Reset Web Settings' hijack
O14 - IERESET.INF:
START_PAGE_URL=http://www.searchalot.com
La riga
precedente mostra il tentativo di eseguire un redirect della
pagina iniziale di Internet Explorer; se l'indirizzo internet è
sconosciuto, è necessario correggere la voce.
O15 - Siti ritenuti Sicuri
O15 - Trusted
Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
Le Trusted
Zone sono indirizzi internet considerati sicuri e inseriti
senza nessuna restrizione; questa situazione potrebbe essere
utilizzata con cattive intenzioni (CoolWebSearch). E' necessario
controllare questi indirizzi ed eliminare quelli sconosciuti.
O16 - ActiveX Objects (aka Downloaded
Program Files)
O16 - DPF: Yahoo! Chat -
http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave
Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
La lista precedente mostra gli oggetti activeX scaricati
da internet e installati; potrebbero comparire diversi spyware
tra questi oggetti activex. Le parole più frequenti da ricercare
sono dialer e casino. Per prevenire l'installazione di questi
oggetti si consiglia l'uso di
SpywareBlaster
O17 - Lop.com domain hijacks
O17 - HKLM\System\CCS\Services\VxD\MSTCP:
Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain =
W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName =
W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}:
Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList =
gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer =
69.57.146.14,69.57.147.175
Questa sezione mostra i tentativi di reindirizzamento dei domini
di rete; se queste voci non appartengono al proprio provider o
sono sconosciute è possibile correggerle. Nel caso della voce 'NameServer'
è possibile cercare l'indirizzo IP con Google e assicurarsi
della destinazione.
O18 - Protocolli Extra o Modificati
O18 - Protocol: relatedlinks -
{5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http -
{66993893-61B8-47DC-B10D-21E0C86DD9C8}
Pochissimi spyware modificano queste voci; solitamente sono 'cn'
(CommonName), 'ayb' (Lop.com) e 'relatedlinks' (Huntbar).
O19 - User style sheet hijack
O19 - User style sheet:
c:\WINDOWS\Java\my.css
Poichè solo CoolWebSearch usa per ora questo tipo
di hijack è possibile usare il programma
Cwshredder per risolvere il problema. La chiusura
inaspettata di Internet Explorer o la comparsa delle finestre
pop up indicano la presenza di questo hijack.
O20 - AppInit_DLLs Registry value
autorun
O20 - AppInit_DLLs: msconfd.dll
Le voci del registro
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Windows,
caricano le DLL al Login dell'utente; pochi programmi
attualmente le utilizzano (Norton CleanSweep usa APITRAP.DLL),
mentre nuovi trojan e hijacker ne fanno uso. La presenza
(precedute) del carattere ‘|’ indicano le DLL nascoste.
O21 - ShellServiceObjectDelayLoad
O21 - SSODL - AUHOOK -
{11566B38-955B-4549-930F-7B7482668782} -
C:\WINDOWS\System\auhook.dll
La voce del registro HKEY_LOCAL_MACHINE\
Software\Microsoft\ Windows\ CurrentVersion\
ShellServiceObjectDelayLoad è un metodo di avvio automatico non
documentato; pochi componenti di sistema di windows utilizzano
questo metodo. HijackThis dispone di un lista di
componenti permessi, quindi se qualcosa compare nel log del
programma è possibile che sia sospetto.
O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: (no name) -
{3F143C3A-1457-6CCA-03A7-7AA23B61E40F} -
c:\windows\system32\mtwirl32.dll
Attualmente solo CWS.Smartfinder ne fa uso; prestare
attenzione.
| |
|
AntiSpam Aziendale Server Consigliato |
|
|
|
|
|
|
|
| |
|
|
| |
|
|
