Questo "Virus", che virus effettivamente non è ma lo considererei un RiskWare, è praticamente un add-on disponibile per tutti i maggiori browser che consente l'apertura in tutte le pagine visitate di spot pubblicitari. Chiaramente a guadagnare non è il navigatore ma chi offre il pay to click ad aziende come questa che ha realizzato il software ISA (Instant Savings App)!
Se provate a rimuoverlo dal pannello di controllo vi renderete conto che rimane comunque attivo, da estensioni di Chrome non si riesce a togliere perchè installato con una tecnica legata alle GPO.
Le GPO sono note a chi lavora nelle aziende, sono delle Policy (politiche, regole) che obbligano i PC delle reti aziendali ad usare determinate impostazioni.
Come rimuovere definitivamente ISA?
Vi dico come ho cercato ed infine eseguito la rimozione:
Prima di tutto rimuovere dal pannello di controllo il software come qualsiasi altro programma installato in modo regolare sul PC. Andate poi, rendendo visibili tutti i files (nascosti e di sistema) a cercare la cartella "Instant Savings App"; rimuovetela senza indugio.
Fondamentale! Cercate le cartelle GroupPolicy come qui sopra indicato ed eliminate il contenuto!
A questo punto vedrete che in Chrome l'estensione è ancora visibile e funzionante!!! Se cercate l'ID dell'estensione nel registro non compare... Cercate la parola "Policy" nel registro di Windows, dopo varie voci vi ritroverete quella legata alle restrizioni di policy di Chrome - ExtensionInstallForcelist - ed all'interno la voce che fa riferimento ad una chiave molto lunga composta da caratteri a caso... CANCELLATE!
A questo punto vedrete che in Chrome l'estensione è ancora visibile e funzionante!!! Se cercate l'ID dell'estensione nel registro non compare... Cercate la parola "Policy" nel registro di Windows, dopo varie voci vi ritroverete quella legata alle restrizioni di policy di Chrome - ExtensionInstallForcelist - ed all'interno la voce che fa riferimento ad una chiave molto lunga composta da caratteri a caso... CANCELLATE!
Ora direte: Abbiamo finito? NO!!!
Dovete editare il file hosts presente nella directory di sistema di windows\etc e rimuovete la riga che fa puntare la chiave di cui sopra ad un IP esterno (54.204.28.26 .... o simile)
Adesso riavviate, passate un buon antivirus e finalmente dovreste aver eliminato il software indesiderato!!!
Elenco di possibili posizioni dove trovare l'intruso:
Preference [User Data\Default] [achhmapmjlcjlomcbmbicbgkihghgnie] Instant Savings App v.1.0
File Hosts: 54.204.28.26 achhmapmjlcjlomcbmbicbgkihghgnie
[HKLM\Software\Wow6432Node\Instant Savings App]
O45 - LFCP:[MD5.6B838E88C033A3951CD31973D689F6AB] - 17.01.2014 - 06:32:17 ---A- - C
:\Users\USERNAME\AppData\Local\Temp\Extract.exe [50432]
[MD5.883DFC791AAF1298FCFC2BCF5471BBFC] [SPRF][17.01.2014] (...) -- C:\Users\USERNAME\AppData\Local\Temp\SHSetup.exe [46777424]
[HKLM\Software\Google\Chrome\Extensions\achhmapmjlcjlomcbmbicbgkihghgnie]
C:\Users\USERNAME\AppData\Local\Google\Chrome\User Data\Default\Extensions\achhmapmjlcjlomcbmbicbgkihghgnie
[HKLM\Software\Wow6432Node\Instant Savings App]
C:\Users\USERNAME\AppData\Local\Temp\SHSetup.exe
Aggiornamento
Ho trovato anche questo SW che promette di eseguire la pulizia in automatico: da provare!
Nessun commento:
Posta un commento