Rieccomi dopo circa 48 ore di sequestro da parte di Telecom Italia: niente linea telefonica e ovviamente niente ADSL (guasto in centrale) 🙁

Ultimamente è periodo di virus: dopo almeno 5 pc infettati da Link Optimizer e Gromozon, oggi è il turno di uno splendido notebook.
Caratteristiche del potente mezzo: Compaq Armada E500, PentiumIII a qualche cosa, 256MB di ram, Windows XP Professional (sp0), qualche centinaio di virus, niente cd di ripristino né del sistema operativo e, chicca conclusiva, lettore cd non funzionante.

Dopo un paio d’ore di scansioni varie, mi sono ritrovato di fronte uno scorfano particolarmente ostinato: siccome il simpatico DeluxeCommunications mi ha fatto perdere delle ore, faccio un riassunto della situazione.

Il fetente si piazza nella cartella \programmi\deluxecommunications (all’interno ci troverete un file dxc.exe e un paio di dll), in \windows\system32 (dxc*numeroacaso*.dll) e in %AppData% (anche qui dll con nome pseudo casuale).

Purtroppo non sono riuscito a venirne a capo con i soliti strumenti: scansione profonda del NOD32, SpyBot S&D e HiJackThis. NOD32 rileva i file infetti ma non riesce a cancellarli (sono in uso), HiJackThis non riesce a cancellare i riferimenti sul registro presenti in

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows NT\Current Version\Windows-->AppInit_DLLS

Tu cancelli le chiavi, lui se le ricrea: non serve a nulla uccidere i processi nel task manager o controllare tra i servizi avviati 🙁

Via Google si trova una soluzione semplice (non verificata personalmente): eseguire da prompt dei comandi

c:\programmi\deluxecommunications\dxc.exe /u

Peccato che l’eseguibile sia stato segato al primo giro di antivirus. Conseguenza: non riesci a eliminare le dll (sono in uso).

Alla fine il colpo di culo fortuna: trovi un software, SUPERAntiSpyware, mai sentito nominare, che con un paio di scansioni di mezz’ora ti pulisce il computer che è ‘na bellezza!

Il fetente (DeluxeCommunications) mi ha anche permesso di imparare un altro aspetto del mondo anti-spyware.

Provate a cercare dxc.exe su Google: i primi risultati avranno indirizzi del tipo anti-spyware101, 411-spyware-remove, ecc. ecc.
Tutti questi siti vi fanno scaricare un FreeSpywareScanner.exe (o altro eseguibile dal nome molto simile) che non è altri che SpyHunter della Enigma Software Group Inc.: tale software fa la scansione ma non permette di rimuovere gli elementi individuati (la rimozione funziona solo con il programma completo, costo $29.99).

Vista la mancanza di trasparenza dei siti in questione (e di conseguenza dell’azienda), se mai dovrò spendere 30$ per un AntiSpyware lo farò per acquistare SUPERAntiSpyware 😉


16 commenti/trackback a “DeluxeCommunications Spyware e Enigma Software”

  1. Underpass scrive:

    Ciao PT, io a volte sono riuscito a “sbloccare” i file in uso assumendo la proprietà (ownership) dei file, resettando i permessi e mettendo tutto in “deny” esplicito per tutti gli utenti – talvolta basta solamente mettere in deny per l’utente System.

    Al riavvio, i file non sono in uso e, rimettendo i permessi al loro posto, possono anche essere cancellati.

    Ciao 😉

  2. flod scrive:

    Interessante ma non so se funzionerebbe nel caso specifico 😕

    Da quanto ho capito le dll sono effettivamente in uso e collegate ad altre dll di sistema: ad esempio non sono riuscito a cancellarle nemmeno in modalità provvisoria con prompt dei comandi (quindi nemmeno explorer.exe aperto)

  3. halifax scrive:

    Sarebbe stato utile in questo caso vedere gli altri antivirus come si sarebbero comportati (penso al kaspersky o ad antivir ad esempio, il primo soprattutto si sta dimostrando forte in questo periodo, per via di un trojan che arriva per mezzo di una falsa email di studi legali, ch riesce ad eliminare).

    Per quanto riguarda il software che citi, effettivamente sembra buono, anche perchè sono molti al momento i software antispyware in circolazione, e venendo dopo altri, e riuscire a farsi notare, la dice lunga.

  4. Underpass scrive:

    Probabilmente quei file sono chiamati da USERINIT.EXE (non da explorer.exe) direttamente a registry.

    Mi è successo proprio recentemente (2 ore e mezza di lavoro, dove avevo preventivato circa 30 minuti… :()

    P.S. La descrizione della falsa email dallo studio legale è riportata sul blog di Attivissimo.

  5. dalco scrive:

    Non hai provato prevx? Mi ha risolto un caso del genere tranquillamente, inoltre è forse il più aggiornato sugli spyware tipicamente italiani (basta pensare a Gromozon: è stato il primo a rimuoverlo. Ma anche il recente virus dell'”avvocato Gentili”, è sempre stato il primo a rilevarlo e rimuoverlo).

    La licenza? È gratuito per i primi 30 giorni, poi rimane attiva la sola scansione. Se è necessaria la rimozione si pagano pochi dollari per riattivarlo un tot di temo.

  6. Gioxx scrive:

    Sono in buona compagnia a quanto pare. Negli ultimi giorni anche io ho combattuto abbastanza contro gli utOnti che si sono beccati non pochi virus con la semplice navigazione in rete / scarsa attenzione nell’aprire mail (Viva IE/OE).

    Tra i tanti, c’è l’Avvocato delle mie ghette e LinkOptimizer. Generalmente quando ci sono DLL e chiavi di registro di mezzo, do una bella passata di KillBox e, una volta individuati i file chiave che rompono, passa tutto 🙂

  7. miki64 scrive:

    Ehm… Correggi Errore Ortografico…

    trovi un software, SUPERAntiSpyware, mai sentito nominare

    Inoltre: tu e l’amico Underpass non siete troppo tecnici nei vostri interventi?
    Vabbè che questo non è un Forum di supporto o altro, però un minimo di linguaggio semplificato non guasterebbe!
    L’articolo è interessante, però l’intervento di Underpass è davvero difficile da comprendere per i Pseudo-utenti!

  8. flod scrive:

    @Miki: quale errore?

    @Dalco: sinceramente PrevX non l’ho mai provato anche se uso il tool gratuito di rimozione per Gromozon (mi sembra si chiami Prevx1).

    @Gioxx e Underpass: la prossima volta terrò conto dei consigli (sperando di non doverci litigare per ore come stavolta)

  9. Underpass scrive:

    @ miki64: se sono stato criptico, è stato perché ha voluto evitare, per una volta, l’intervento di tipo divulgativo… è un blog, mica un forum! 😛

  10. halifax scrive:

    Tieni in considerazione anche questo software antispyware:
    http://www.spywareterminator.com/app/features.aspx

    Tralatro permette di usare clamwin in real time.

  11. miki64 scrive:

    @ pseudotecnico:
    nessun errore tuo, l’errore è il mio.
    Avevo letto di fretta e furia e non avevo visto che “trovi” era seguito da “ti pulisce”….

    Sorry.

  12. Coverx scrive:

    Io l’ho usato come da tuo consiglio per un pc conciato molto male.
    Rimosso i vari spyware (oltre 3000!!!!!) chiede il riavvio del pc. Sai cos’è successo?
    win xp non parte più e continua a riavviarsi dopo aver inserito la password dell’utente.
    Sono stato costretto a lanciare il ripristino

  13. flod scrive:

    Probabilmente il sistema era veramente incasinato 😕

    Non partiva nemmeno in provvisoria o da un utente diverso?

  14. Lella scrive:

    ti ringrazio per questo provvidenziale post.
    🙂
    vorrei solo sapere come fanno ad installarsi certe robe sul pc 😐

  15. Lella scrive:

    ho letto il commento sopra al mio…

    vorrei dire che io ho risolto il problema del continuo riavvio in modalità provvisoria, con CC cleaner, scansioni varie di AVG e SPYBOT, oltrechè con ATF cleaner.

    alla fine ha ripreso tutto ok. magari però, da profana è stato solo “qulo”

  16. flod scrive:

    @Lella

    Il consiglio per evitare che certi software si installino è sempre quello:
    a) stare attenta a dove navighi
    b) mantenere aggiornato il browser e il sistema operativo, antivirus e firewall
    c) mantenere aggiornati i plugin (Java e Flash)
    d) usare browser alternativi (Firefox, Opera) 😛

    In realtà l’ideale sarebbe navigare con un account limitato, in modo che i possibili danni siano sempre limitati.

Trackback e pingback

  1. Nessun trackback o pingback disponibile per questo articolo

Non è possibile inserire nuovi commenti. I commenti vengono disattivati automaticamente dopo 60 giorni.