martedì 5 febbraio 2013





Salve a tutti.
Volevo condividere con voi alcune procedure di rimozione per il fastidioso problema delle pagine pubblicitarie.
Le cause sono le seguenti:
1)PowerOffer.

Un programma sponsor , che viene ad installarsi automaticamente insieme a software di utilità per ingannare l'utente.
In alcuni casi crea:

Servupdater
Softwareupd
Posservice (PowerOffer Service)

oppure

SsroService
SsupdService
LiveUpSC


Procedura di rimozione:
Aprire il pannello di controllo e rimuovere PowerOffer.
Da start - in esegui digitare services.msc e dare OK (per windows xp)
Da start scrivere nella casella di ricerca services.msc e aprirlo con il tasto sinistro del mouse (per windows vista/7)
Controllare se sono avviati i servizi creati da PowerOffer.
Nel caso positivo portiamoci al prompt dei comandi (per gli utenti di windows 7/vista tasto destro-esegui come amministratore):

sc stop SoftwareUpd
sc delete SoftwareUpd
sc stop ServUpdater
sc delete ServUpdater
sc stop PowerOffer Service
sc delete PowerOffer Service

sc stop SsroService
sc delete SsroService
sc stop SsupdService
sc delete SsupdService
sc stop LiveUpSC
sc delete LiveUpSC

ogni comando deve essere seguito dal tasto INVIO della tastiera , attenzione per OGNI comando.
Ho notato che il servizio , sempre in alcuni casi , crea dei DNS malevoli
176.31.229.24,176.31.229.25<-  impostati a vostra insaputa che dirottano il pc su server francesi o pubblicitari.
Installare Hijackthis 
Download
(tasto destro-esegui come amministratore per gli utenti di windows 7/vista).
Cliccare su Do a system scan only
selezionare tutte le 017 con gli indirizzi soprastanti 
selezionare la 04 (voce che si avvia con windows) che fa riferimento a Posservice.
cliccare in basso su fix checked.
Consiglio di controllare nelle proprietà del protocollo TCP/IP i dns impostati e l'indirizzo ip assegnato , nel caso di spuntare l'assegnazione automatica di entrambi.
Vorrei segnalare che delle volte , mi è capitato di aiutare utenti con i dns di google 8.8.8.8 e 8.8.4.4 non preimpostati da loro stessi , resta quindi da visionare per bene se sono stati impostati da noi oppure no:nel caso procedete a modificare le impostazioni di connessione.

2)lsm.exe

lsm è un servizio di windows , precisamente :  Servizio gestione sessioni locali 
e trova la sua cartella di destinazione C:\Windows\system32.
Se si trova in questo percorso: C:\Programmi\lsm\LSM.exe
è un trojan responsabile di apertura di pagine pubblicitarie e pornografiche.

Procedura di rimozione :
cancellare l'intera cartella
C:\Programmi\lsm
contenente LSM.exe e AUS.exe
Andare in servizi (services.msc) e controllare i suddetti servizi (tasto destro sul servizio-proprietà-percorso file eseguibile) e controllare se appunto il percorso si rifà a quello soprastante , in tal caso disabilitateli e dal nome del servizio(LSM) eseguite i due comandi come descritti sopra per eliminarli dal prompt dei comandi.
Nel caso invece si riferisse alla cartella system32 è un servizio di sistema e non va assolutamente rimosso.

3)pgcchelper.exe

Pgcchelper è un software spia che si installa , come la maggior parte degli adware , a nostra insaputa quando installiamo altri software.Verifica le abitudini sul web degli utenti e ci mostra fastidiosi popup pubblicitari che rallentano la connessione e dirottano il pc su siti malevoli.
Come eliminarlo:
Sul pannello di controllo dovrebbe essere presente , in questo caso selezionatelo e disinstallatelo.
Altrimenti attraverso esplora risorse cercate il percorso

C:/users/**tuo nome**/AppData/local/pgcchelper

All'interno troviamo l'uninstall di pgcchelper.Addio pagine pubbicitarie.

4)Adware 

Se invece non riscontrate i primi tre casi , significa che molto probabilmente siete infetti da altri adware: creano popup pubblicitari , modificano la home page e si pongono come obiettivo di indirizzare gli utenti verso siti web esterni.
Esempi:
funmoods
Iminent
Ask
BroswerManager
BroswerProtect
Babylon
Websearch

Procedura di rimozione :
Adwcleaner 
Download



Permette di eliminare adware , Toolbar , PUP , Hijacker e quindi altro software indesiderato che possiamo ritrovare nei broswer. 
L'interfaccia è molto semplice:
con il tasto scansiona ci mostra tutto ciò che ha trovato di indesiderato sul nostro pc.
Con il tasto pulisci provvederà alla rimozione , confermare il messaggio dimostrativo e aspettare il riavvio del computer per completare l'operazione.
Il programma nell'ultima versione ha aggiornato la sua interfaccia mostrando le varie sezioni ( servizi , cartelle , file , Collegamenti e cosi via) e la possibilità di selezionare o meno elementi infetti che ha rilevato.
Troviamo la funzione strumenti - gestione quarantena



dove possiamo selezionare gli elementi eliminati e ripristinarli tramite la funzione ripristina o attraverso lo script di eliminazione , ossia il file di testo.
Dopo il riavvio ci mostrerà il report delle operazioni effettuate.
Un valido software alternativo prende il nome di 
Junkware Removal Tool
Download
Avviatelo , vi mostrerà una schermata a stile prompt dei comandi.
Premete un tasto e si avvierà la scansione.Tutti i programmi devono essere chiusi affinchè il programmino lavori correttamente.
Al termine , ci mostrerà il suo report JRT.txt sul desktop dove ci mostra cosa ha eliminato.
Ricordatevi anche di visionare i componenti aggiuntivi dei vostri broswer , forse installati a vostra insaputa da qualche adware e che potrebbero essere causa dell'apertura di pagine pubblicitarie.

Molti di voi mi domanderebbero : come evitare di rinfettarmi nuovamente?
Difficile risposta , anche perchè tutto dipende dall'utilizzo del pc e dalla vostra navigazione giornaliera.
Piccoli consigli:
1)Nel caso in cui dobbiate installare un software dal web , accertatevi che non vi siano spunte su altri software indesiderati.
2)La protezione web del vostro antivirus dovrebbe segnalarvi , qualora visitate un sito web dannoso , delle potenziali minaccie esistenti.Io consiglio Avira safety search
Download
L'ho trovato davvero poco invasivo e fa correttamente il suo lavoro.
3)Aggiornate i componenti aggiuntivi come Java , Flash player e tutto ciò che lavora con il vostro broswer: una falla potrebbe infettarlo.
Con tutto ciò spero di esservi stato d'aiuto , se avete domande o chiarimenti sono a vostra disposizione.