www.MegaLab.it

Si tratta di un dialer italiano che si propaga, di solito, via e-mail con un allegato in formato di file .Exe, o collegandosi ad un qualche sito e scaricando un plugin.

I sintomi principali, dell'arrivo di questo fastidioso ospite, sono la presenza sul Desktop di due nuove icone, WinMoviePlugIn e una nuova di Explorer che vi collegherà, tramite un numero a pagamento, ad un sito porno.

Ricordiamo che chi ha le linee ADSL non può collegarsi a questi numeri, però può subire delle cadute di linea quando il dialer tenta di connettersi, o ritrovarsi una pagina iniziale bloccata su un sito "allegro".

Le stesse icone le trovate nei Preferiti, nel menu Avvio, nei Programmi e sparse in giro per il computer.

Altro sintomo è il blocco della pagina iniziale di Internet, alcune volte in About: blank oppure viene reindirizzata sempre verso il solito sito porno.

Questo è il messaggio che ottenete se cliccate su una delle due icone.

Rimozione del dialer

Se avete Windows XP o Windows Me disattivate il ripristino della configurazione.

Le scansioni con i normali programmi antispyware, come Adware e Spybot search & destroy, non sembrano dare risultati, bisogna procedere alla rimozione in maniera manuale, in ogni caso fatele, potreste sempre eliminare qualche altro ospite indesiderato.

Avviate Windows in modalità provvisoria, premete F8 subito all'avvio del computer e dal menu che compare, selezionate l'Avvio in modalità provvisoria.

Utilizzando HijackThis fate la scansione e nel log potete trovare una serie di righe simili a queste (ho editato i link dei siti per non diffondere certi indirizzi).

R0 - HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = www.sfonditalia.****

R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Search Page = about: blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant = about: blank

O4 - HKLM.. Run: [Olympic] C: \Documents and Settings\Utente\Dati applicazioni\sgruntIE4321.exe

O15 - Trusted Zone: www.archiviosex.***

O15 - Trusted Zone: www.sgrunt.***

O15 - Trusted Zone: www.skymasters.***

O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.sgrunt.*/closer/close.exe

Fatta la scansione, mettete il flag sulle voci pericolose e premete Fix.

Segnatevi i nomi dei siti indicati nelle righe che iniziano con 015 perché saranno poi da ricercare nel registro di configurazione e nelle proprietà di Internet.

Il nome del file pericoloso, in questo caso, è IE4321.exe ma cambia quasi sempre.

Altri nomi molto diffusi per questo dialer sono sysmon.exe, sysfind.exe o sysrtmvs.exe, ma potrebbe assumere qualsiasi nome.

Se avete dei dubbi sul nome del file, prima di iniziare le pulizie, potete provare ad eseguirlo e vedrete se tenta di collegarsi ad Internet, in questo caso siete sicuri di cosa dovete eliminare.

Se avete ancora dubbi postate il log della scansione nella sezione Sicurezza del Forum e vedremo di darvi una mano a risolvere il problema.

Avviate Internet Explorer e selezionate Strumenti, Opzioni internet, andate nelle Connessioni e rimuovete tutte quelle che non riconoscete come la vostra reale connessione.

Sempre in Internet Explorer selezionateStrumenti, Opzioni internet, Protezione scegliete Siti attendibili e se trovate i siti che avevate visto nelle righe di HijackThis che iniziavano con 015 li eliminate.

Volendo li potete poi inserire nei Siti con restrizioni, in modo da cercare di bloccarli in caso di una nuova infezione.

Cancellate tutti i file temporanei e tutto il contenuto non in linea (Elimina file), cookies (Elimina cookie) e Cronologia dei siti visitati (Cancella cronologia).

Sulle due icone che trovate nel desktop cliccate con il tasto destro del mouse, selezionate Proprietà, e guardate il nome del file .Exe di Destinazione che trovate nel Collegamento.

Il nome di questo file .Exe, che è il vero dialer può variare e bisogna scoprirlo in questo modo, per poi eliminarlo manualmente.

Quindi segnatevi il percorso del file ed andate subito a cancellarlo.

In Risorse del Computer abilitate la visualizzazione di cartelle e file nascosti selezionate Strumenti - Opzioni Cartella - Visualizzazione premete poi Applica a tutte le cartelle.

Andate su Start, Cerca e ricercate nel vostro PC tutti i file WinMoviePlugIn.lnk e explorer.lnk, li dovreste trovare presenti nel Desktop, nel menu di avvio, nella cartella Documenti, nei Preferiti di tutti gli utenti che avete configurato sul vostro computer, cancellate tutti i file che trovate.

Ricercate anche tutti i file e cartelle che contengono la parola sgrunt che si ripete spesso in questo tipo di infezione.

Controllate in tutti gli utenti nella cartella Documents and settings\(nome User)\Impostazioni locali\Temp e cancellate tutti i file .exe sospetti, e cercate anche nella cartella Temp che potrebbe trovarsi in C:\Windows, in genere potete cancellare tutto il contenuto di queste cartelle.

Avviate il registro di configurazione, da Start - Esegui - Regedit e ricercate nel registro tutti quei siti che erano stati indicati da HijackThis nelle righe che iniziavano con il 015, cancellateli tutti quanti.

Riavviate il computer e riabilitate il Ripristino configurazione di sistema.

Se avete eseguito tutte le operazioni in maniera esatta, a questo punto dovreste avere eliminato il vostro dialer e ripreso il completo controllo del vostro computer.