Una Dll Pericolosa

[Maurizio87]

Preso da 'unTruccoAlGiorno'

Una dll pericolosa…

Trucco del 16-6-2004

 

 

Buongiorno,

 

oggi torneremo sull'argomento "modifica pagina iniziale", parlando in dettaglio di CWS. CWS è una trojan che modifica la pagina iniziale di Explorer e prende informazioni importanti dal computer (tipo cookies). Al posto della vostra pagina inserirà una sua pagina che porta a diversi siti, tutti affiliati a coolwebsearch: in cambio questi pagano per click coolwebsearch. Questo trojan è simile di quello del datanotary.com: quando apre queste pagine web nel vostro PC viene scaricato un trojan.

 

 

Nel versione originale, la pagina iniziale e quella di ricerca vengono trasformati in codici e simboli per nascondere e confondere il loro vero nome. Di solito non sono domini contenuti in liste nere. IE carica facilmente quelle pagine che contengono trojan.

 

 

Un file eseguibile è chiamato bootcinf.exe, viene copiato nella cartella

\windows\system32\ e viene caricato ad ogni riavvio. Potete anche eliminare questo file, ma nel momento in cui vi ricollegherete al sito dove sono contenuti questi trojan (anche siti di loghi e suonerie) viene scaricato di nuovo in automatico.

Nelle variazioni recenti viene installato anche un piccolo web server: contiene un file che si chiama svchost32.exe. Questo aggiunge vari indirizzi di Google (google.de, google.ch, google.ca, etc), search.yahoo.com e search.msn.com nel HOSTS file.

 

Passiamo alla soluzione. La soluzione è molto semplice: si tratta di ricorrere a Ad-aware.. Una volta scaricato e fatto partire, guardate quello che troverà: vi saranno delle chiavi di registro che potete cancellare subito. Ma in particolare nella cartella system32 vi sarà una dll (segnalata comunque da ad-aware). Cancellate la DLL tranquillamente e reimpostate poi la vostra pagina iniziale su Internet Explorer. Tutto qua. Avrete risolto il problema :)

 

La dll può essere anche trovata andando nella cartella system32, visualizzando i file per data, e vedrete che si tratta della più recente. Ma accertatevi sempre che sia quella indicata da Ad-aware.

 

Per saperne di più su trojan, virus ed altro, vi consigliamo la nostra Enciclopedia Hacker, che dedica ampio spazio a queste tematiche :)

 

A domani!

 

Luigi Manzo

 

Avevo beccato anchio questo virus ma grazie a questo aiuto sono riuscito ad eliminare il virus!

[mauro742]

Una volta cercavo e proponevo trucchi per Untruccoalgiorno, quando ancora era poco conosciuta..ora invece i trucchi non mancano mai!

[Maurizio87]

non riesco a crederci, se faccio quel procedimento riesco a eliminare il virus..... ma dopo qualche ora ho lo stesso problema!

 

p.s. : qualcuno mi sa dire cosa sia una dll?

[mauro742]

Le dll sono delle librerie, file necessari al funzionamento dei programmi.

 

Non conosco questo virus ma...che versione hai di Explorer?

[Maurizio87]

Le dll sono delle librerie, file necessari al funzionamento dei programmi.

 

Non conosco questo virus ma...che versione hai di Explorer?

ho windows xp professional, e internet explorer 6.

Eliminando una dll rischio il mancato funzionamento del programma?

[madmauro]

se la dll serve per fanzionare un trojan nn fai funzionare il trojan .. se elimini una dll di un programma Vitale per il computer magari fai un po' di casino almeno che nn sia una dll che viene ricreata da windows dopo il controllo di avvio o dello scan disk...

[Maurizio87]

Niente da fare quel virus non se ne vuole andare, ho provato con 5 antivirus:

1)Norton SystemWorks

2)CheckBO

3)Spybot - Search & Destroy

4)Ad-aware 6.0

5)Stringer

6)CWShredder

E non riesco a eliminare il virus!

Basta mi arrendo!

[mauro742]

Cosa intendi dicendo che non riesci a rimuoverlo^?

[Maurizio87]

Cosa intendi dicendo che non riesci a rimuoverlo^?

appena riapro l'internet explorer riappare quella home page.

[Maurizio87]

NOVITA'.

Ci sono riuscito,non ho più il virus... mi serviva un piccolo programma. se volete vi metto il link del programma!

[Peppe]

Si, potrebbe essere utile

[Peppe]

Dovrebbe essere uno spyware che ti porta l'homepgae su una pagina di search giusto ?

 

E poi non dovrebbe farti mandare l'e-mail

 

Ma sti cosi come si prendono ? Tu come hai fatto a prenderlo ?

[Maurizio87]

Dovrebbe essere uno spyware che ti porta l'homepgae su una pagina di search giusto ?

 

E poi non dovrebbe farti mandare l'e-mail

 

Ma sti cosi come si prendono ? Tu come hai fatto a prenderlo ?

Non so come ho fatto a beccarmi questo virus (forse via posta dato che a mi fratello arrivano molte email strane, addirittura scritte in tedesco). Il Virus mi cambiava la home page con quella di myserchnow.com e ogni volta che aprivo l'internet explorer mi scaricava il trojan. il link non lo posso recuperare più perchè dovrei aprire di nuovo la pagina di myserchnow (e non ho tutta questa voglia di ribbeccarmi il virus) quindi vi spiego come fare:

Sul sito incriminato (http://www.mysearchnow.com/) clicca su help in fondo alla pagina. Ti si aprirà una finestra: scorrila e clicca sul link >How did Lop.com become my search engine?.

Ti apparirà una pagina sulle faq, clicca sulla scritta downloaded here e scarica il programmino che dovrebbe eliminarti la pagina iniziale indesiderata.