Scopriamo come tenere sotto controllo due aree molto delicate del registro di configurazione.
La zona dei BHO e la sezione HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
I Bho, dall'inglese Browser Helper Object sono delle funzionalità aggiunte ad Internet explorer, a volte buone, come alcune toolbar, ma molte volte questa zona viene infettata da spyware di tutti i generi che reindirizzano la nostra navigazione o visualizzano messaggi pubblicitari.
La sezione Run invece contiene tutti quei programmi che vengono caricati ad ogni avvio del PC.
Qui invece vanno ad inserirsi tutti i virus e dialer che tante volte attaccano il nostro PC.
Spywareguard e Registry protector rimangono caricati in memoria, controllano e segnalano a video ogni cambiamento dovessero registrare.
Tenete conto che molti programmi (come antivirus, firewall ed altri) al momento della loro installazione, vanno a inserire delle voci in queste sezioni, e quindi vi potranno apparire dei messaggi a cui dovrete rispondere di Si .
Un problema molto diverso è quando state navigando in Internet, e vi appare uno di questi messaggi, dove vi dice che il file Dialer1.exe (o un exe qualsiasi) si vuole inserire in esecuzione automatica.
A quel punto, segnatevi il nome del file, negategli il permesso premendo su No e avviate un controllo sull'eventuale presenza di virus e spyware perché potreste avere un problema.
Spywareguard 2.2
SpywareGuard 2.2 è un altro programma dello stesso ideatore di Spywareblaster: una volta installato troverete una SG rossa nella systray in basso a destra dello schermo.
Cliccando sull'icona si apre questa schermata
Le segnalazioni che vedrete apparire sono come quelle che vi indico qui sotto e che troverete riassunte nel Reports .
NEW BHO DETECTION ALERT --Questa è l'installazione di Acrobat, la modifica è stata mantenuta
On 12.34.19 07/04/2004 a new BHO installation attempt was detected.
BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
ProgramID: AcroIEHelper.AcroIEHlprObj.1
File Location: C: ProgrammiAdobeReaderActiveXAcroIEHelper.dll
User Action Taken: KEEP BHO
--------------------------------------------------------------------------------
NEW BHO DETECTION ALERT --Questa è l'installazione di Flashget, la modifica è stata mantenuta
On 14.19.32 07/04/2004 a new BHO installation attempt was detected.
BHO: {A5366673-E8CA-11D3-9CD9-0090271D075B}
ProgramID: Jccatch.IeCatch2.1
File Location: C: PROGRA~1InternetFlashGetjccatch.dll
User Action Taken: KEEP BHO
--------------------------------------------------------------------------------
BROWSER HIJACK ALERT - BROWSER PAGE CHANGED --Cambio pagina iniziale rifiutato
On 16.28.07 07/04/2004 a browser page change was detected.
Registry Location: HKCUSoftwareMicrosoftInternet ExplorerMain
Value Name: Start Page
Old Value: about: blank
New Value: http://www.microsoft.com/isapi/redir.dll? prd= {SUB_PRD} &clcid= {SUB_CLSID} &pver= {SUB_PVER} &ar=home
User Action Taken: RESTORE OLD VALUE
--------------------------------------------------------------------------------
NEW BHO DETECTION ALERT --Questo è un virus Trojan che ha tentato di installarsi
On 11.30.01 07/22/2004 a new BHO installation attempt was detected.
BHO: {00000EF1-0786-4633-87C6-1AA7A44296DA}
ProgramID: F1.Organizer.1
File Location: C: WINDOWSSystem32ATPART~1.DLL
User Action Taken: REMOVE BHO
Anche la modifica della pagina iniziale di Internet viene visto come un cambiamento pericoloso.
In questo caso ho modificato la pagina iniziale di Internet e vi appare questo messaggio e potrete decidere se tenere il nuovo valore (Keep new value), o ripristinare il vecchio (Restore old value).
Ricordatevi di abilitare tutti i settaggi General Protections Options e in Download protections e poi premere Save Settings .
Gli aggiornamenti si possono ottenere utilizando la funzione Live Update ma non sono molto frequenti.
Registry protector
Per prima cosa avviate il file Rpadmin.exe, cliccate su Start e Install per abilitare le protezioni del registro e lanciare il programma ad ogni avvio di Windows.
Ogni volta che un programma tenterà di modificare la sezione dei programmi in esecuzione automatica di Windows, apparirà un messaggio simile a questo
Selezionando No potremmo così bloccare ogni modifica sospetta.
I due software sono stati provati su PC con Windows 98, 2000 e XP, occupano poca memoria RAM e non sino ad ora non hanno eviidenziato incompatibilità con altri programmi.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati