Negli ultimi tempi, System Alert, un rogue antivirus (falso antivirus), si è diffuso a macchia d'olio nella rete Internet, infettando numerosi computer.
Effetti del malware
È relativamente facile essere infettati da questo pericoloso spyware, visto il tranello che ci propone; esso ci fa credere di avere il computer infetto da altri terribili malware (trojan, spyware, worm...), tutti fasulli.
Con esasperanti finestre popup, messaggi provenienti dalla tray bar e richieste varie, cerca d'ingannare l'utente alle prime armi, per scaricare da altri siti maligni altro codice nocivo, oltre a quello già installato nel computer.
Il malware sostituisce lo sfondo del desktop, con allarmanti immagini, su cui compare la scritta "Your privacy is in danger", "La tua privacy è in pericolo".
Chiaramente, non dovete cliccarci sopra per nessuna ragione, in quanto vi ritrovereste il computer più infetto di quanto già non lo sia.
Rimozione
La rimozione è relativamente semplice. Tuttavia, bisogna prestare attenzione a non commettere errori che, talvolta, potrebbero solo peggiorare la situazione.
Rimozione automatica
Alcuni tool ci vengono in aiuto per la rimozione: vediamoli nel dettaglio.
DelPSGuard
Il primo di questi è DelPSGuard, scaricabile da questo indirizzo, dopo essersi iscritti al forum spagnolo.
Dopo averlo scaricato, estraiamolo in una cartella e installiamolo nel sistema infetto. Quindi avviamolo.
All'apertura del programma, la schermata principale dovrebbe essere questa:
Come si può notare, le voci sono quattro: due per disinfettare il sistema, una per fare piazza pulita della zona attendibile (trusted zone), e una per uscire dal programma.
A seconda del sistema operativo, sceglieremo la prima o la seconda voce. Quindi premiamo invio due volte.
Dopo la selezione, si avvia il controllo da parte di DelPSGuard che sta cercando e rimuovendo i malware che è in grado di eliminare.
Alla fine della rimozione, verrà visualizzato un log, cioè un file di testo contenente le operazioni compiute dal programma.
Terminata la scansione, premete un tasto qualsiasi e tornati alla schermata principale selezionate E per uscire dal programma.
NB: Nel caso in cui, mentre eseguivate la pulizia, il desktop e la barra fossero scomparse, premete ctrl+alt+canc sulla tastiera; andate nel menu file, digitate explorer e premete Invio. A questo punto, tutto tornerà visibile.
SmitFraudFix
Un altro tool, che in molti casi si è rilevato risolutivo, è SmitFraudFix.
Scarichiamo l'archivio e decomprimiamolo in una cartella, dalla quale lanceremo il file Smitfraud.cmd (che sarà solo Smitfraud, nel caso in cui le estensioni non siano visualizzate).
Premete un tasto qualsiasi per continuare, dopo aver letto attentamente la dichiarazione iniziale dell'autore del programma.
Digitate 1 (Search) e premete invio per effettuare la ricerca del malware. Nella destinazione C: , alla fine della scansione il programma creerà un file log rapport.txt, nel quale elenca i file trovati.
A questo punto, riavviate il computer in modalità provvisoria e aprite nuovamente il file Smitfraud.cmd. Questa volta, però, digitate 2 (Clean) seguito da Invio.
Il programma eseguirà i comandi da noi richiesti, rimuovendo così quello che la precedente analisi aveva trovato.
Alla richiesta di pulizia del registro "Do you want to clean the registry? (y/n)", digitate y e premete Invio.
Alla fine della rimozione, il programma riavvierà il computer per rendere effettive le modifiche. A questo punto, chiudete tutte le applicazioni in esecuzione.
Rogue-Remover
Un altro tool che, a volte, potrebbe rimuovere questo malware è Rogue-Remover, che elimina, come dice il nome, i falsi antivirus.
Scarichiamolo ed estraiamolo in una cartella, quindi eseguiamo il file RogueRemover.exe (che sarà solo RogueRemover, se le estensioni sono nascoste).
Selezioniamo l'opzione scan e seguiamo le istruzioni a video fornite dal programma.
Rimozione manuale:
Per i temerari che volessero avventurarsi nella rimozione manuale, ecco una breve guida.
I tool che in questo caso ci aiuteranno sono HijackThis e The Avenger.
Nel log di HijackThis, l'infezione è evidenziata da voci che collegano a file e dll con nomi "strani" nella cartella Windows e in sottocartelle, per esempio:
In particolare, evidenziano l'infezione le voci corrispondenti a O20 e O21; negli esempi si vede come queste voci colleghino a file con nomi fuori dal comune nella cartella di sistema: si tratta di un evidente sintomo di infezione. Questi file non hanno mai un nome uguale; cambiano quindi da infezione a infezione, perciò lo script va personalizzato ogni volta.
La voce R0 evidenzia come Home Page sia stata sostituita con una ingannevole, e la voce O24 è l'immagine che cambia lo sfondo con uno rosso, dicendoci che la nostra privacy è in pericolo (anche se in realtà è già stata violata).
Provvediamo quindi a fixare le voci che contengono questi riferimenti.
Con The Avenger eliminiamone i file, seguendo questa guida; in tal caso lo script sarebbe:
In definitiva, vanno eliminati tutti i file maligni, a cui le voci fanno riferimento; per quanto riguarda la cartella privacy_danger, invece, essa va sempre eliminata, e quindi inserita nello script.
I riferimenti della voce R0 sono eliminabili con The Avenger, ma è consigliabile utilizzare HijackThis.
Conclusioni
Seguendo i nostri consigli, dovreste essere protetti da questo fastidioso malware - falso antivirus.
In ogni caso, per qualunque dubbio, chiarimento o aiuto nell'esecuzione, potrete rivolgervi al forum, nella sezione corretta.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati