PDA

Visualizza versione completa : programmi dirottatori hijack


mistral
14-05-2004, 00.59.16
Buongiorno,
vorrei porre alla vs. attenzione il mio problema:
Facendo una scansione con ad-aware vengono rilevati due file di registro denominati "Possibile Browser Hijack attempt"
categoria: data miner
location: HKEY_USERS e HKEY_LOCAL_MACHINE: Software/Microsoft/Internet Explorer/main:"start page"("about blank)".

La differenza che noto quando apro I.E. che: anzich aprirsi la mia pagina preferita"about blank" si apre la pagina di ricerca di msn.

Eliminando i file trovati con ad aware, al prossimo riavvio di I.E. questi ricompaiono.

Ho anche provato con il programma CW Shredder ma quest'ultimo non rileva nulla. Ho provato (anche se ho qualche problema nell'interpretazione del risultato) con Hijack this (altro programma) ma nulla.

Ebbene vorrei sapere come fare per togliere questi 2 file, e sapere se la loro "funzione" solo quella di dirottare le pagine web oppure fanno altro.
Ad aware assegna a loro un rischio medio.

Grazie per la risposta, disponibile per ulteriori chiarimenti qualora non fossi stato chiaro nell'esposizione del problema.

Saluti a tutti.

Giorgius
14-05-2004, 01.28.38
AdAware a volte, quando tenta di rimuovere queste schifezze, con tanto di directory sul Sistema, chiede sempre di riavviare il Pc per bloccare e successivamente eliminare la fetecchia dal registro di Winzozzo e dal disco fisso.

Forse "PestPatrol" ti potrebbe dare un ulteriore aiuto. ;)

cippico
14-05-2004, 08.45.08
se hai anche spybot 1.2 aggiornato...

che s.o. hai?

in ogni caso togli dal file hosts il flag sola lettura,in win98 si trova nella cartella windows...in xp non ricordo...ma lo trovi con la funzione cerca...anche lmhost se non ricordo male...

apri il prg
vai alla sezione immunizza
deseleziona i flag che ci sono in fondo
clicca sul tasto immunizza e poi controlla ancora
poi vai in in impostazioni internet dal pannello di controllo
e dovresti poter cambiare la pagina iniziale...metti about blank o un url che vuoi tu
e dai ok...
sempre su spybot metti i flag alle prime 2 voci e fai ancora un ricontrolla
chiudi spybot e controlla che la pagimna di apertura sia ancora
about blank e metti in sola lettuta i file hosts...su xp anche lmhost
riavvia il pc e ricontrolla che la pagina iniziale sia rimasta about blank o il tuo url preferito

facci sapere

ciaooo

The_Prof
14-05-2004, 09.26.32
Ti consiglio di scaricare SD versione 1.3 .

Sembrerebbe comunque che ci sia un bug in Adaware con l'ultima reflist.
In pratica l'impostazione della pagina iniziale di IE su about:blank
fa rilevare erroneamente al prodotto uno spyware che si chiama proprio about:blank.

Ciao :)

cippico
14-05-2004, 11.43.10
Originariamente inviato da The_Prof
Ti consiglio di scaricare SD versione 1.3 .

Sembrerebbe comunque che ci sia un bug in Adaware con l'ultima reflist.
In pratica l'impostazione della pagina iniziale di IE su about:blank
fa rilevare erroneamente al prodotto uno spyware che si chiama proprio about:blank.

Ciao :)

infatti me lo ha fatto proprio da quando updatato lultimo reflist...me lo ha fatto sul pc di casa sia in xp che in 98...e anche sul pc del lavoro...
pero la pagina iniziale...mi si tramutava anche a me in msn.com :mad:

cmq e normale che rilevi una anomalia se si e bloccato il file host con spybot...infatti mi dava sempre un msg a fine scansione di un tentativo di cambiamento manuale della startpage...e scompariva se eliminavo il blocco della startpage da spybot...

cmq dopo aver fatto come ho spiegato nel thread precedente e tutto ok...

ciaooo

The_Prof
14-05-2004, 17.32.16
Anch'io ho risolto cosi.

Inoltre conviene installare spywareblaster ed attivare il controllo totale.

Inoltre con winpatrol puoi controllare i processi che vengono installati, ed il tentativo di cambiamento della Home page.

A questo punto con la release 1.3 di SD, adaware mi sembra superfluo.

Ciao :)

digitalgfx
14-05-2004, 17.39.00
comunque il problema e' un bug dell 'ultimo update di adware. infatti se avete settata la pagina about blank, adware vi trova lhijack.
se la pagina iniziale invece e' una qualsiasi tipo virgilio, adware non vi trova nulla.


qunado e' settala la pagina about blank e usate adware per rimuoverla, allora il sistema ritorna all apagina predefinita che e' quella di microsoft.

mistral
15-05-2004, 01.28.05
Intanto grazie per le risposte e gli indirizzi di aiuto.
Mi sa che questo problema sia legato all'ultimo aggiornamento di ad aware. Credo sia come dice the_prof. nel suo intervento.
Infatti in precedenza avevo eseguito anche una scansione sia con Norton sia con spyboot aggiornati entrambi, ma loro non rilevano nulla.
Il problema con ad-aware di questo hijack subentrato dopo l'ultimo aggiornamento (8/5/04) e nella voce di registro si riferisce proprio ad about-blank. Inoltre se lanciato con la connessione in atto si blocca a met scansione, e se lascio come pagina iniziale altra (es. msn.com) non rileva nulla.
Infine vorrei chiedervi:
winpatrol lo stesso di pestpatrol?
SD? che programma ?
spywareblaster simile a spyboot oppure sono 2 cose differenti?.
Non ho capito il "discorso" del file hosts ed Imhosts, il mio S.O. WindowsME.
Grazie per gli ulteriori suggerimenti.

Giorgius
15-05-2004, 10.20.45
http://www.pestscan.com/images/FrontImage.gif
Fai lo Spyware Detector OnLine. ;)
http://www.pestscan.com/

The_Prof
15-05-2004, 10.44.54
Originariamente inviato da mistral

Infine vorrei chiedervi:
winpatrol lo stesso di pestpatrol?
SD? che programma ?
spywareblaster simile a spyboot oppure sono 2 cose differenti?.
Non ho capito il "discorso" del file hosts ed Imhosts, il mio S.O. WindowsME.
Grazie per gli ulteriori suggerimenti.

Alla prima domanda la risposta e' no.
SD e' Spyware search and Destroy mi raccomando la versione 1.3
Spywareblaster a mio avviso e' da installare assolutamente come consiglia anche SD, non lavora in background ma si integra con il Browser.

Ciao :)

mistral
16-05-2004, 23.41.35
Ciao a tutti,
scusate se vi chiedo ancora un'altra informazione.
Volevo la conferma della esatta configurazione del programma spywareblaster: nella pagina "status" sia la "stringa" di internet explorer che di "restricted sites" sono in azzurro cio attivi.
Cliccando sul menu I.E. i vari "item name" sono spuntati devono essere tali per aver la protezione oppure no?
Grazie, ma non sono sicuro sulla configurazione.Infine per la "conferma" della protezione attiva e continua occorre vedere l'icona sulla barra delle applicazioni attive o no? (per interderci come l'icona del Norton).
Ancora grazie mille a tutti.