Windows è sicuramente il sistema operativo desktop più diffuso al mondo, perciò, è anche il più esposto ai rischi di contrarre virus, malware, rootkit e adware di ogni genere. Per proteggersi dalla maggior parte dei virus presenti in rete, basta un po di attenzione e un buon antivirus, ma per gli adware la cosa cambia, innanzitutto, un adware è un piccolo software che si installa in automatico sul pc all’insaputa dell’utente, durante il download di contenuti dalla rete o tramite clickjacking, questo software non è (in genere) dannoso per il sistema, ma provoca la continua apertura di pagine pubblicitarie durante la navigazione internet(a volte basta solo che il sistema sia connesso in rete, senza per forza aprire il browser)rendendola di fatto terribilmente irritante e macchinosa, soprattutto per chi in rete ci lavora.

Le cause che portano all’apertura automatica e continua delle pagine pubblicitarie durante la navigazione sono le seguenti:

1) Power Offer

Power Offer è un software che si installa in automatico durante il download e successiva installazione di applicazioni di varia utilità scaricate da internet, questo provoca, all’accensione del sistema, l’avvio automatico di processi che fanno si che si aprano continuamente pagine pubblicitarie durante la navigazione web.
La procedura per eliminarlo definitivamente dal pc è la seguente:





Prima di tutto, dal pannello di controllo, in “programmi e funzionalità” controllare se è presente la voce PowerOffer e disinstallare il componente(spesso, anche se installato, la voce non compare nella lista).
Andare su “start” “esegui”  scrivere services.msc e dare invio (per windows xp)
Da “start” in casella di ricerca scrivere services.msc e dare invio (per windows vista/7/8)
si aprirà una finestra con tutti i servizi di sistema in esecuzione, controllare se sono presenti i seguenti servizi creati da PowerOffer:

Servupdater
Softwareupd
Posservice
SsroService
SsupdService
LiveUpSC

nel caso uno, o più di uno di questi servizi siano in esecuzione, per eliminarli procedere come segue:
aprire il prompt dei comandi da “start” in “cerca” digitare cmd nei risultati di ricerca andare su cmd.exe fare click con il tasto destro del mouse e selezionare “esegui come amministratore”, quest’ultimo passaggio è fondamentale perché se si apre il prompt senza i privilegi di amministratore, i comandi digitati non verranno eseguiti,
digitare ora i seguenti comandi, ognuno di essi deve essere seguito dal tasto “invio”

sc stop SoftwareUpd
sc delete SoftwareUpd
sc stop ServUpdater
sc delete ServUpdater
sc stop PowerOffer Service
sc delete PowerOffer Service
sc stop SsroService
sc delete SsroService
sc stop SsupdService
sc delete SsupdService
sc stop LiveUpSC
sc delete LiveUpSC





è importante digitare esattamente le maiuscole e le minuscole esattamente come riportate di sopra, altrimenti i comandi non verranno riconosciuti.
Spesso, a questi servizi, vengono abbinati degli indirizzi IP di collegamento a server pubblicitari, quindi, ora, bisogna scaricare un piccolo software che troverà in pochissimo tempo gli IP incriminati, scaricare hijackthis ed eseguirlo, fare click ora su Do a system scan only e selezionare tutte le righe 017 che contengono indirizzi IP non impostati da voi, selezionare anche le righe 04 che fanno riferimento a Posservice e premere su fix checked. Ora siamo sicuri di aver eliminato PowerOffer in modo definitivo.

2) lsm.exe

lsm è un servizio di windows, precisamente si tratta del “Servizio gestione sessioni locali”
e trova la sua cartella di destinazione in C:\Windows\system32.
Se invece si trova in questo percorso: C:\Programmi\lsm\LSM.exe
è un trojan solitamente responsabile di apertura di pagine pubblicitarie.

Procedura di rimozione :
cancellare l’intera cartella
C:\Programmi\lsm
contenentee LSM.exe e AUS.exe
ora andare nuovamente in “start” “cerca” e digitare services.msc controllare i suddetti servizi LSM e AUS (tasto destro sul servizio-proprietà-percorso file eseguibile) e controllare se appunto il percorso si rifà a quello soprastante, in tal caso disabilitateli e dal nome del servizio LSM eseguite i due comandi sc stop ed sc delete come descritti sopra per eliminarli dal prompt dei comandi.
Nel caso invece si riferisse alla cartella system32 è un servizio di sistema e non va assolutamente rimosso.






3) pgcchelper.exe

pgcchelper è un software spia che si installa, come la maggior parte degli adware, a nostra insaputa quando installiamo altri software. Verifica le abitudini sul web degli utenti e ci mostra fastidiosi popup pubblicitari che rallentano la connessione e dirottano il pc su siti malevoli.
Come eliminarlo:
Dovrebbe essere presente sul pannello di controllo, in questo caso selezionatelo e disinstallatelo.
Altrimenti attraverso esplora risorse cercate il percorso

C:/users/**tuo nome**/AppData/local/pgcchelper

All’interno si trova l’uninstall di pgcchelper e disinstallarlo.





4) Adware

Se invece non riscontrate i primi tre casi, significa che molto probabilmente siete infetti da altri adware che creano popup pubblicitari, modificano la home page e si pongono come obiettivo di indirizzare gli utenti verso siti web esterni.
Esempi:

funmoods
Iminent
Ask
BroswerManager
BroswerProtect
Babylon
Websearch

Procedura di rimozione:
scaricare ed installare adwcleaner

7504e4198fc2b38acc24e8c520fdbcf8





Permette di eliminare adware, Toolbar, PUP, Hijacker e qualunque altro software indesiderato che possiamo ritrovare nei broswer.
L’interfaccia è molto semplice:
con il tasto scansiona ci mostra tutto ciò che ha trovato di indesiderato sul nostro pc.
Con il tasto pulisci provvederà alla rimozione, confermare il messaggio dimostrativo e aspettare il riavvio del computer per completare l’operazione.
Il programma nell’ultima versione ha aggiornato la sua interfaccia mostrando le varie sezioni ( servizi, cartelle, file, Collegamenti e cosi via) e la possibilità di selezionare o meno elementi infetti che ha rilevato.
Troviamo la funzione strumenti gestione quarantena dove possiamo selezionare gli elementi eliminati e ripristinarli tramite la funzione ripristina, oppure attraverso lo script di eliminazione, ossia il file di testo.
Dopo il riavvio ci mostrerà un report delle operazioni effettuate, simile al seguente

GP-Pref-Computer-trace-file

Spero che queste informazioni possano esservi utili.





Condividi sui tuoi social preferiti

64v1n79

Programmatore freelance, da sempre appassionato di tecnologia e informatica.

5 commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *