zonealarm rileva keylogger yahoo messenger

[thanazoe]

Navigo con un portatile sistema operativo windows XP su cui ho installato da tempo zone alarm e avg 7.5 versione a pagamento,faccio pulizia regolare con regseeker e ccleaner. Ho già avuto in passato un'esperienza negativa con un sospetto di monitoraggio del mio pc quindi ogni tanto controllo i processi in esecuzione e cerco di stare attenta, ma adesso sono davvero preoccupata, perchè da un paio di giorni Zone Alarm mi segnala (in rosso come comportamento sospetto, e non semplicemente come richiesta di autorizzazione) all'apertura di Yahoo! messenger, che il software yahoo sarebbe "alterato da un programma -che potrebbe monitorare i tasti premuti, i siti visitati e altri comportamenti dell'utente". A qualcuno è accaduto mai lo stesso? Ho effettuato qualche ricerca su questo "Yahoo messenger spy monitor" - zonealarm mi mette in guardia proprio da questo – e scopro che è un dannato softwarino che controllerebbe anche da remoto ma non trovo nessun consiglio su come eliminarlo ma soltanto assurde quanto improbabili traduzioni automatiche dall'inglese che lo descrivono come un programma della NASA in grado di spiare anche le mutande di una moglie infedele. Ma mi domando: questi cosiddetti keylogger se ho ben capito di che si tratta, non dovrebbero essere installati direttamente sul pc da controllare? O si possono "lanciare" da lontano. magari attraverso il messenger? E'possibile che attraverso il controllo solo del messenger yahoo! siano monitorati davvero tutti i miei movimenti?! Non mi preoccupo per le conversazioni su messenger - lo uso per lavoro - ma per l'eventualità che un simile programma possa risalire a password di mail conti e cose serie.Ho effettuato ogni scansione possibile e immaginabile con con vari antivirus oltre ad AVG, anche online, e con alcuni software che promettono di individuare sospetti keylogger sul pc, con una montagna di anti trojan, anti malware, anti spyware eccetera eccetera ma non vengo a capo di niente, perchè pur segnalandomi file e processi sospetti non so cosa eliminare.. Posso fare qualche verifica prima di rassegnarmi a formattare? Se può essere utile posso postare il log di hjackthis che comunque non sono in grado di interpretare da sola. Scusate se mi sono dilungata e grazie mille in anticipo a chi potrà aiutarmi

[thanazoe]

Il mio file di log di hijackthis è visibile qui
http://www.mediafire.com/?0zx0jmxjfnj

qualcuno mi dà una mano per favore?

[hell's bells]

Senza scomodare la nasa..

Monitora tutte le attività che vengono eseguite dal cliente di messaggeria istantaneo Yahoo! Messenger.

Il Yahoo! Messenger Spy Monitor è uno strumento di sorveglianza che registra tutto quello che succede nel cliente di IM di Yahoo!, utile per controllare sia impiegati che bambini.

L’applicazione catturerà i messaggi inviati e ricevuti senza importare le loro dimensioni; offre le opzioni di esportare queste conversazioni in documenti HTML o di inviare relazioni direttamente all’indirizzo e-mail o server FTP specificato.

Il Yahoo! Messenger Spy Monitor lavora in modo completamente invisibile per l’utente che viene controllato e suppone una buona funzione di vigilanza, per cui altre idee di spionaggio vanno scartate.

Ora se è presente sul tuo pc fisicamente come programma lo cerchi e lo disinstalli, in ogni caso è un programma di controllo legittimo.

[thanazoe]

indubbiamente, ma sempre senza scomodare la nasa escludendo al cento per cento la presenza fisica del software sul mio pc (nessuno ha accesso al portatile) appunto mi domandavo come funziona questo dannato spy monitor, e cioè se fosse possibile per il supposto spione controllare i miei dati da remoto, attraverso questo software, senza aver precedentemente avuto accesso alla mia macchina... ma in qualche modo attraverso il messenger di yahoo. oltre al file di log di hijackthis già postato, aggiungo il report di KL-DETECTOR, che prometterebbe di individuare eventuali keylogger: qualcuno più esperto di me potrebbe aiutarmi?

[thanazoe]

il report di Kl detector, è qui:
http://www.mediafire.com/?wgxxoeendmn

[Deifobe]

Come ti ha detto hell's bells, è effettivamente un programma...
alcune altre funzionalità (da www.softpedia.com ) per te che non lo trovi (non si sa mai...)

· Record Yahoo! Messenger chatting conversation
· Record both incoming and outgoing messages
· Record real time of activities
· Hide program installation folder
· Hide program name in Windows Task Manager
· Hide program title on Taskbar
· Hide program window on desktop
· Monitoring task schedule
· Send logging report to an emailbox
· Automatically monitor at program startup
· Automatically start at Windows startup

Forse lo hai installato tu per errore.. non credo si sia autoinstallato.. mah..


1) <<Se lo vedi>> tra le applicazioni (pannello di controllo => installazione applicazioni) puoi rimuoverlo da li'. Controlla per bene tutto quello che hai installato e cerca anche MSNCS.

2) => http://www.emsisoft.com/en/malware/?...SN+Spy+Monitor
a parte usare a-squared o altri programmi, puoi cercare le cartelle e i files elencati:

C:\Program Files\MSNCS (cartella)
C:\WINDOWS\system32\adsnwm.exe (file)
C:\WINDOWS\system32\msnappini.ini (file)
msnspymonitor.exe

Se non trovi la cartella MSNCS, prova a cercare i files:

C:\Program Files\MSNCS\data\ dpnsvrm.exe
C:\Program Files\MSNCS\data\ vssvcm.exe
C:\Program Files\MSNCS\ winmsn.exe

poi dovrai ripulire il registro cercando le voci adsnwm e msn spy monitor.

3) Dovessi non aver trovato nulla di quanto elencato, vediamo se si vede qualcosa da systemscan:

scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

ciao

[thanazoe]

grazie dell'aiuto Deifobe,
ho cercato accuratamente le voci che mi segnali ma niente.
ieri ho scoperto anche che ero stata iscritta a uno strano gruppo di yahoo (probabilmente è un fatto comune che qualcuno iscriva senza autorizzazione utenti a caso perchè c'è un modulo per la segnalazione dell'abuso) (la cosa risale a pochi giorni fa, da quando è iniziato il problema) con tutta l'apparenza di un fake creato per altri scopi e dunque al di là della paranoia da spie temo sia quella la causa. inoltre non so quanto sia affidabile ma ho installato per prova anti keylogger (http://www.anti-keyloggers.com/index.html)e mi segnala in effetti il messenger come processo a rischio. oggi provo la scansione con systemscan.

[Deifobe]

ok, allora aspetto la scansione. E' probabile che ci sia qualche file che svolge la stessa funzione. Eventualmente, potrai anche disinstallare/installare nuovamente messenger di yahoo, ho visto che una persona ha risolto anche in questo modo, a parte ripulire il pc (anche se li' c'era il vero e proprio software installato).

Ciao

[thanazoe]

infatti avevo pensato a disinstallare yahoo o a cambiare utente ma temo non sia sufficiente - ecco comunque il report di systemscan
lo puoi vedere qui
http://www.mediafire.com/?1cjzu9jmyjm



p.s. due cose:
se se clicco "ulteriori informazioni" zone alarm, che seguita a impedirmi l'accesso a yahoo messenger, mi dà un alert troppo generico..

http://osalerts.zonelabs.com/osanaly...4&tab=overview

poi, non so se c'entra con l'episodio, o può essere utile come informazione, ma ora la scansione con AVG 7.5 mi trova anche:
jar_cache41879.tmp
secondo avg, un Cavallo di Troia Downloader.Delf.12.AE
in percorso: ImpostazioniLocali/Temp

che però una volta messo in quarantena non sembra dare problemi.

grazie ancora dell'aiuto e spero di risolvere, tutti gli altri tentativi sono falliti

[Deifobe]

ho controllato e ricontrollato ma mi sembra di non vedere nulla.

prova a disinstallare Yahoo! Messenger e poi, ripulisci i file temp (se non l'hai, scarica CCleaner) e C:\WINDOWS\Prefetch.

i jar_cachexxxxx.tmp appartengono a Java (già che ci sei, aggiorna + svuota la cache ) ma da quello che so, credo verranno ricreati ogni volta, ad esempio, che andrai su un sito che usa java. Comunque nella scansione (60 gg) non ne vedo altri.

La scansione con Malwarebytes non ha trovato nulla?