Spy Sweeper: Hkcr\protocols\polyfilter\

[Albertdj]

Con la scansione di Spy Sweeper appare la scritta Elementi rilevati: Adware trovati: polyfilter (minaccia contrassegnata come "rimuovi sempre")

HKCR\protocols\polyfilter\

HKLM\software\classes\protocols\polifilter\

Purtroppo la versione di prova non permette di mettere in quartantena o eliminare i file.

Nulla viene trovato da altri adAware quail: AVG Anti-spyware; Ad-Aware SE Personal; Bazooka; SpywareBlaster; Spybot – Search & Destroy, VIRIT LT.

In modalità provvisoria ho eseguito Ad-Aware SE Personal, SpywareBlaster; Spybot – Search & Destroy.

Ho fatto anche una scansione on line con Panda, ma nulla è stato trovato.

Ho provato anche con cwshredder,sysclean.

Uso AVG come antivirus.

Ora o non devo dare retta a Spy-sweeper, che però mi sembrerebbe un programma serio e ben fatto, oppure dovrei trovare il modo di eliminare questi AdAware.

Notare che alcune scansioni durano anche 2/3 ore quindi sarebbe meglio farne poche, sono diversi giorni che sto risolvendo vari Adware rootkit ecc. Ora restano solo questi Polyfilter, ma non so più cosa fare.

Ciao

[Kuma]

Sembrerebbe che siano presenti solo le voci nel registro...

Da Start\Esegui digita > regedit

portati alle seguenti chiavi e controlla di non avere la voce in rosso:

HKEY_CURRENT_USER\protocols\polyfilter\

HKEY_LOCAL_MACHINE\\software\classes\protocols\polifilter\

Cerca inoltre se da qualche parte hai questo file: sikernel.dll

(C:\Windows\System32) ...

Prima, Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva nascondi file protetti di sistema. (Pannello di controllo > Opzioni Cartella > Visualizzazione)

il problema è che mi sembra che quel file (e relativo malware) sia installato con ISTBAR

prova anche a vedere se questo tool trova qualcosa: http://securityresponse.symantec.com/avcenter/FxIstbar.exe

Avevo letto poi nella tua altra discussione che GmG ti consigliava di provare ad usare SuperAntiSpyware

[Albertdj]

Ciao Kuma,

In:

HKEY_CURRENT_USER\protocols\

non ho trovato

HKEY_CURRENT_USER\protocols\polyfilter\

ma c'è una voce stranissima

PùR[quadrato]([o barrata]R[quadrato]

Tra parentesi quadre [] ho indicato la descrizione di cosa appare sullo schermo. Nota c'èuna parentesi aperta in quinta posizione!

Qui trovi le immagini dettagliate relative al problema: http://www.mytempdir.com/1021347.

Invece ho proprio la voce

HKEY_LOCAL_MACHINE\\software\classes\protocols\polifilter\.

Non ho:

sikernel.dll

ho fatto un ricerca con trova file e una ricerca manuale nella cartella (C:\Windows\System32)

Con Superantispyware ho fatto una ricerca veloce e non ha trovato nulla, sto completando una ricerca approfondita, ma sembra che non trovi nulla -sta lavorando da un paio di ore-.

Proprio adesso ha terminato la scansione senza trovare nulla.

Poi proverò il tool della symantec.

[Kuma]

La chiave che hai trovato nel registro puoi eliminarla (tutta la cartella)

Nel mio Pc sono presenti solo le tre superiori...

Per l'altra voce (PùR[quadrato]([o barrata]R[quadrato])

Non ho idea di cosa sia...

Se provi ad eliminarla, prima esporta la chiave (in modo da avere un Backup recuperabile) e quindi controlla se la stampante funziona ancora...

Potrebbero essere visualizzate quelle lettere e simboli, quando si nomina (installa) un file con un linguaggio non supportato (cinese, giapponese, russo ecc....)

[Albertdj]

Ciao Kuma

Ok Fatto ho cancellato le voci come mi hai detto.

Rilanciando la scansione Spysweeper i vecchi adware sono spariti (non ho riavviato spero che sia ininfluente).

La stampante funziona.

Purtroppo appare un nuovo messaggio bravesentry fakealert che ti allego.

http://www.mytempdir.com/1022997

nell'allegato ho già evidenziato il relativo registro da modificare o almeno quello che credo sia quello giusto, confermami cortesemente se è esatto (così evitiamo di scriverlo visto che è lunghissimo).

Attendo Istruzioni.

Ho rilanciato tutti gli adaware che ho, e anche questa volta nessuno ha rivelato questa minaccia all'infuori di Spy Sweeper.

La copia della chiave del registro che ho salvato la tengo x un po' e poi la cancello? E se per caso dovessi reinserirla come si dovrebbe fare?

[Kuma]

La copia della chiave del registro che ho salvato la tengo x un po' e poi la cancello? E se per caso dovessi reinserirla come si dovrebbe fare?

Se l'hai esportata (con estensione .reg) basta che ci clicchi sopra due volte per riaggiungerla al registro... (tienila per una settimana e se tutto funziona, puoi eliminarla)

Veniamo al problema attuale:

Credo che puoi eliminare tranquillamente quella chiava... per sicurezza, anche in questo caso fai un backup

Per caso hai installato un antispyware chiamato appunto "BraveSentry" o altre applicazioni simili:

SpySheriff, SpyAxe, PestTrap, Spyware Stop e moltre altre (lista completa) ???

Per prima cosa, controlla se hai qualcuno di questi processi attivi:

bravesentry.exe

vxgamet[X2].exe

vxh8jkdq[X2].exe

win32.exe

xpupdate.exe

alg.exe

kerneles8.exe

maxd64.exe

services.exe

taskdir.exe

voi[X1].exe

vxgame[X2].exe

dxvwabxj.exe

Questi sono i files coinvolti:

vxh8jkdq2.exe

%program_files%\bravesentry\bravesentry.exe

%program_files%\bravesentry\bravesentry.lic

%program_files%\bravesentry\bravesentry0.bs

xpupdate.exe

%desktopdirectory%\bravesentry.lnk

%program_files%\bravesentry\bravesentry0.dll

%program_files%\bravesentry\bravesentry1.bs

%program_files%\bravesentry\bravesentry1.dll

%program_files%\bravesentry\bravesentry2.bs

%program_files%\bravesentry\bravesentry2.dll

bravesentrysetup.exe

desktop.html

install.dat

uninstall.exe

uninstall.lnk

brave-a.pee

bravesentry.exe

bravesentry.lic

bravesentry.lnk

bravesentry0.bs

bravesentry0.dll

bravesentry1.bs

bravesentry1.dll

bravesentry2.bs

bravesentry2.dll

bravesentry3.dll

%program_files%\bravesentry\bravesentry3.dll

%program_files%\bravesentry\uninstall.exe

%programs%\bravesentry\bravesentry.lnk

%programs%\bravesentry\uninstall.lnk

Mentre queste le altre chiavi nel registro:

HKEY_CURRENT_USER\software\bravesentry

HKEY_CURRENT_USER\software\bravesentryscan

HKEY_CURRENT_USER\software\bravesentry\systemsecurity

HKEY_CURRENT_USER\software\bravesentry\updates

HKEY_CURRENT_USER\software\microsoft\windows\current version\run\bravesentry

HKEY_LOCAL_MACHINE\software\microsoft\windows\current version\uninstall\bravesentry\BraveSentry

[Albertdj]

Ho esportato la chiave e poi l'ho cancellata.

Spy Sweeper controllo veloce non ha rivelato nulla.

Ho 2 dei processi attivi che hai elencato:

alg.exe

services.exe

Al riguardo cosa bisogna fare?

Sono andato nel sito che hai indicato.

Non uso nessun programma elencato nel Sito.

(Col mio inglese di base ho capito che, il sito elenca una serie di "cloni", di Ad-aware e Spybot Search & Destroy che sono ottimi e che io uso).

Per i file coinvolti, non ho ben capito se devo attendere tue indicazioni o cercarli e soprattutto in che modo.

Devo ricercare inoltre, se ho quelle chiavi di registro?

[Albertdj]

Ho controllato nel dubbio il registro e nessuna delle voci è presente.

Per il resto attendo news.

[Kuma]

Ho 2 dei processi attivi che hai elencato:

alg.exe

services.exe

Potrebbero anche essere due processi di sistema legittimi...

Infatti hanno lo stesso nome.... occorrerebbe sapere da dove si caricano (il percorso dei file)

Invece di usare il Task Manager di XP, prova ad usare questo:

http://download.sysinternals.com/Files/ProcessExplorerNt.zip

Se i file vengono eseguiti dalla cartella \System32

sono quelli legittimi

[Albertdj]

1. Con spybot search&destroy utilità> elenco processi si vede il percorso dei processi in esecuzione che per entrambi è

C:\WINDOWS\System32

lo stesso evidenzia ProcessExplorerNt che mi hai consigliato

2. Riaccendendo mi è tornato il messaggio bravesentry fakealert nonostante la cancellazione sembra che si "ricarichi"!

La chiave incriminata da Spy Sweeper è

HKEY_USERS\S-1-5-21-1844237615-616249376-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{72267F6A-A6F9-11D0-BC94-00C04FB67863}

Al riguardo ho trovato questo articolo cosa ne pensi? Può essere un falso positivo?

http://www.lavasoftsupport.com/index.php?showtopic=3363

3. Riguardo questi files coinvolti devo fare qualche tipo di controllo e se si come?

vxh8jkdq2.exe

%program_files%\bravesentry\bravesentry.exe

%program_files%\bravesentry\bravesentry.lic

%program_files%\bravesentry\bravesentry0.bs

xpupdate.exe

%desktopdirectory%\bravesentry.lnk

%program_files%\bravesentry\bravesentry0.dll

%program_files%\bravesentry\bravesentry1.bs

%program_files%\bravesentry\bravesentry1.dll

%program_files%\bravesentry\bravesentry2.bs

%program_files%\bravesentry\bravesentry2.dll

bravesentrysetup.exe

desktop.html

install.dat

uninstall.exe

uninstall.lnk

brave-a.pee

bravesentry.exe

bravesentry.lic

bravesentry.lnk

bravesentry0.bs

bravesentry0.dll

bravesentry1.bs

bravesentry1.dll

bravesentry2.bs

bravesentry2.dll

bravesentry3.dll

%program_files%\bravesentry\bravesentry3.dll

%program_files%\bravesentry\uninstall.exe

%programs%\bravesentry\bravesentry.lnk

%programs%\bravesentry\uninstall.lnk

Qui ci sono le relative lmmagini

http://www.mytempdir.com/1025075

Modificato October 29, 2006 da Albertdj

[Kuma]

I due processi sono legittimi :up1: (alg.exe e services.exe)

Per il controllo dei files...

%program_files%\bravesentry = C:\ programmi\bravesentry

se non hai questa cartella dovresti essere a posto

Prova a fare la scansione con AD-Aware, se non ti rileva nulla, si tratta di un falso positivo (ora Lavasoft dice cha ha risolto)

[Albertdj]

Quindi Spy sweeper non è affidabile causa il suo falso positivo e si che è un programma a pagamento! Ma questo evidentemente non è garanzia di alta qualità.

Non ho C:\ programmi\bravesentry

AD-Aware non rileva nulla.

Grazie Kuma sei stato molto gentile e alla fine il problema è risolto.

[Kuma]

Di nulla figurati...

guarda SpySwepeer è uno dei migliori antispyware in circolazione...

Purtroppo capita a tutti i programmi sulla sicurezza di fare queste false segnalazioni...

è a causa del motore euristico (riconoscimento del malware sconosciuto)...

Un paio di giorni fa, Avast, segalava il notepad.exe (il blocco note) come un trojan

.... la perfezione è solo un'utopia

[Albertdj]

In questo momento sono un pò disperato!!!

Allora ho sistemato a puntino il PC, nessun Virus nessun Adware o simili, inizio a fare un po' di lavoro ordinario e sono contento. Dopo aver spento, lo riaccendo ed ecco che cominciano le cose strane non si carica all'avvio ne AVG ne Zone Alarm, (nemmeno copernic, ma questo mi preoccupa meno).

Lancio AVG, spybot. Tutto ok.

Mentre scrivo questo messaggio AVG rileva un virus mi pare un trojan, vado per copiarmi il nome in word, ma la schermata sparisce!

Dopo poco l’ADSL Alice si disconnette (non so se è un caso o no) e dopo 2 minuti riparte

Lancio Spyware blaster, Virit, controllo eventuali file sospetti, mentre Virit sta controllando c:\WINDOWS\system32 appare un messaggio di AVG Virus Dected! While opening file c:\WINDOWS\system32\ActiveScan\sporder.dll Trojan horse Downloader.Agent.GPZ

Lo faccio pulire da AVG che ci riesce.

Avast, AVG anti-Spyware scansione veloce OK.

Tutto era cominciato qualche giorno fa allo stesso modo e poi dopo molto lavoro credevo fosse tutto a posto.

A questo punto non so più cosa pensare, hai qualche consiglio da darmi?

Modificato October 30, 2006 da Albertdj

[Kuma]

Lo Sporder.dll è un file usato dai programmi per lavorare con la catena Windows LSP . Sfortunatamente questo file è usato anche da qualche malware ...se alcuni programmi antispyware lo cancellano i programmi legittimi cessano di funzionare correttamente.

Il file legittimo si trova in C:\Windows\System32 SpOrder.dll Download Link

Fai inoltre una scansione come descritto su questa pagina:

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Salva il file in formato HTML ed allegalo qui

[Albertdj]

Per installare sporder.dll l’ho scaricato e poi ci ho cliccato su 2 volte è corretto?

Ho lanciato Kaspersky Anti-Virus: Free Online Virus Scanner

Certo che pulire il PC x ritrovarselo infettato nel giro di poche ore è deprimente.

[Kuma]

No.... non si tratta di un file di registro (.reg) ma di una dll...

in pratica la deci copiare maualmente nella cartella C:\Windows\System32

Resto in attesa del log

Un'altra cosa... stai usando XP con il Service Pack 2 ????

[Albertdj]

Mentre Kaspersky era arrivato al 10% appare un messaggio di AVG Virus Dected! While opening file

C:\System Volume Information\_restore{8AACA9E1 -AFAB-4775-92E9-080BB5F105B6}\RP218\ A0084533:dll

Trojan horse Downloader.Agent.GPZ[/size]

Ho copiato il file in C:\Windows\System32. Aver fatto 2 click sul file ha causato qualche inconveniente?

Kaspersky è al 62% ma non ha rilevato nulla al momento.

Ho service pack 2 installato

Modificato October 31, 2006 da Albertdj

[Kuma]

Per eliminare i virus dal System Restore:

Disabilita il Ripristino di configurazione su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino e anche i virus) quindi riabilitalo e crea un nuovo punto di ripristino pulito

L'aver fatto 2 click non ha provocato nessun inconveniente

OK per il SP2 :up1:

che antivirusi???

(e dimmi pure tutti gli altri programmi che hai per la sicurezza)

[Albertdj]

Ok Eliminato ripristino di configurazione di sistema.

Comunque AVG dopo che ho premuto Heal non lo ha pulito, ma lo ha portato in Vault (quarantena) a questo punto basta solo che lo cancello dalla quarantena?

Antivirus: AVG free ultimo aggiornamento

Anti-spyware/ Malware:

AVG Anti-Spyware

Spyware Blaster

AdAware SE Personal free

Spybot - Search & Destroy

VIRIT

Avast

Spy-sweeper

Doctor Alex

superantivirus

Bazooka

a-squared free

Firewall: Zone Alarm

Kasperky è al 90% ma non ha rilevato nulla al momento.

[Albertdj]

Kaspersky ha terminato e non ha evidenziato nulla. Allego il risultato.

Ho allegato il file usando aggiungi questo allegato, ma poiché nel messaggio non vedo se è stato effettivamente allegato l'ho anche messo qui:

http://www.mytempdir.com/1028421

Non so se può essere importante ma uso Absolute StartUp per controllare i programmi che si caricano all'avvio. Visto che alcuni programmi non si caricano, può darsi che questo programma sia stato coinvolto in qualche modo. Ho provato quindi a reinserire in Absolute StartUp AVG e Zone Alarm ma con scarsi risultati. Per esempio si avvia solo AVG e per di più nemmeno ridotto a icona.

Ho disinstallato Absolute StartUp per vedere se risolvevo, ma Zone Alarm non si carica e i programmi che si caricano all'avvio sono quasi tutti non minimizzati.

Modificato October 31, 2006 da Albertdj

[Kuma]

Troppa roba

Antivirus: AVG free ultimo aggiornamento ------------ DISINSTALLALO (non è molto buono)

Al suo posto mettici ANTIVIR PE (clicca qui) --------

Anti-spyware/ Malware:

AVG Anti-Spyware ----- OK------

Spyware Blaster ---------OK-------

AdAware SE Personal free -------OK--------

Spybot - Search & Destroy ---- DISINSTALLA, al suo posto mettici Spyware terminator( clicca qui) Ma solo se stai usando la versione di prova di SpySweeper

VIRIT ---- DISINSTALLA ------

Avast ------DISINSTALLA ----- (questi due non ti servono se metti Antivir PE)

Spy-sweeper ----- Se usi la versione a pagamento, tieni questa e NON installare Spyware terminator.... Se è la versione Shareware, Disinstallalo----

Doctor Alex ----- DISINSTALLA------

superantivirus questo cos'è???? non lo conosco, comunque TOGLILO (non vorrei che fosse un Fake)....

Bazooka ----- DISINSTALLA------

a-squared free ----- DISINSTALLA------

La scansione su Kaspersky l'hai fatta in modalità normale e non avanzata come descritto nella pagina linkata.... comunque non appare malware caricato....

Per i programmi che non si caricano all'avvio... il problema potrebbe essere dovuto ai troppi programmi sulla sicurezza che hai... forse qualcuno li blocca....

Disinstalla quello che ti ho detto e per gli altri che non si avviano prova a reinstallarli

[Albertdj]

OK cancellato AVG messo Antivir.

Fatta pulizia come indicato per i vari Anti-spyware/ Malware.

"superantivirus (IMG:style_emoticons/default/excl.gif) questo cos'è???? non lo conosco, comunque TOGLILO (non vorrei che fosse un Fake).... (IMG:style_emoticons/default/excl.gif)"

Avevo digitato male era SuperantiSpyware, comunque l'ho tolto.

In Kaspersky dovevo selezionare modalità Extended ed invece ho lasciato x errore standard?

Antivir ha trovato w95\blumblebee.1738 in c:\windows\system32\active scan\pskavs.dll

Che col mio inglese di base ho capito che verrebbe caricato quando si fa la scansione on line con panda - pandas active scan – e non si tratterebbe di un falso positivo, almeno secondo il forum di Antivir e se ho ben capito.

Fonte: http://forum.antivir.de/thread.php?threadi...92fcb6ef14903d9

Antivir ha trovato poi 1 trojan. Testato su http://virusscan.jotti.org/ è risultato positivo solo su Fortinet e Antivir, quindi un po' in dubbio

Entrambi comunque sono stati messi in quarantena.

Ho Reinstallato il programma che non si caricava bene.

E' stato un lungo e faticoso lavoro, ma la pulizia con quel casino di programmi che avevo andava fatta.

Ora (lo dico sottovoce) sembra che vada tutto bene, speriamo…

Grazie Mitico Kuma

[Kuma]

Di nulla... :up1:

occhio a non installare troppe protezioni, che oltre ad interferire tra di loro, potrebbero rallentarti il sistema

Se su Virus Total due antivirus segnalano il file come infetto, ci sono alte probabilità che lo sia... comunque per il momento non eliminarlo dalla quarantena in modo che si possa recuperare...

Se invece non ti preoccupano i troppi avvisi di Antivir e vuoi una protezione massima... leggi qui:

http://www.wininizio.it/forum/index.php?showtopic=43873

Comunque per un uso normale, le impostazioni di default sono più che sufficienti

[Albertdj]

Grazie ancora, non sapendo come settarlo ero già andato a vedere quanto da te indicato in

http://www.wininizio.it/forum/index.php?showtopic=43873

e avevo già impostato in questo modo la protezione (i buoni consigli vanno seguiti!). :up1:

Mi ha trovato un file dubbio con l'euristica. Ho provveduto a toglierlo dal PC - a titolo cautelativo - e metterlo in un CD così è fuori dal PC ma posso sempre recuperarlo in caso di bisogno.