-
Intern@t.
User deleted
NETVISION.EXE attiva una connessione FASTTRACK che disconnette il vostro computer dalla connessione base indirizzandola verso un sito a pagamento.
ELIMINAZIONE FASTTRACK
Fortunatamente eliminare questo dialer è semplice. Disconnettete il vostro PC da Internet, andate su START/Cerca/File o Cartelle/Tutti i File e le Cartelle e scrivete NETVISION.EXE nel box, poi scorrete il cursore e fate una ricerca (Cerca in...) nei dischi rigidi. Se avete riscontrato problemi di disconnessione a causa di FASTTRACK allora dovreste trovare il file NETVISION.EXE in Documents and Settings\Utente ed un altro NETVISION.EXE seguito da una linea - e da codici numerici avente estensione .pf in C:\Windows\Prefetch. Una volta individuati questi due file cancellateli. Il vostro computer sarà così nuovamente libero da questo fastidioso dialer.
Attenzione !: questi file potrebbero cambiare il link di base del vostro browser (quello predefinito, chiamato Pagina Iniziale). Puo' capitare ad esempio di essere reindirizzati su un sito, http://www.3000.**/ (ho omesso appositamente le ultime due lettere per non farvi erroneamente collegare) che reinstalla immediatamente il dialer. Il subdolo sistema per reinserire il dialer nel Vostro PC è quello di installare sul vostro computer due file che possano sì essere cancellati ma che vi impostino la connessione per la pagina iniziale verso un sito che vi reinstalla i files. Così quando avrete ripulito il PC dei file infetti e vi appresterete a ricollegarvi, il browser si aprirà sulla pagina infettante che reintrodurrà il problema.
Il modo di procedere nel caso in cui vi trovaste a dover fare i conti con NETVISION è il seguente: prima di effettuare la ricerca dei due file disconnettete fisicamente il vostro Modem (disconnettendo il cavo). Effettuate la ricerca e cancellate i file, poi accedete ad Internet Explorer sempre con il computer disconnesso, andate su Strumenti/Opzioni Internet/ e cliccate come Pagina Iniziale il pulsante relativo alla pagina vuota. Dovrebbe comparirvi un link ad about:blank. Date l'applica e riconnettete il modem reinserendo il cavo (se avete ADSL occorre un pò di tempo prima che il modem si riconnetta), poi collegatevi. Ora accedete ad Internet Explorer e vedrete che l'indirizzo sarà about:blank. Cambiate questo indirizzo con quello relativo al sito di base che avevate prima, caricatene la pagina web e (*) tornate su Strumenti/Opzioni Internet/. Cliccate quindi su "Pagina Corrente" e date l'applica. La vostra connessione iniziale ritornerà quella di prima.
Se non vi ricordate l'indirizzo della pagina relativa alla connessione iniziale, potete effettuare una ricerca della Pagina Iniziale con i seguenti motori di ricerca (ovvero sostituendo about:blank):
http://it.altavista.com/
http://www.google.it/
Quando avrete individuato il sito che vorrete come connessione di base andate all'indirizzo specifico e settatelo come Pagina Iniziale secondo la procedura descritta dopo il simbolo (*).
Dialer.Trafficadvance
dettagli tecnici
Come eliminare il Dialer con l'icona a forma di stella chiamato Passepartout:
# Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.
(Pannello di controllo > Opzioni Cartella > Visualizzazione)
# Avvia in modalità provvisoria(F8),fai una scansione con Adware , Spybot search & destroy e con l'Antivirus ed elimina il file.
Apri Hijackthis, premi su "open the Misc Tools section", poi premi "Open process manager", individua il file correlato sotto e premi "Kill process":
C:\Windows\Passepartout.exe
Dovrebbe essere sufficiente eliminare il file (in C:\Windows) per non consentire al dialer di connettersi...
L'icona di Passepartout dovrebbe trovarsi nei Preferiti, nel menù Avvio, nei Programmi e sparsa in giro per il computer.
Poi vai in basso e premi il tasto "Back" e subito dopo il tasto "Scan". Metti la spunta nella casellina accanto alle voci indicate sotto e premi "Fix checked" :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunFASTTRACKPassepartout
HKEY_CURRENT_USER\Software\FASTTRACKPassepartout [Valore a caso]
Scarica qui Killbox
Con Killbox assicurati di eliminare il seguente file: C:\WINDOWS\Passepartout.exe
. -
Intern@t.
User deleted
Se accedendo in alcuni siti legali vedete apparire la seguente finestra. 
non è vero che si tratta di un applet sicura ed attendibile, ma del Dialer inserito appositamente da uno sponsor del sito, tutt'altro che innocuo.
Un'altra possibilita' purtroppo molto frequente e' che il sito web su cui navigate vi apra automaticamente una finestra di "Avviso di Protezione" che vi invita ad installare un Certificato di Protezione. In tal caso cliccate sempre e solo su "NO" Basta infatti un solo e semplice click su "SI" per accettare il certificato e sarete automaticamente disconnessi dal vostro provider e ricollegati ai numeri a pagamento (vedi immagine qui sotto).
Ecco alcuni esempi di Active-X con Avviso di Protezione che installano il Dialer :
NON scaricateli,cliccate sempre su "NO" o "annulla" in caso di finestre sospette!
. -
Intern@t.
User deleted
In passato, questo tipo di dialer era prerogativa quasi esclusiva dei siti di genere hard, ma oggi è diffuso su siti di qualsiasi genere, dalle mappe online, a siti di suonerie, al sito di Elvis Presley, da cui ho scaricato il dialer per studiarlo.
Il dialer potrebbe assumere diversi nomi, a seconda del sito di provenienza.
Questi sono alcuni dei nomi più diffusi: adulti.exe, diari di viaggio.exe, meteo.exe, passe-partout.exe, passepartout.exe, patente.exe, trucchi e videogiochi.exe, 1004908.exe, adulti.lnk, meteo.lnk, diari di viaggio.lnk, passe-partout.lnk, patente.lnk, trucchi e videogiochi.lnk, software.lnk.
A questo elenco si aggiunge il file principale, che scarica il dialer all’inizio dell’infezione: si tratta di Netvision.exe.
Trovato il link adatto, basta andare nella pagina d’iscrizione al forum perché appaia il messaggio che mi invita a scaricare dei file dal sito.
E...sorpresa! Si tratta di un dialer!
N.B.: Per far apparire questo avviso, e garantirvi un maggiore livello di sicurezza, andate su Strumenti, Opzioni Internet, Protezione, Livello Personalizzato. Quindi, nelle Impostazioni protezione, settate la voce Scarica controlli ActiveX con firma elettronica sul Chiedi conferma, mentre è meglio disattivare quelli senza firma elettronica.
Accetto di scaricare ed installare il dialer per vedere come si comporta, e subito partono le richieste di connessione ad Internet da parte del file Netvision.exe.
E cominciano le modifiche pericolose segnalate da SpywareTerminator.
Questo è il dialer che si installa in esecuzione automatica, così, ad ogni avvio del computer, parte anche il dialer.
E anche la modifica della home page di Internet Explorer.
che finisce su un sito di suonerie.
Rimozione
I programmi antispyware, come A2 squared, SUPERantispyware, Spybot Search & Destroy, SpywareTerminator, non rilevano il dialer e le chiavi di registro installate sul computer.
Si può individuare e rimuovere abbastanza facilmente a mano.
Basta cercare dei file con estensione .exe, di solito di piccole dimensioni e con date molto recenti, nella cartella Windows; in questo caso, è il Passepartout.exe da 27 Kb.
Ricordatevi di abilitare la visione dei file e delle cartelle nascoste nelle proprietà delle cartelle di Windows.(Start>Risorse del computer>Strumenti>Opzioni cartella>Visualizzazione)
Controllate anche nella cartella Windows\Prefetch, in quanto potrebbe contenere un file con un nome molto simile a quello del dialer, ma con altre lettere e numeri e l’estensione .pf.
Lo stesso file è attivo in memoria, basta controllare nel Task Manager.
...e cerca di collegarsi ad Internet ripetutamente.
Terminate il processo del dialer nel Task Manager e cancellate il file .exe incriminato.
Con Hijackthis potete eliminare il dialer dall’esecuzione automatica, una volta individuato nella zona 04: selezionate la relativa casellina e premete il tasto Fix checked.
L’altro file pericoloso è il Netvision.exe. Lo troviamo all’interno della cartella del mio utente, anche lui di piccole dimensioni e con la stessa data dell’altro file.
Appaiono anche delle nuove icone di Internet Explorer sul desktop, nel menu Start e nella barra di avvio veloce che puntano al dialer.
Nel menu Start trovate anche una cartella chiamata FASTTRACK.
L’icona Internet Disinstalla ha rimosso la chiave di registro in esecuzione automatica, ma non ha cancellato i file .exe del dialer.
Nelle Opzioni Internet, alla voce Connessioni, controllate che non sia presente una nuova connessione chiamata Fasttrack, oppure qualche nome strano diverso dal vostro abituale provider.
In caso, selezionate la connessione misteriosa e premete il tasto Rimuovi.
Cercate, e rimuovete, nel registro di configurazione di Windows (Start – Esegui – regedit usando il Modifica – Trova all’interno di Regedit) tutte le chiavi di registro collegate con il dialer.
Quindi Fasttrack, Netvision.exe e il nome del file .exe che rappresenta il vero dialer.
Io ne avevo quattro:CITAZIONEHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\FASTTRACKPassepartout Value: String: "C:\WINDOWS\Passepartout.exe -A"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Mio account\NETVISION.exe Value: String: "NETVISION"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\Passepartout.exe Value: String: "Passepartout"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FASTTRACKPassepartout Value: String: "C:\WINDOWS\Passepartout.exe -A"
NOTA:Il tipo di icone, i nomi dei file, o delle connessioni potrebbero cambiare a seconda del sito da cui il dialer è stato scaricato. Quindi alcune delle operazioni indicate qui sopra potrebbero non essere necessarie o leggermente diverse.
Fonte
.
Passepartout e NetVision(FASTTRACK) |
