Hijack Sygate

[kuichido]

Ciao a tutti,
stamattina Sygate mi ha notificato questo avviso:

"Application Hijacking has been detected
The application: C:\WINDOWS\system32\WISPTIS.EXE try to launch another application: C:\Programmi\eMule\emule.exe to go to remote host 84.78.128.20"

Facendo un whois è risultato l'indirizzo di www.ripe.net
Cosa vuol dire? Ho dato un'occhiata al sito ma onestamente non capisco come mai emule dovrebbe puntare su tale sito.....

Avete suggerimenti, informazioni a riguardo?
Ciao e grazie

[Tidus Strife]

Anch'io certe volte ho quel processo attivo... fa riferimento a Microsoft Journal Viewer mi sembra, però a me sembra strano anche il fatto che vuole lanciare emule boh...

[kuichido]

Infatti è proprio questo lo strano.
A volte mi era capitato di vedere informazioni simili (il pc è stato contattato dall'indirizzo bla bla bla...) ma mai in questo modo.
Poi non mi è chiaro perchè quel sito

[lancetta]

è relativo a queste cose: principalmente la penna ottica,windows journal che è il soft per leggere i file creati con journal appunto per tablet pc,in poche parole file scritti con il pennino però è anche concatenato con office e acrobat reader,ed effettivamente risiede nella cartella leggittima (sistem32)... però che voglia connettersi mi dà da pensare poichè in passato qualche virus si è camuffato da WISPTIS.EXE ,però in genere da cartella windows....al posto tuo farei qualche scansione antimonnezza per stare tranquilli

Saluti

[Tidus Strife]

Si infatti anche a me si attiva quel processo, quando su msn uso la scrittura a mano ^^
Però non vedo che fa niente di strano anche perché penso che non mi verrebbe notificato visto che non uso firewall (quello di win è come non usarlo)...

[Riverside]

Concordo con Lancetta.
Quel processo faceva riferimento a Adobe Acrobat Reader Versione 6.0 (curiosamente, quando si chiudeva l'applicazione, il processo restava attivo e non c'era maniera per "killarlo")oppure Microsoft Windows Journal Viewer.
Intanto, verifica se Adobe è aggiornato alla versione più recente.
Per quanto riguarda MSN Messenger, francamente non ne ho la più pallida idea (tra le diverse, amene ed inutili funzionalità che propone, ho disabilitato, anche, quella di scrittura a mano).
In ogni caso, se vuoi evitare che il processo vada in esecuzione, puoi seguire una strada diversa: apri le proprietà del file wisptis.exe e nega i permessi di lettura e scrittura a tutti gli utenti con esclusione di System.

[kuichido]

Quote:

Originariamente inviato da lancetta

è relativo a queste cose: principalmente la penna ottica,windows journal che è il soft per leggere i file creati con journal appunto per tablet pc,in poche parole file scritti con il pennino però è anche concatenato con office e acrobat reader,ed effettivamente risiede nella cartella leggittima (sistem32)... però che voglia connettersi mi dà da pensare poichè in passato qualche virus si è camuffato da WISPTIS.EXE ,però in genere da cartella windows....al posto tuo farei qualche scansione antimonnezza per stare tranquilli

Saluti

Si, avevo letto anche io qualcosa in merito ad un virus simile.
Ieri ho fatto una scansione approfondita e non ha rilevato nulla.
Il file si trova nella sua cartella legittima system32

[kuichido]

Quote:

Originariamente inviato da Riverside

Concordo con Lancetta.
Quel processo faceva riferimento a Adobe Acrobat Reader Versione 6.0 (curiosamente, quando si chiudeva l'applicazione, il processo restava attivo e non c'era maniera per "killarlo")oppure Microsoft Windows Journal Viewer.
Intanto, verifica se Adobe è aggiornato alla versione più recente.
Per quanto riguarda MSN Messenger, francamente non ne ho la più pallida idea (tra le diverse, amene ed inutili funzionalità che propone, ho disabilitato, anche, quella di scrittura a mano).
In ogni caso, se vuoi evitare che il processo vada in esecuzione, puoi seguire una strada diversa: apri le proprietà del file wisptis.exe e nega i permessi di lettura e scrittura a tutti gli utenti con esclusione di System.

Di Acrobat uso la versione completa della vecchia release 4 per motivi di compatibilità con un altro vecchio programma.
Ovviamente per visualizzare pdf non uso acrobat ma foxit reader (molto più leggero).....
Per adesso verificherò che non dia altri problemi altrimenti seguirò la strada da te suggerita di modificare i permessi del processo.
Grazie a tutti per i suggerimenti

[Tidus Strife]

a me il file occupa 287 kb ed è in system32...

[Riverside]

Quote:

Originariamente inviato da Tidus Strife

a me il file occupa 287 kb ed è in system32...

E' dove deve essere .... prova a seguire il mio suggerimento (vedi reply precedente) e vediamo se funziona.