Vi dico già, anche se in ritardo (al momento sono senza linea adsl sorry) che ho rimosso i link al payperstats sia dalla pagina principale che dalla pagina del php-controll.
E facendo un po di ricerche, ho visto che non si tratta di un virus, ma di un rootkit..e nel dettaglio di un rootkit molto "bastardo", ed essendo un rootkit, non viene rilevato ne da antivirus ne da anti-spyware.
Anche sul mio pc, dopo aver fatto un po di scansioni pensavo di averlo rimosso, ma cosi non è stato.
Pertanto posto qua una piccola guida veloce, per rimuoverlo definitivamente...e chissa, magari se non avete mai fatto una scansione rootkit è l'occasione per vedere se ne avete anche altri
Allora passo 1:
Scaricare un programma antyrootki, ne esistono tanti, e io ne ho provato più di uno, ed alla fine secondo me il migliore è
l'antrootkit della mcafee, che potete scaricare da qui http://download.nai.com/products/mcafee ... ective.zip
altrimenti in alternativa, un altro antirootkit abbastanza potente (anche se preferisco il primo) è F-Secure BlackLight che potete scaricare da qua http://www.notrace.it/Download/Sicurezz ... klight.htm
Passo 2:
Il principio di funzionamento dei rootkit, è pressoche identico per quasi tutti, in sostanza un rootkit è un programma creato con scopi di spam, pubblicità, e anche per antyprivaci (vedi il rootkit distribuito da sony qualche anno fa sui suoi cd musicali)
Nel dettaglio, il rootkit si installa sul pc in automatico, e risulta invisible persino se abilitate la visione dei file nascosti e pure dei file di sistema, pertanto senza un programma apposito non è individuabile, e generalmente le cartelle di installazione sono C:\windows\system32 , c:\windows\prefetch (cartella di avvio dei programmi) & naturalmente sotto il vostro profilo c:\document e setting\NOMEUTENTE\imposatazioni locali\dati applicazione\
e i nomi sono sempre acaso, tipo krpisiz754, polirusy53 e generalmente troverete un file exe, e qualche file dat.
Inoltre, una parte viene anche installata nel registro di sistema, e come se non bastasse i rootkit più cattivi, sono in grado di declassare il vostro utente attuale (se amministratore) ad "USER" e cambiare la pw dell'account di amministrazione, in questo modo voi non avrete + l'accesso al vostro pc come amministrator, ma sarete dei semplici utenti, che non posso neanche installare programmi e pertanto non potrete difendervi dal rootkit.
Cmq il rootkit in questione, è solo un rootkit pubblicitario che si carica ad ogni avvio (grazie al prefetch) e ogni volta che aprite una pagina web, lui ve ne apre un altra di pubblicità, nel seguente caso le pubblicità riccorenti sono alice adsl, bewin (scommesse) e spywaresecure.
Per eliminare questo maledetto rootkit, è sufficente avviare uno dei 2 programmi sopra elencanti, e premere su SCAN.
E non appena il programma avrà finito (non primadi 30minuti) dovrete selezionare tutti i file che ha trovato, e poi premre sul pulsante RINOMINA. ed il programma provedderata a rinominare tutti i rootkit in file .rem , che d'ora in po risulteranno visibili anche a voi.
A questo punto vi verrà chiesto di riavviare...fatelo
passo 3:
A questo punto, non vi resta che eliminare a manino tutti i file infetti che sono stati rinominati, e che attualmente non sono + in uso dal sistema.
Per fare tutto in maniera veloce, nella cartella del vostro anti-rootkit trovere un file log automaticamente generato, dove potete vedere le cartelle infette ed il nome del rootkit, nel mio caso i file si chiamavano tutti kryping56, pertanto a questo punto sarà sufficente aprire il cerca file di windows, impostare "visualizza anche i file nascosti" e cercare il file kryping56 su tutto il sistema, una volta finito avrete dai 4 file hai 20 file chiamati tutti .rem....cancellateli tutti ed il vostro rootkit sarà definitivamente rimosso.
Pass 4: per sicurezza installatevi spybot & search destroy, poichè il rootkit oltre ad infettarvi lui stesso vi avrà fatto prendere dei piccoli trojan-spyware, rimuovibili facilmente con lo spybot.
A questo punto, il vostro sistema dovrebbe essere completamente GUARITO.
Spero di esservi stato utile.
ciao Gabar