CWS Trojan

[Messia]

CWS è una trojan che modifica la pagina iniziale di Explorer e prende informazioni importanti dal computer (tipo cookies). Al posto della vostra pagina inserirà una sua pagina che porta a diversi siti, tutti affiliati a coolwebsearch: in cambio questi pagano per click coolwebsearch. Questo trojan è simile di quello del datanotary.com: quando apre queste pagine web nel vostro PC viene scaricato un trojan.


Nel versione originale, la pagina iniziale e quella di ricerca vengono trasformati in codici e simboli per nascondere e confondere il loro vero nome. Di solito non sono domini contenuti in liste nere. IE carica facilmente quelle pagine che contengono trojan.


Un file eseguibile è chiamato bootcinf.exe, viene copiato nella cartella
\windows\system32\ e viene caricato ad ogni riavvio. Potete anche eliminare questo file, ma nel momento in cui vi ricollegherete al sito dove sono contenuti questi trojan (anche siti di loghi e suonerie) viene scaricato di nuovo in automatico.
Nelle variazioni recenti viene installato anche un piccolo web server: contiene un file che si chiama svchost32.exe. Questo aggiunge vari indirizzi di Google (google.de, google.ch, google.ca, etc), search.yahoo.com e search.msn.com nel HOSTS file.

Passiamo alla soluzione. La soluzione è molto semplice: si tratta di ricorrere a Ad-aware. Una volta scaricato e fatto partire, guardate quello che troverà: vi saranno delle chiavi di registro che potete cancellare subito. Ma in particolare nella cartella system32 vi sarà una dll (segnalata comunque da ad-aware). Cancellate la DLL tranquillamente e reimpostate poi la vostra pagina iniziale su Internet Explorer. Tutto qua. Avrete risolto il problema

La dll può essere anche trovata andando nella cartella system32, visualizzando i file per data, e vedrete che si tratta della più recente. Ma accertatevi sempre che sia quella indicata da Ad-aware.

By Un Trucco al Giorno