PDA

Visualizza versione completa : Allarmi continui con Ad-Watch


samsung
25-08-2004, 23.23.42
Salve, vorrei esporvi un problema che mi sta assillando.
Navigo usando in background: Outpost come firewall e Ad-Watch della lavasoft per
evitare spyware, allora, sono circa tre giorni che ogni qualvolta apro IE o premo,ad esempio, il pulsante dei preferiti Ad-Watch mi allerta(vedi immagine).
Ora ho provato a lanciare sia Ad-Aware Prof. e sia Spy Sweeper (entrambi aggiornati)
per capire se si tratta di uno spyware ma nessuno dei 2 me lo rileva.
Per resto nel dubbio poich mai mi era apparso quest'allarme e quindi lo blocco per sicurezza.
Ora vorrei capire se veramente un'allarme o posso accettarlo.
Inoltre ho provato a fare una scansione con Norton Antivirus che mi ha scovato ma
NON cancellato 3 Spyware:
- WhSurvey.exe
- WhAgent.exe
- Webhdll.dll
provo ad individuarli sull'HD ma non c' traccia di questi files,cosa molto strana!
E' possibile che il tutto sia collegato?
Help me
Warning!
An attempt to alter a protected object has been detected.

(Attempt to add a registry value)
Root: HKEY_CURRENT_USER

Key: Software\Microsoft\Internet Explorer\Toolbar\Webbrowser

Value: {2318C2B1-4965-11D4-9B18-009027A5CD4F}
Data:

New Data:

Please choose how to proceed.
Click here for Advice


Accept Block
Questo l'allarme (formato testo,catturato con snagit) che mi appare

davlak
25-08-2004, 23.45.43
meglio se fai una scansione con HijackThis e posti il log ;)

samsung
26-08-2004, 00.24.07
Logfile of HijackThis v1.97.7
Scan saved at 0.24.03, on 26/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\RamTurbo\rt.exe
C:\Programmi\SpywareGuard\sgmain.exe
C:\Programmi\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\GrabIt\GrabIt.exe
C:\totalcmd\TOTALCMD.EXE
F:\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.bluebyte.net/settlers4/default.asp
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmi\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programmi\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programmi\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {D3919E1A-D6A5-11D6-AC3E-00B0D094B576} - C:\Programmi\Systran\4_0\Premium\IEPlugIn.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKCU\..\Run: [RamTurbo] "C:\Programmi\RamTurbo\rt.exe"
O4 - Startup: SpywareGuard.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Convert and Open - C:\PROGRA~2\Camtech\CONVER~1\ConvertIt.htm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom &Out - C:\WINDOWS\WEB\zoomout.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B1D12F7-0F50-4F73-9820-DFC697A70297}: NameServer = 193.70.192.25 193.70.152.25

davlak
26-08-2004, 00.42.17
questo allegato il risultato delle "analisi"

puoi cancellare i ? e i !

non sembra esserci altro.

davlak
26-08-2004, 00.44.32
p.s.: per sicurezza, scarica la versione aggiornata di HijackThis, la 1.98.02

samsung
26-08-2004, 02.36.24
Novit.Ho scoperto che i file sospetti di Norton erano in un file compresso "whCC-MOTOR.exe" per questo non li trovavo.
Questi file sono prodotti dalla webhancer company (www.webhancer.com) e una volta scompattati anche Avast li ha riconosciuti come trojan (Win32:Trojan-gen. {VC}) ora mi piacerebbe sapere come sono entrati e se potrebbero crearmi quei problemi:
I file sono
1)whiehlpr.dll e nel registro si trova:
HKEY_USERS\S-1-5-21-1078081533-796845957-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603 (000=whiehlpr.dll)

2)WhAgent.exe
HKEY_USERS\S-1-5-21-1078081533-796845957-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603 (001=WhAgent.exe)
Poi ci sono,ma non c' tracca nel registro:
-WhSurvey.exe
-Webhdll.dll
poi c' sto file Sporder.dll che si trova anche nella cartella di SystemSuite ( la versione 5.0.2066.1) di 8,26 KB.
Mentre quella sospetta la V. 4.0.1381.1 di 11,0 KB.
Entrambe prodotte dalla Microsoft come "WinSock2 reorder service providers".

Un installer "whInstaller.exe"
Un inf "whAgent.inf" ed infine 2 file ini:
-whAgent.ini
-whInstaller.ini