www.MegaLab.it

Scopriamo come tenere sotto controllo due aree molto delicate del registro di configurazione.

La zona dei BHO e la sezione HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

I Bho, dall'inglese Browser Helper Object sono delle funzionalità aggiunte ad Internet explorer, a volte buone, come alcune toolbar, ma molte volte questa zona viene infettata da spyware di tutti i generi che reindirizzano la nostra navigazione o visualizzano messaggi pubblicitari.

La sezione Run invece contiene tutti quei programmi che vengono caricati ad ogni avvio del PC.

Qui invece vanno ad inserirsi tutti i virus e dialer che tante volte attaccano il nostro PC.

Spywareguard e Registry protector rimangono caricati in memoria, controllano e segnalano a video ogni cambiamento dovessero registrare.

Tenete conto che molti programmi (come antivirus, firewall ed altri) al momento della loro installazione, vanno a inserire delle voci in queste sezioni, e quindi vi potranno apparire dei messaggi a cui dovrete rispondere di Si .

Un problema molto diverso è quando state navigando in Internet, e vi appare uno di questi messaggi, dove vi dice che il file Dialer1.exe (o un exe qualsiasi) si vuole inserire in esecuzione automatica.

A quel punto, segnatevi il nome del file, negategli il permesso premendo su No e avviate un controllo sull'eventuale presenza di virus e spyware perché potreste avere un problema.

Spywareguard 2.2

SpywareGuard 2.2 è un altro programma dello stesso ideatore di Spywareblaster: una volta installato troverete una SG rossa nella systray in basso a destra dello schermo.

Cliccando sull'icona si apre questa schermata

Le segnalazioni che vedrete apparire sono come quelle che vi indico qui sotto e che troverete riassunte nel Reports .

NEW BHO DETECTION ALERT --Questa è l'installazione di Acrobat, la modifica è stata mantenuta

On 12.34.19 07/04/2004 a new BHO installation attempt was detected.

BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

ProgramID: AcroIEHelper.AcroIEHlprObj.1

File Location: C: ProgrammiAdobeReaderActiveXAcroIEHelper.dll

User Action Taken: KEEP BHO

--------------------------------------------------------------------------------

NEW BHO DETECTION ALERT --Questa è l'installazione di Flashget, la modifica è stata mantenuta

On 14.19.32 07/04/2004 a new BHO installation attempt was detected.

BHO: {A5366673-E8CA-11D3-9CD9-0090271D075B}

ProgramID: Jccatch.IeCatch2.1

File Location: C: PROGRA~1InternetFlashGetjccatch.dll

User Action Taken: KEEP BHO

--------------------------------------------------------------------------------

BROWSER HIJACK ALERT - BROWSER PAGE CHANGED --Cambio pagina iniziale rifiutato

On 16.28.07 07/04/2004 a browser page change was detected.

Registry Location: HKCUSoftwareMicrosoftInternet ExplorerMain

Value Name: Start Page

Old Value: about: blank

New Value: http://www.microsoft.com/isapi/redir.dll? prd= {SUB_PRD} &clcid= {SUB_CLSID} &pver= {SUB_PVER} &ar=home

User Action Taken: RESTORE OLD VALUE

--------------------------------------------------------------------------------

NEW BHO DETECTION ALERT --Questo è un virus Trojan che ha tentato di installarsi

On 11.30.01 07/22/2004 a new BHO installation attempt was detected.

BHO: {00000EF1-0786-4633-87C6-1AA7A44296DA}

ProgramID: F1.Organizer.1

File Location: C: WINDOWSSystem32ATPART~1.DLL

User Action Taken: REMOVE BHO

Anche la modifica della pagina iniziale di Internet viene visto come un cambiamento pericoloso.

In questo caso ho modificato la pagina iniziale di Internet e vi appare questo messaggio e potrete decidere se tenere il nuovo valore (Keep new value), o ripristinare il vecchio (Restore old value).

Ricordatevi di abilitare tutti i settaggi General Protections Options e in Download protections e poi premere Save Settings .

Gli aggiornamenti si possono ottenere utilizando la funzione Live Update ma non sono molto frequenti.

Registry protector

Per prima cosa avviate il file Rpadmin.exe, cliccate su Start e Install per abilitare le protezioni del registro e lanciare il programma ad ogni avvio di Windows.

Ogni volta che un programma tenterà di modificare la sezione dei programmi in esecuzione automatica di Windows, apparirà un messaggio simile a questo

Selezionando No potremmo così bloccare ogni modifica sospetta.

I due software sono stati provati su PC con Windows 98, 2000 e XP, occupano poca memoria RAM e non sino ad ora non hanno eviidenziato incompatibilità con altri programmi.