Ho scoperto un nuovo spyware/malware/adware particolarmente appiccicoso e nocivo, condivido la soluzione che ho trovato per estirparlo…..
Ho riscontrato la sua presenza solo su Windows XP, per adesso.
Purtroppo, per ora non esiste un tool per la rimozione, che va fatta manualmente. La cosa richiede una certa pratica e non credo sia alla portata di tutti, spero comunque di poter aiutare il maggior numero di persone. Per trovare questa procedura ci ho messo giorni e non è detto che sia risolutiva, fate attenzione a ciò che cancellate e controllate bene tutto.
Accertatevi di avere fatto tutto quello che è descritto qui.
Sintomi: apparizione di finestre di IE, senza menu, con contenuti commerciali tipici della categoria: suonerie, logi, sfondi, ecc, ecc. Apparizione di una finestra simile ad una applicazione antivirus, chiamata SuperScan, che invita a premere un pulsante per iniziare una scansione. Saturazione della banda di rete a causa delle innumerevoli connessioni in uscita verso la porta 445 dirette ad indirizzi IP casuali ed anche della subnet. Quest’ultimo comportamento è peculiare: anzitutto sembra che lo spyware cerchi di replicarsi alla maniera di un virus, inoltre la banda consumata è tale da bloccare anche le connessioni delle altre macchine, anche se pulite. Sono portato a pensare che si possa replicare perchè “l’infezione” si è propagata come un virus su tutta una subnet.
Nella lista dei processi attivi vengono inserite diverse voci: le più ricorrenti sono: msa
, kalv*.exe
, powerscan
.
La cosa fastidiosa è che se anche cancellate i processi e li rimuovete dall’avvio e dal registro, si ripresentano puntualmente all’avvio successivo!
Norton Antivirus non lo considera neppure ed i normali strumenti, che trovate descritti qui, non funzionano senza procedure particolari che vedremo.
Questa schifezza viene individuata come una serie di spyware con i nomi di: SuperScan, EliteToolbar, SideFind, Optimizer, WebRebates, ed alcuni altri, tutti assieme o a gruppi di essi.
Strumenti necessari: AdAware, Spyware Blaster, Security Task Manager (consigliato, ma non strettamente necessario), SpyBot, XP Process Explorer
Rimozione: La prima, indispensabile operazione è disattivare il Ripristino configurazione di sistema.
Controllate tramite il comando netstat -ano
(non ridete), se il computer sta tentando una quantità di connessioni verso indirizzi IP random sulla porta 445, ed eventualmente killate il processo che le produce, tramite il task manager. (Gaspar Torriero vi spiega come fare).
Tramite XP Process Explorer e/o Security Task Manager, terminate quanti più processi potete, cominciando da quelli sospetti, fino a lasciare solo quelli di cui siete assolutamente sicuri.
Adesso installate ed aggiornate Spyware Blaster, che aggiunge i siti pericolosi nella zona rossa di IE, impedendo l’esecuzione di codice sospetto dai suddetti siti. Questo programma ha il vantaggio di non essere residente e quindi non consuma risorse; di contro la versione gratuita non prevede il “live update”, quindi l’aggiornamento va fatto a mano.
Installate, aggiornate e fate girare sia AdAware che SpyBot, avendo cura di selezionare “full system scan” per il primo e per il secondo attivare la modalità avanzata e attivare la visualizzazione dei pulsanti avanzati.
Dopo aver ripulito quanto possibile con questi strumenti, aggiornate all’ultimo service pack e fate tutti gli aggiornamenti di sicurezza sul Windows Update (*).
Adesso controllate che l’antivirus sia aggiornato e riavviate il PC in modalità provvisoria.
Una volta in modalità provvisoria, attivate la visualizzazione dei file nascosti, di quelli di sistema e delle estensioni dei files.
Usate il find per trovate tutte le cartelle Temp e Temporary Internet Files e svuotatele tutte. Cercate anche tutte i seguenti files e cancellateli tutti: elite*.*, kal*.exe, sidefind*.*, msa*.exe, powerscan*.*, optimize*.*, sah*.*, doolsav.dat
.
Cancellate, se esiste C:\Documents and Settings\All User\Dati Applicazioni\SecTaskMan.
Adesso fate girare nuovamente AdAware, SpyBot ed anche l’antivirus (ve lo avevo detto che era lungo e noioso?).
Se SpyBot vi segnala che non riesce a togliere qualcosa, controllate, probabilmente sono solo chiavi di registro, che potete togliere a mano immediatamente.
Cercate di non dimenticare nulla, pena la reinfezione completa del PC.
Potete far ripartire il PC, incrociando le dita e controllate tramite XP Process Explorer e/o Security Task Manager di non avere più i processi spyware/malware/adware.
Se l’operazione non avesse successo (mi è capitato), ripetete tutta la procedura da capo (nooooo!).
(*)Se qualcosa dovesse andare storto lo stack TCP potrebbe corrompersi, usate WinsockXPFix per risolvere il problema.
Aggiornamento: Giancarlo mi segnala questo tool di rimozione della Elite Toolbar creato da lui. E’ gratuito e lo potete scaricare qui. Appena lo provo vi faccio sapere.
Commenti
8 risposte a “Come ripulire il PC, reloaded”
ma questo spyware/malware/adware � proprio una rottura :|. io incrocio le dita, da quando sono passata a firefox e ho kaspersky + il solito sygate ad ogni scansione non vengono pi� trovate schifezze. per il resto ho sempre la mia immagine pronta da sovrascrivere, aggiornata ad ogni cambiamento che mi soddisfi! [me lo sento che con questo commento ho attirato l’ira degli dei…]
Grazie , Andrea� ti ho linkato qui :
http://www.sysadmin.it/forum/topic.asp?TOPIC_ID=1715
Grazie e ciao
Beh, io uso IE e FireFox (a seconda di come mi “sveglio”) ed ho “immunizzato” il sistema con SpywareBlaster. Inoltre ho sempre SpywareGuard attivo, ed infatti � da tempo immemore che non prendo spyware o malware di un qualche tipo… 😉
Comunque bravo Andrea, questo mini-howto sar� sicuramente d’aiuto a chi dovesse trovarsi alle prese con questo malware bastardi… 😀
Grazie. Preziosissimi consigli…come sempre!
ho provato il coktel di programmi,e aspetto………per ora grazie e a presto.
[…] che sono miei PC, quindi sono macchine sostanziamente pulite, da vedere come si comporterà con programmi veramente tosti. Sicuramente nessuno meglio di Microsoft è in grado di dire quali sono gli ospiti indesiderati del […]
Come faccio a cancellare un indirizzo, che quando apro internet, lui va nelle ultime ricerche?ti prego!”!!!!!!!!!!!!!
grazie per le tue utilissime notizie ma proprio ieri sul mio pc e sucesso tutto quello che tu hai detto(anche gli scarafaggi che pascolavano)
io come programa diffensivo ho spywaredoctor pc tools software(pagato) ed anche l´antivirus stessa marca (gratis) ma purtroppo io ho aperto la porta per farli entrare,si presentavano come software per poter visionare un video
i programi che hai descrito sono compatibili con i 2 sopra menzionati?
ti ringrazio ciao
buone le trenette al pesto