovo systemscan lo posto appena finisce.

cmq l'infezione sembra risolta ma il pc è ancora molto lento all'avvio e per caricare ogni applicazione ci impiega tantissimo.

[Deifobe]

cortesemente, elimina manualmente questo file
C:\WINDOWS\system32 => hljwugsf.bin
E svuota il cestino

Conosci questo? 10.65.0.59 servercsr.agricoltura
Comincia a fare un defrag.

Riguardo systemscan, dovrò guardare i servizi, qualcuno era "strano"... Come termservice o sysmonlog... Nel rapporto sembravano più "mischiati", non seguivano nemmeno una numerazione... Speriamo ora siano più comprensibili..

Vedremo..

[Sgnafurz]

ho eliminato il file e svuotato il cestino

10.65.0.59 servercsr.agricoltura: è un server di Bea Weblogic, l'ho creato io non è nulla di preoccupante

questo è il link all'ultimo report di systemscan
http://www.savefile.com/files/1611005

speriamo bene
grazie di tutto l'impegno Deifobe

[Deifobe]

ok
questa cartella cosa contiene ancora?? C:\WINDOWS\QWxlc3NhbmRybyBQYW5p

Esegui hijackthis, clicca su "Open the Misc Tools section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta voci e clicca su "remove selected".

Sempre da hjt, fixa qualche voce superflua, se vuoi:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programmi\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

...e mi sembra di vedere i servizi tutti ok.
vedi dopo la deframmenzazione come va.. Ricordati di riavviare quando finisce.

Ciao..