Si aprono pagine da sole su Chrome, Explorer o Firefox? Il vostro computer è infettato da PUP.Optional.Conduit.A e non si hanno indizi su come rimuoverlo dal computer? Ecco come risolvere il problema.
Di recente ho avuto a che fare, in uno dei tanti computer di casa, con un fastidiosissimo “virus” che apriva da solo pagine web durante la navigazione, pagine contenenti pubblicità legate o meno a ciò che si stava cercando online in quel preciso istante. Vi spiego due metodi per eliminare il nostro amico indesiderato.
Descrizione del “virus”
Inizialmente l’utente non si rende conto dell’intrusione del “virus” nel proprio PC, viene installato per lo più attraverso siti web dannosi, download gratuiti (attenzione a cosa installate da CNET, Brothersoft o Softonic), e-mail di spam, file p2p e dispositivi di archiviazione infetti.
Tecnicamente non è un “virus” (per quello lo metto tra virgolette, ma uso questo termine anche per i meno informatici che cercano su Google la soluzione al problema scrivendo “virus”). E’ un insieme di caratteristiche dannose, che utilizza le tecniche di rootkit (che prende il controllo sul sistema operativo senza bisogno di autorizzazione da parte di un utente o di un amministratore), del Browser Hijacking che, in poche parole, dirotta il malcapitato verso specifiche pagine web (soprattutto pubblicitarie). E’ facile presupporre che il cosiddetto “virus” ha come obiettivo aumentare il traffico di determinati siti web e realizzare un profitto attraverso i click. Questa tecnica è illegale, e viene definita Black-hat SEO o Spamdexing.
Mi sono trovato spesso, durante la mia esperienza, di avere a che fare con siti web infettati con una tecnica simile chiamata Clickjacking, soprattutto quelli creati con Joomla e che hanno installato moduli come mod_AutsonSlideShow, mod_PlimunNivoSlider e mod_TwitterShow. Siti web ovviamente non fatti da me, siccome io lavoro prevalentemente su base WordPress anche per i motivi elencati nel mio articolo dal titolo “Joomla vs WordPress“. I proprietari si sono rivolti a me per la rimozione (avvenuta con successo).
Come individuarlo
Oltre al fastidioso problema delle pagine che si aprono da sole, dovreste verificare la presenza del “virus”.
Se usate Chrome
Dovete accedere alla cartella C:\Users\*IL VOSTRO NOME UTENTE*\AppData\Local\Google\Chrome\User Data\Default e aprire con il vostro “Blocco note” il file Preferences.
Se trovate questa riga di codice, il vostro PC è infetto.
Se usate Firefox
Aprite Firefox e digitate nella barra degli indirizzi about:config, accettate le condizioni di Firefox e cercate “conduit”. Se trovate qualcosa, siete infetti.
Se usate Explorer
Aprite il menu di Explorer e cliccate su “Gestione componenti aggiuntivi”, cliccate su “Barre degli strumenti ed estensioni” e cercate “conduit”. Se trovate qualcosa, siete infetti.
Primo metodo di rimozione: per utenti esperti
Tutto il lavoro deve essere fatto avviando Windows in modalità provvisoria. Se avete Windows 7 non basta digitare il classico tasto F8 all’avvio del PC. Ecco come fare:
- cliccate sul pulsante Start di Windows,
- digitare msconfig nella barra di ricerca veloce e premi il tasto Invio
- nella finestra che si apre, selezionate la scheda Opzioni di avvio
- mettete il segno di spunta alle voci “Modalità provvisoria” e “Minima” (per utilizzare la modalità provvisoria senza Internet) oppure “Rete” (per utilizzare la modalità provvisoria avendo l’accesso ad Internet) e cliccate su Applica e poi su OK.
- riavviate il PC.
Una volta finito il lavoro di “disinfestazione”, dovrete ripetere l’operazione togliendo la spunta alla voce “Modalità provvisoria”, applicare e riavviare. Semplicissimo.
Se usate Chrome
Trovata quella stringa che vi conferma la presenza del “virus” dovete cancellarla e salvare il file, ma prima dovete andare al seguente indirizzo https://www.google.com/settings/chrome/sync e cliccare “Interrompi e cancella”. Perché interrompere e cancellare la sincronizzazione di Chrome con il vostro account? Perché quel file che avete aperto prima è infettato dal “virus”, anche se la cancellate e salvate questa linea di codice tornerà. Eh si, questo “virus” è talmente fastidioso che si insinua nei file di configurazione di Chrome anche attraverso la sincronizzazione. E’ fastidioso, ma è da fare.
Se usate Firefox
Scovati gli elementi presenti con la dicitura “conduit”, tasto destro su ognuno di loro ed eliminarli/disabilitarli.
Se usate Explorer
Scovati gli elementi presenti con la dicitura “conduit”, digitare il tasto “disabilita” in basso a destra nella finestra che avete aperto per ognuno degli elementi.
Per tutti i browser
Verificate che tra i motori di ricerca impostati, o le pagine iniziali impostate, non ci sia “http://search.conduit.com/”. Se è presente, dovete eliminare l’opzione e sostituirla con un altra pagina o motore di ricerca (meglio se Google, che preferisco).
Un giretto di antivirus e cleaner
Il punto successivo riguarda le chiavi di sistema di Windows, ma a volte non basta, il tutto dipende dalla versione di Conduit che ha infettato il vostro PC. Vi consiglio di provare con i seguenti programmi:
La parte difficile: toccare il registro di sistema di Windows
Cliccare sul tasto “Start” di Windows e digitare nella ricerca “Regedit” e aprite il programma individuato.
Aperto il Regedit, andate nel menu su “modifica”->”trova”, selezionate tutte le opzioni di ricerca (“chiavi”, “valori” e “dati”) e cercate “conduit”.
Vi verrà visualizzata soltanto una prima ricerca con la prima chiave di registro individuata, selezionatela con il testo destro del mouse e cliccate su “elimina”. Cliccate poi il tasto F3 per individuare la prossima chiave di registro.
Finito tutto ciò, chiudete la finestra e riavviate Windows.
Dovrebbe essere tutto a posto, ma come ho detto prima dipende dalla versione di Conduit che ha infettato il PC. Se con questo metodo, gratuito ma per utenti “esperti”, non siete riuscito ad eliminarlo, dovete passare al prossimo metodo di rimozione (purtroppo per voi).
Secondo metodo di rimozione: per utenti non esperti
Ho riscontrato in Rete che il problema è stato risolto egregiamente con l’utilizzo del software SpyHunter. Attenzione, vi fa la scansione gratuita, per eliminare il problema dovreste comprare la licenza (circa 30 euro). Se non volete combinare disastri, o avete paura di sbagliare, vi tocca spendere.
La prossima volta state attenti a cosa scaricate e installate sul PC (le barre dei browser soprattutto, o programmi per le “faccine” nelle chat o simili…. iniziate a pensarli come “tutti dannosi”) o che siti web visitate, evitate la compulsione di cliccare sui banner di pubblicità in siti dove vi offrono cose gratis.
