Spesso mi capita di riscontrare nei Pc di amici e non solo, alcuni dialer davvero fastidiosi: molti programmi antispyware non riescono a rimuovere queste minacce che erano abitudine di molti siti hard in passato ma che ora hanno avuto una diffusione massiccia, passando dai siti delle mappe online a quelli delle suonerie, per finire ai siti web personali e perfino ai blogs. Non bastasse il fatto che è da qualche anno che ci sono alerts in tal senso, ma gli “inventori” di questi malware hanno ben pensato di veicolarli ad esempio nei siti di statistiche web che utilizzano gli stessi webmaster (non è una rules ma attenzione quando si scelgono i contatori nella forma invisibile senza logo), in questo modo fanno danno non solo agli utenti (specie chi ha ancora la 56k, poichè si creano nuove connessioni, file .pf nella cartella C:WindowsPrefetch ) ma anche a chi gestisce il sito (attenti alle righe di codice sospette presenti nei script www.statistiche_gratis.it/logo.asp?utente=10, quelle con IFRAME possono introdurre script ed elementi offensivi richiamando pagine del tipo www.800XXXX./winasp/msie.htm?id=10 che all’apparenza possono essere innocue ma nascondono istruzioni per caricare pagine pericolose). Un pò di attenzione, l’utilizzo di alcuni programmi nella prevenzione più che nella cura, ed il gioco è fatto. Un’avvertenza, consiglio sempre di segnarvi le modifiche che andrete a fare, soprattutto per i non esperti. Gli utenti poi che utilizzano Mozilla Firefox e sono anche dotati dell’estensione Adblock costantemente aggiornata, dormiranno sonni tranquilli: questo addon è nato per eliminare la pubblicità, ma permette allo stesso tempo cliccando sull’icona in basso a destra nella barra di conoscere tutti gli elementi caricati dalla finestra e quindi cercare eventualmente quelli anomali.
I dialers di cui parlo, Netvision.exe e Fasttrack, che attaccano i sistemi Win, assumono diversi nomi (c’è un report anche su Symantec): adulti.exe, diari di viaggio.exe, meteo.exe, passe-partout.exe, passepartout.exe, patente.exe, trucchi e videogiochi.exe, 1004908.exe, adulti.lnk, meteo.lnk, diari di viaggio.lnk, passe-partout.lnk, patente.lnk, trucchi e videogiochi.lnk, software.lnk .

Se abbiamo IE, un primo passo per capire se stiamo scaricando questi malware è recarsi in Strumenti, Opzioni Internet, Protezione, Livello Personalizzato: quindi, nelle Impostazioni protezione, settare la voce Scarica controlli ActiveX con firma elettronica sul Chiedi conferma mentre per un livello più alto è sempre bene disattivare quelli senza firma elettronica. Se avete installato un Firewall inoltre noterete subito richieste di connessione da parte del file principale che è Netvision.exe .

Per la rimozione, cercate il file Passepartout.exe (spesso presente sotto C:Windows) e controllate anche eventuali file sospetti con estensione .pf in C:WindowsPrefetch: tutti questi file vanno eliminati ma se il Pc è infetto il file Passepartout.exe sarà in uso quindi utilizzate il Task manager di Windows (ctrl+alt+canc) per terminare il processo (o usate l’utility Unlocker) e quindi cancellate il/i file/s. Altro passo è quello di disattivare la minaccia nell’esecuzione automatica, per fare ciò potete usare programmi come Hijackthis, fare una scansione, portarvi nella zona di interesse (la 04 per l’esecuzione automatica) in cui c’è la voce relativa a Passapertout o a quelle sospette e premere Fix checked. Fate lo stesso con il file Netvision.exe, cercatelo, spesso è presente nella cartella mio_utente di Windows.
Noterete sul Desktop nuove icone di Internet Explorer, anche nel menu Start e nella barra di avvio, puntano tutte al dialer così come la cartella Fasttrack presente sotto Start con le icone, Internet ed Internet Disinstalla. Rimuovete tutto, controllate se ci sono nuove connessioni nelle Opzioni Internet di Explorer con il nome ad esempio di Fasttrack (in tal caso selezionate e premete il tasto rimuovi) e fiondatevi sul Registro di Sistema (prima di fare ogni modifica è consigliato fare un backup): semplicemente andando su Start, Esegui, Regedit, aprite il registro e cercate le chiavi collegate al dialer (Fasttrack, Netvision.exe) e rimuovetele.
Riavviate dunque il sistema, la minaccia dovrebbe essere sparita: se avete problemi alla connessione dovuti alla rimozione dei malware usate l’utility Winsockfix, per una ulteriore e veloce scansione online invece potete usare Panda, nel caso vogliate dire basta nello specifico ai dialers c’è l’utility Stop Dialers, se poi siete furbi usate Mozilla Firefox ed uno dei tanti Firewall disponibili online.

10 Comments

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

  • Ci sono anche consigli più specifici per chi gestidce un blog e sa che dalla sua piattaforma partono dei dialer? Un saluto, grazie Mapi

  • @Mapi: Direi che è grave se si nota che dalla propria piattaforma blogging partono dei dialer o comunque ci sono sistemi di statistica non corretti: la prima cosa da fare è informare e fare pressione ai responsabili della piattaforma che probabilmente non conosceranno il problema.

  • Ho problemi col Fasttrack. Grazie per i consigli e speriamo bene.

  • Ciao dario…ho trovato molto utili i tuoi consigli…ti ringrazio!ma adesso devi necessariamente e ove sia possibile, aiutarmi x una caxxata che ho combinato!Mi è arrivata l’e-mail di un fantomatico poliziotto PRISCO MAZZI e per distrazione l’ho aperta ma facendo solo”esegui”e non “salva”…ma non si è aperto nessuna finestra…non mi sn preoccupata fino a qnd non sono venuta a conoscenza che quella e-mail era una virus…adesso non so se sono infettata e non so come poter fare a vederlo ed eventualmente ad eliminare qst virus…aspetto davvero un tuo aiuto…grazie mille!silvia

  • Ciao, volevo ringraziarti x il post, ieri ho beccato sia netvision che fasttrack (tra l’altro sul sito di un Comune, da non credere!!) che sono riuscita a rimuovere grazie alle tue precise indicazioni.
    Thanks :-)

  • Ciao dario, pure io ho usufruito del tuo post.
    Mi sono beccato sia fasttrack sia netvision.exe

    Ho eliminato attraverso la ricerca nel mio pc tutti i file denominati “fasttrack”, “netvision.exe”, la cartella “prefecth” e tutti i relativi files .pf in essa contenuti e infine ho eliminato “passepartout.exe”, oltre ke rimuovere tutti i loghi di collegamento sul desktop.

    Spero di aver fatto tutto bene..

    Grazie
    Ciao
    Stefano

  • ciao dario cercherò di essere breve.
    ho scaricato dal sito tredz.co.uk un giochino per “adulti”(applicaz. giochi.exe), e come prassi l’ho salvata in una cartella e poi l’antivirus.
    cliccando “esegui” mi è apparso sul desktop una nuova icona di internet, nel menu start…nuovo programma…ed infine una nuova icona nelle risorse del pc sotto forma di una (telefono)connessione (giochi adulti)..quasi subito ho avuto il dubbio che avessi fatto una ca..ata. mi sono preoccupato di cancellare il nuovo progr. dal menu start e dal pannello di controllo ,ma non ci sono riuscito nelle risorse del pc,,,,e dopo aver messo in pratica i tuoi consigli sono arrivato fino al “regidit” ma nelle cartelle ho avuto timore del passo da fare mi daresti un’aiuto più preciso data la mia incapacità????!!!!
    inoltre ho cancellato i file .pf trovati nella cartella “windows” PREFETCH ma all’ennesima ricerca mi sono riapparsi…perche’???cos’altro ho da fare????

  • @gabriele: Non conoscendo il tipo di virus ti consiglierei di fare una scansione con un buon antivirus e di controllare se questo è presente all’avvio del computer (in esegui digita “msconfig” e poi vai su avvio). Inoltre cancella probabili connessioni internet dialer “sospette” che si sono create in risorse di rete.

  • grazie per avermi risp. il mio antivirus AVG 7.5 ed ad ogni avvio mi fa la scansione del pc.aggiungo che ho anche AD AWARE 2007 spero vadano bene, invece nelle risorse di rete non mi appare nulla di sospetto….l’icona della connessione a giochi per adulti nelle risorse del pc non mi scompare mi dice soltanto “open menù e crea collegamento” se mi puoi dare qualche altro consiglio a riguardo
    grazie gabriele