Infezione mywebsearch: come rimuoverla?

[marcoraiu]

salve a tutti potete aiutarmi non so come ,ma nellla barra di mozilla si è installata la toolbar:mywebsearch,non riesco a toglierla ,ho spuntato dove era in escuzione automatica ma niente in pannello di contollo non c'è,ma poi è pericolosa questo mywebsearch.
ho xp con service pack 3 gz.3.0-
grazie Marco.

[dubo]

titoòo modificato, la prossima volta la discussione verra' chiusa: come vedi non ci vuole una laurea in lettere e filosofia per scrivere un titolo che gia' descriva il problema, cosa che distingue un titolo non generico da uno generico, virus mywebsearch non descrive nulla..... grazie per l'impegno che sono certo profonderai in futuro.

per il tuo problema: disattiva il controllo real time del tuo antivirus,scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe , salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma non devi cliccare sull'icona del programma, clicca il tasto windows(logo bandierina)+R e nello spazio bianco di esegui copia e incolla questo comando, cosi' com'e':

"%userprofile%\desktop\combofix.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt

[marcoraiu]

tutto ok.
chiedo venia .ciaooooooooo

[LucAmazzone]

Grazie Dubo tutto chiaro. Fraintendimenti tipici delle relazioni on line...
Allora il mio problema lo conosci o per chi non lo conoscesse li invito a leggere la discussione [URL="http://forum.swzone.it/sicurezza/123596-my-web-search-disinstallato-ma-ancora-ce.html"]
Allego i file log di combofix e hjt
Spero in colpi di genio di qualcuno perchè io ho già dato il meglio di me invano

[dubo]

ciao Luca, dal log di combofix direi che la cosa e' risolta, da questa rimozione==> - - - - CHIAVI ORFANE RIMOSSE - - - -
HKLM-Run-My Web Search Bar - c:\progra~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL

c'e' comunque una voce in hijackthis che non va... procedi cosi': rendi visibili file e cartelle nascoste==> Come Rendere Visibili Cartelle e File Nascosti [MegaLab.it] , avvia nuovamente hijackthis, seleziona do a systemscan only, aggiungi la spunta accanto a questa voce:

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S e premi fix checked.
avvia il sistema in modalita' provvisoria, cerca ed elimina la seguente cartella evidenziata

C:\PROGRA~1\MYWEBS~1\

riavvia in modalita' normale, esegui nuovamente hijackthis ed allega il nuovo log.

p.s. e' importante che tu renda visibili file e cartelle nascoste.

[LucAmazzone]

Ho fatto come hai detto. Avevo già impostato per visualizzare file e cartelle nascoste. Da modalità provvisoria non ho trovato quella cartella ma neanche la cartella superiore "PROGRA~1"perciò ho il sospetto che ho sbagliato qualcosa nella ricerca, cioè l'ho cercata sia manualmente andando su C da risorse del computer, sia dal pulsante cerca. Comunque dal pulsante cerca ho trovato cercando MYWEBS due cockies con questo nome "luca@mywebsearch[2]" e poi cercando all'interno dei file ho trovato quelli che ti ho allegato nell'immagine e a parte i primi tre gli altri li ho messi nel cestino. Dopodichè ho scannerizzato con hjt da modalità provv e ho visto che ancora c'era la chiave incriminata, perciò l'ho fixata. Poi ho riavviato e il messaggio RUNDLL non è apparso ma nel log che ho fatto dopo ci stava di nuovo la chiave. Ora te lo allego. Credo la risoluzione del problema sia come hai intuito te nel rimuovere la cartella che dicevi, ma non saprei come fare a trovarla.

[dubo]

ciao Luca, esegui nuovamente combofix ed allega il nuovo log, mi serve per vedere lla situazione attuale del pc.

[LucAmazzone]

Fatto. Apparentemente non è cambiato niente dalla prima scansione di combofix. Appena fatta sembra tutto ok, anche nel log dihjt non appare più la key, poi riavvio e ancora non appare l'avvertimento RUNDLL ma nel log di hjt già è riapparsa la key, al terzo riavvio ecco di nuovo anche l'avvertimento RUNDLL

[dubo]

ciao Luca, scarica il file in allegato e trascinalo con la freccia del mouse sull' icona di combofix per una nuova scansione, allega il nuovo log generato.

[LucAmazzone]

Stavolta il messaggio RUNDLL non s'è fatto attendere...è ricomparso al primo riavvio!Sta sviluppando resistenza al combofix come i batteri agli antibiotici

[Luke57]

Ciao, proviamo a cambiare antibiotico allora. Scarica
malwarebytes

installalo e aggiornalo, poi fai una scansione completa del computer, eliminando le minacce trovate. Allega il report dello scan.

[LucAmazzone]

Ok però prima ti dico un'altra cosa. Inizialmente per rimuovere Mywebsearch ho fatto la scansione con Spybot e contemporaneamente avevo attivato il Guard di Avira, così quando spybot trovava e cancellava gli spyware tra cui Mywebsearch anche Avira dal canto suo cancellava altri pezzi di Mywebsearch...può essere che si sia creato qualche conflitto tra le due applicazioni che non ha permesso la rimozione pulita di Mywebsearch?Non saprei..la cosa che mi dà maggior sospetto è però il fatto che la key ogni volta si ricrea.
Detto questo proseguo a installare e scansionare con nuovo anti malware?Durante la scansione disattivo il guard di Avira ed esco da Spybot resident?A proposito Spybot resident era attivato durante la scansione con combofix ma quest'ultimo l'ha fatta senza segnalarmi errori, come al contrario ha fatto per il guard di Avira. Scusa queste mancanze ma sto acquisendo praticità man mano.

[Luke57]

Ciao, non importa disattivare antivir, fai la scansione con malwarebytes che, di solito, rileva ed elimina l'infezione in ogni sua componente.

[LucAmazzone]

Sto Mywebsearch è atroce, ho scansionato con malwarebytes, ha trovato ancora residui, l'ho rimossi, riavvio...e di nuovo il RUNDLL. Tra l'altro le chiavi infette stanno all'interno dell'Internet Explorer e di WMplayer che per quanto possibile ho disinstallato tempo fa con XPLite. ti allego il log. Ovviamente anche la key su hjt è di nuovo lì.

[Luke57]

Ciao, ma non l'hai rimossi (no action taken), riapri malwarebytes, selezione gli elementi trovati dalla scansione e premi il tasto "Rimuovi elementi selezionati".