Condividi:        

Possibile soluzione Spyware

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

Possibile soluzione Spyware

Postdi Nikk » 01/01/04 15:24

Ho uno spyware nel pc, nonostante l'uso del software SpyBot non riesco a eliminarlo, cosa ne pensate se rimuovessi l'Explorer per poi reinstallarlo?
Nikk
Utente Senior
 
Post: 368
Iscritto il: 21/06/03 21:19
Località: Roma

Sponsor
 

Postdi JollyRogers » 01/01/04 16:34

Hai già provato con un altro software anti-spyware (ad esempio Ad-Aware o Spy Sweeper) ? :roll:
JollyRogers
Utente Senior
 
Post: 106
Iscritto il: 09/11/02 17:59

Postdi Dylan666 » 01/01/04 18:54

Rimuovere l'Explorer (operazione complicata) sarebbe inutile. Puoi provare o cn i software Scritti sopra (sempre ke quello ke hai usato tu sia stato aggiornato, xké x sw d quel tipo nel sito trovi liste da scricare quasi ogni 2 settimane) oppure dedicarti alla ricerca "manuale" del registro. Se poi lo spyware è un EXE vero e proprio ke tenta la connessione puoi facilmente individuare la cartella in cui s trova (e intanto impeditgli l'accesso al web) cn un firewall gratuito tipo ZoneAlarm (sezione download del sito).
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 02/01/04 10:00

Faccio una piccola aggiunta: suppongo ke lo spyware nn venga rimosso xké un file riaggiunge le kiavi x faro agire. Cn lo ZoneAlarm puoi cancellare l'eseguibile dopo averlo individuato mentre tenta d accedere a internet, ma una volta cancellato rimarrebbe cmq il registro "sporco" del riferimento allo script ke ri-generava le chiavi, e quest'ultimo continuerebe a restare su tuo HD (nulla d grave, ma noi siamo dei perfezionisti ;) ).

Per questo t consiglio d ri-fare una scansione del tuo PC cn AD-Aware, vedere i dettagli del tuo spyware fare un "copy to clipboard" e incollarli qui, così ke noi possiamo darti risposte + precise ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Esito scanning

Postdi Nikk » 02/01/04 13:06

Ho eseguito lo scan con l'Ad-aware, e qui vi riporto l'esito dello scanning CommonName RegValue Data Miner HKEY_CURRENT_USER:Software\Microsoft\Windows\CurrentVersion\Explorer\ "loader" . :aaah
Grazie
Nikk
Utente Senior
 
Post: 368
Iscritto il: 21/06/03 21:19
Località: Roma

Postdi Dylan666 » 02/01/04 13:26

Detto così ho toppo poche informazioni.
Per favore, vai nel registro d configurazioni dove t indica l'Ad-Aware e scrivimi precisamente cosa trovi: c dovrebe essre il percorso a un file
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Babe??????

Postdi Nikk » 02/01/04 16:52

:eeh: L'esito dello scan Ad-aware si ferma alla cartella explorer, all'interno della quale non ci sono chiavi CommonName, comunque ho letto che il CommonName è conosciuto anche come Babe, e di chiavi contenenti "Babe" ne ho trovate una: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E59C791-BABE-11d1-B526-0060085C418E}
Nikk
Utente Senior
 
Post: 368
Iscritto il: 21/06/03 21:19
Località: Roma

Postdi Dylan666 » 02/01/04 17:17

Spero ke t sia capito da solo, xké io nn c sono riuscito... :-?
Nella kiave HKEY_CURRENT_USER:Software\Microsoft\Windows\CurrentVersion\Explorer\ "loader" ke cos'è? Una sotto-chiave? Un valore? Un dato? Ma xké nn copi esattamente quello ke leggi nelle skermate????

Nikk ha scritto:all'interno della quale non ci sono chiavi CommonName, comunque ho letto che il CommonName è conosciuto anche come Babe, e di chiavi contenenti "Babe" ne ho trovate una: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4E59C791-BABE-11d1-B526-0060085C418E}


Questa me la devi proprio spiegare... Ma ke c'entra il CommonName?
E "Babe" lì dove lo hai trovato nn è un una parola o un nome... è un numero espresso in esadecimale ke vuol dire 47.806...

Qui lo spumante a capodanno a fatto male o a me ke nn t capisco o a te ke sei un po' fuori strada... :D Vedrai ke se strascrivi fedelmente quello ke trovi (magari proprio col copia e incolla) c intendiamo
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 02/01/04 17:25

Ora ho capito! "loader" è solo il nome del tipo d attacco del malware...
Ma la chiave HKEY_CURRENT_USER:Software\Microsoft\Windows\CurrentVersion\Explorer\ nn può finire lì, manca d sapere cosa è stato aggiunto...

Se premi sul destro sulla chiave incriminata viene fuori un menù la cui prima voce (ke ha il simbolo d una lente) permette d vedere tutti i dettagli.
leggerai una cosa "tipo":

Produttore:Possible Browser Hijack attempt
Categoria:Data Miner
Tipo di oggetto:Dato di registro
Posizione:-
Location:Software\Microsoft\Internet Explorer\Main "Search Page" ("http://www.searchforge.com/search.html")
Ultima attività:01-01-2004
livello di rischio:Medio
Commento:Possibile attacco incontrollato al browser
Descrizione:Possible attempt to control\redirect the browser. This object referrs to a "blacklisted" site.


A quel punto premi il tasto sotto "Copy to clip-board" e lo incolli qui!
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 02/01/04 17:39

Tanto x essere precisi copia anke quello ke leggi nella skermata come questa...

Immagine
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Nikk » 02/01/04 21:02

Ti riporto l'INTERO esito dello scanning:

Vendor: CommonName
Type: RegValue
Category: Data Miner
Object: HKEY_CURRENT_USER:Software\Microsoft\Windows\CurrentVersion\Explorer\
Comment: "loader"

Oltre lo slash dell'Explorer non c'è nulla
Nikk
Utente Senior
 
Post: 368
Iscritto il: 21/06/03 21:19
Località: Roma

Postdi Nikk » 02/01/04 21:51

In merito all'esito dello scanning, l'Ad-aware mi dà anche un collegamento per la definizione del CommonName eccolo http://www.doxdesk.com/parasite/CommonName.html
Nikk
Utente Senior
 
Post: 368
Iscritto il: 21/06/03 21:19
Località: Roma

Postdi Dylan666 » 02/01/04 21:53

Data la differenza nella quantità d informazioni fornite dai nostri rispettivi AD-aware suppongo ke nn siano entrambi della stessa versione. T consiglio quindi d aggiornare il tuo prog all versione 6 xkè in particolare x quanto riguarda gli spyware, avere software vekki x combatterli vuol dire nn poter intervenire in modo abastanza decisivo...

Cmq continuo a sostenere ke manca il valore additato come spyware (evidentemente in un'altra videata nella tua versione), xké d x sè ke esista la kiave HKEY_CURRENT_USER:Software\Microsoft\Windows\CurrentVersion\Explorer\ è assolutamente normale... Pertanto o mi copi un rapporto dettagliato e completo della parte incriminata da una skermata come questa...
Immagine
...e comprensiva del percorso completo dello spyware oppure nn sarà possibile aiutarti in alcun modo...
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 02/01/04 22:03

Nikk ha scritto:In merito all'esito dello scanning, l'Ad-aware mi dà anche un collegamento per la definizione del CommonName eccolo http://www.doxdesk.com/parasite/CommonName.html


Come vedi il CommonName nn è mai da solo ma sempre accompagnato da un nome...

CommonName/Toolbar
CommonName/Agent
CommonName/Mib
CommonName/Zenet
CommonName/Winnet

Può anke essere ke questo valore sia contenuto direttamente nella kiave dell'Explorer, ma bisogna sapere QUALE valore ha.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Nikk » 02/01/04 22:48

Non sò come incollare la finestra del dettaglio del CommonName, se mi spieghi come, la incollo. Pensavo poi, se potessi risalire tramite la funzione "Show logfile" al "running processes" che interessa il CommonName
Nikk
Utente Senior
 
Post: 368
Iscritto il: 21/06/03 21:19
Località: Roma

Postdi Dylan666 » 02/01/04 23:25

X mettere le immagini su questo forum devi scrivere tra i tag il link al file ke devi aver messo su uno spazio Internet (io ne ho uno gratuito), quindi nn vanno bene i file ka hai sul PC.

Cmq basta ke copi quello ke c'è scritto, oppure premi il tasto "In Clipboard" e poi col tasto destro del mouse incolli il contenuto qui (oppure ovviamente premi CTRL+V) ;)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Nikk » 03/01/04 10:54

[img]Vendor:CommonName
Category:Data Miner
Object Type:RegValue
Size:-
Location:Software\Microsoft\Windows\CurrentVersion\Explorer\
Last Activity:03-01-2004
Risk LevelLow
Comment:"loader"
Description:Browser search hijacker. Causes ads. Recent variant installs a Winsock LSP.
[/img]
Nikk
Utente Senior
 
Post: 368
Iscritto il: 21/06/03 21:19
Località: Roma

Postdi Dylan666 » 03/01/04 11:15

A qusto punto trascrivi tutte le voci della kiave explorer e vediamo quele è d troopo (confesso ke tutti gli hijacker ke avevo visto sino a ora nn s posizionavano lì ma in una sottokiave...)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Nikk » 03/01/04 11:52

advanced, auto complete, bit bucket, cabinet state, cd burning, clsid, com dlg32, computer description, copy move to, desktop, discardable, file exts, hide desktop icons, map network drive mru, menu order, mount points 2, my computer, new shortcuts handlers, prop summary, recent docs, run mru, session info, shell folders, shell image view, small icons, start page, stream mru, streams, stuck rects2, tips, tray notify, user shell folders, user assist, visual effects, wallpaper, web view, workgroup crawler
Nikk
Utente Senior
 
Post: 368
Iscritto il: 21/06/03 21:19
Località: Roma

Postdi Dylan666 » 03/01/04 12:12

No, quelli sono i nomi delle sotto-chiavi, a me interessavano i valori della colonna d destra, quelli tipo:


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
"CheckAssociations"= 00,00,00,00
"CleanShutdown" 00000000
"ShellState"=24,00,00,00,6a,28,00,00,00,00,00.. 01,00,00,00,0b,00,00,00,00,00,00,00,00,00,00,00
"Shutdown Setting" 00000002
"IconUnderline" 03,00,00,00
"Browse For Folder Width" 0000013e
"Browse For Folder Height" 00000120
"FaultCount" 00000001
"FaultTime" 00009540
"NoFileFolderConnection" 00000000
"link" 1e,00,00,00
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Prossimo

Torna a Software Windows


Topic correlati a "Possibile soluzione Spyware":

Possibile Virus???
Autore: danibi60
Forum: Sicurezza e Privacy
Risposte: 3

Chi c’è in linea

Visitano il forum: Nessuno e 99 ospiti