Solo testo | Testo con Immagini

Forumzone Community

Sistemi Operativi e applicazioni => Sicurezza informatica e antivirus => Discussione aperta da: glfsd il 25 Agosto 2004, 23:16:53

Titolo: Allarmi continui con Ad-Watch
Inserito da: glfsd il 25 Agosto 2004, 23:16:53
Salve, vorrei esporvi un problema che mi sta assillando.
Navigo usando in background: Outpost come firewall e Ad-Watch della lavasoft per
evitare spyware, allora, sono circa tre giorni che ogni qualvolta apro IE o premo,ad esempio, il pulsante dei preferiti Ad-Watch mi allerta(vedi immagine).
Ora ho provato a lanciare sia Ad-Aware Prof. e sia Spy Sweeper (entrambi aggiornati)
per capire se si tratta di uno spyware ma nessuno dei 2 me lo rileva.
Però resto nel dubbio poichè mai mi era apparso quest'allarme e quindi lo blocco per sicurezza.
Ora vorrei capire se è veramente un'allarme o posso accettarlo.
Inoltre ho provato a fare una scansione con Norton Antivirus che mi ha scovato ma
NON cancellato 3 Spyware:
- WhSurvey.exe
- WhAgent.exe
- Webhdll.dll
provo ad individuarli sull'HD ma non c'è traccia di questi files,cosa molto strana!
E' possibile che il tutto sia collegato?
Help me
Ed ecco un'altra SORPRESA!!!
Ho preparato prima di inserire sul forum il testo d'aiuto e quando l'ho incollato ho provato
ad inserire l'immagine dell'allarme che...esso mi appare impedendomi di caricarla

Warning!
  An attempt to alter a protected object has been detected.

  (Attempt to add a registry value)
  Root:    HKEY_CURRENT_USER

  Key:    Software\Microsoft\Internet Explorer\Toolbar\Webbrowser

  Value:     {2318C2B1-4965-11D4-9B18-009027A5CD4F}
  Data:

  New Data:

  Please choose how to proceed.
  Click here for Advice


  Accept                 Block
Questo è l'allarme (formato testo,catturato con snagit) che mi appare
Titolo: Allarmi continui con Ad-Watch
Inserito da: glfsd il 26 Agosto 2004, 02:41:03
Novità.Ho scoperto che i file sospetti di Norton erano in un file compresso "whCC-MOTOR.exe" per questo non li trovavo.
Questi file sono prodotti dalla webhancer company (www.webhancer.com) e una volta scompattati anche Avast li ha riconosciuti come trojan (Win32:Trojan-gen. {VC}) ora mi piacerebbe sapere come sono entrati e se potrebbero crearmi quei problemi:
I file sono
1)whiehlpr.dll e nel registro si trova:
HKEY_USERS\S-1-5-21-1078081533-796845957-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603 (000=whiehlpr.dll)

2)WhAgent.exe
HKEY_USERS\S-1-5-21-1078081533-796845957-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603 (001=WhAgent.exe)
Poi ci sono,ma non c'è tracca nel registro:
-WhSurvey.exe
-Webhdll.dll
poi c'è sto file Sporder.dll che si trova anche nella cartella di SystemSuite (è la versione 5.0.2066.1) di 8,26 KB.
Mentre quella sospetta è la V. 4.0.1381.1 di 11,0 KB.
Entrambe prodotte dalla Microsoft come "WinSock2 reorder service providers".

Un installer "whInstaller.exe"
Un inf "whAgent.inf" ed infine 2 file ini:
-whAgent.ini
-whInstaller.ini
Titolo: Allarmi continui con Ad-Watch
Inserito da: glfsd il 26 Agosto 2004, 02:41:12
Novità.Ho scoperto che i file sospetti di Norton erano in un file compresso "whCC-MOTOR.exe" per questo non li trovavo.
Questi file sono prodotti dalla webhancer company (www.webhancer.com) e una volta scompattati anche Avast li ha riconosciuti come trojan (Win32:Trojan-gen. {VC}) ora mi piacerebbe sapere come sono entrati e se potrebbero crearmi quei problemi:
I file sono
1)whiehlpr.dll e nel registro si trova:
HKEY_USERS\S-1-5-21-1078081533-796845957-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603 (000=whiehlpr.dll)

2)WhAgent.exe
HKEY_USERS\S-1-5-21-1078081533-796845957-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603 (001=WhAgent.exe)
Poi ci sono,ma non c'è tracca nel registro:
-WhSurvey.exe
-Webhdll.dll
poi c'è sto file Sporder.dll che si trova anche nella cartella di SystemSuite (è la versione 5.0.2066.1) di 8,26 KB.
Mentre quella sospetta è la V. 4.0.1381.1 di 11,0 KB.
Entrambe prodotte dalla Microsoft come "WinSock2 reorder service providers".

Un installer "whInstaller.exe"
Un inf "whAgent.inf" ed infine 2 file ini:
-whAgent.ini
-whInstaller.ini
Titolo: Allarmi continui con Ad-Watch
Inserito da: Sport il 26 Agosto 2004, 04:06:07
Ecco dove puoi trovare le risposte ai tuoi problemi

http://securityresponse.symantec.com/avcenter/venc/data/spyware.webhancer.html

Ciao ciao :)

Titolo: Allarmi continui con Ad-Watch
Inserito da: glfsd il 26 Agosto 2004, 11:50:44
grazie del suggerimento ma purtroppo non mi è stato di molto aiuto perchè nelle istruzioni della symantec dice di disinstallare "webHancer" ma a me non risulta installato.
quando cancello sta riga dal registro non appare + l'allarme
 
HKEY_USERS\S-1-5-21-1078081533-796845957-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
ma purtroppo dopo vado a ricontrollare e ...sta di nuovo qui e tutto ricomincia



Questo messaggio è stato aggiornato da glfsd il 26/08/2004  alle ore  11:51:26

Questo messaggio è stato aggiornato da glfsd il 26/08/2004  alle ore  11:52:06
Titolo: Allarmi continui con Ad-Watch
Inserito da: Eraser il 26 Agosto 2004, 13:14:06
se posti un log fatto con HiJackThis magari è meglio ;)
Solo testo | Testo con Immagini