System Alert, falso antivirus [MegaLab.it]

Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)

Canali

Ultime news

Barbecue - le ricette e le tecniche: nuovo collezionabile da Edizioni Master In edicola una nuova pubblicazione editoriale ricca di ricette e...
Barbecue – le ricette e le tecniche: nuovo collezionabile da Edizioni Master In edicola una nuova pubblicazione editoriale ricca di ricette e...
Telefonino.net presente al GSMA Mobile World Congress 2015 Anche quest'anno il portale italiano leader sulla telefonia mobile...
Sempre più vicino il rilascio di Spartan, il nuovo browser Microsoft Al CES 2015, Microsoft ha lasciato trapelare due immagini confuse e...

Ultimi articoli

Le ultime dal Forum

MegaForum

Le nostre guide

System Alert, falso antivirus

28/11/2007

- A cura di

Stefano "ste_95" Ottolenghi.

Sicurezza - Impariamo a rimuovere uno dei più diffusi e scaltri "rogue antivirus" in circolazione.

Network Motori

In collaborazione con newstreet.it

Correlati

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

Valutazione

Voto complessivo 5 calcolato su 336 voti

Rimozione manuale:

Per i temerari che volessero avventurarsi nella rimozione manuale, ecco una breve guida.

I tool che in questo caso ci aiuteranno sono HijackThis e The Avenger.

Nel log di HijackThis, l'infezione è evidenziata da voci che collegano a file e dll con nomi "strani" nella cartella Windows e in sottocartelle, per esempio:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http:////softwarereferral.com/jump.ph...6Ojg5&lid=2 O21 - SSODL: wmpenv - {1EC6A749-0D7D-475A-8B0D-7F054D6144D0} – C:\WINDOWS\wmpenv.dll O21 - SSODL: syscore - {57B34C98-0E01-4567-AC88-F17CF262E2EA} - C:\WINDOWS\syscore.dll O21 - SSODL: msmhost - {680FDDBA-E8F3-4ED8-BCF9-59C27B2E097B} – C:\WINDOWS\msmhost.dll O21 - SSODL: sysdx - {7514BD5C-2B80-4707-9DED-F0F708204562} - C:\WINNT\sysdx.dll O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

In particolare, evidenziano l'infezione le voci corrispondenti a O20 e O21; negli esempi si vede come queste voci colleghino a file con nomi fuori dal comune nella cartella di sistema: si tratta di un evidente sintomo di infezione. Questi file non hanno mai un nome uguale; cambiano quindi da infezione a infezione, perciò lo script va personalizzato ogni volta.

La voce R0 evidenzia come Home Page sia stata sostituita con una ingannevole, e la voce O24 è l'immagine che cambia lo sfondo con uno rosso, dicendoci che la nostra privacy è in pericolo (anche se in realtà è già stata violata).

Provvediamo quindi a fixare le voci che contengono questi riferimenti.

Con The Avenger eliminiamone i file, seguendo questa guida; in tal caso lo script sarebbe:

Files to delete: C:\WINDOWS\wmpenv.dll C:\WINDOWS\syscore.dll C:\WINDOWS\msmhost.dll C:\WINDOWS\sysdx.dll folders to delete: C:\WINDOWS\privacy_danger

In definitiva, vanno eliminati tutti i file maligni, a cui le voci fanno riferimento; per quanto riguarda la cartella privacy_danger, invece, essa va sempre eliminata, e quindi inserita nello script.

I riferimenti della voce R0 sono eliminabili con The Avenger, ma è consigliabile utilizzare HijackThis.