Reset Web Settings' hijack

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

La riga precedente mostra il tentativo di eseguire un redirect della pagina iniziale di Internet Explorer; se l'indirizzo internet è sconosciuto, è necessario correggere la voce.


O15 - Siti ritenuti Sicuri

O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com

Le Trusted Zone sono indirizzi internet considerati sicuri e inseriti senza nessuna restrizione; questa situazione potrebbe essere utilizzata con cattive intenzioni (CoolWebSearch). E' necessario controllare questi indirizzi ed eliminare quelli sconosciuti.


O16 - ActiveX Objects (aka Downloaded Program Files)

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

La lista precedente mostra gli  oggetti activeX scaricati da internet e installati; potrebbero comparire diversi spyware tra questi oggetti activex. Le parole più frequenti da ricercare sono dialer e casino. Per prevenire l'installazione di questi oggetti si consiglia l'uso di SpywareBlaster


O17 - Lop.com domain hijacks

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Questa sezione mostra i tentativi di reindirizzamento dei domini di rete; se queste voci non appartengono al proprio provider o sono sconosciute è possibile correggerle. Nel caso della voce 'NameServer' è possibile cercare l'indirizzo IP con Google e assicurarsi della destinazione.


O18 - Protocolli Extra o Modificati

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Pochissimi spyware modificano queste voci; solitamente sono 'cn' (CommonName), 'ayb' (Lop.com) e 'relatedlinks' (Huntbar).


O19 - User style sheet hijack

O19 - User style sheet: c:\WINDOWS\Java\my.css

Poichè solo CoolWebSearch usa per ora questo tipo di hijack è possibile usare il programma  Cwshredder per risolvere il problema. La chiusura inaspettata di Internet Explorer o la comparsa delle finestre pop up indicano la presenza di questo hijack.


O20 - AppInit_DLLs Registry value autorun

O20 - AppInit_DLLs: msconfd.dll

Le voci del registro HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Windows, caricano le DLL al Login dell'utente; pochi programmi attualmente le utilizzano (Norton CleanSweep usa APITRAP.DLL), mentre nuovi trojan e hijacker ne fanno uso. La presenza (precedute) del carattere  ‘|’ indicano le DLL nascoste.


O21 - ShellServiceObjectDelayLoad

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

La voce del registro HKEY_LOCAL_MACHINE\ Software\Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad è un metodo di avvio automatico non documentato; pochi componenti di sistema di windows utilizzano questo metodo.  HijackThis dispone di un lista di componenti permessi, quindi se qualcosa compare nel log del programma è possibile che sia sospetto.


O22 - SharedTaskScheduler

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

Attualmente solo CWS.Smartfinder ne fa uso; prestare attenzione.