Quella pubblicità ha aggredito il PC

La storia di un faticoso lavoro di debug, per eliminare da un PC le impostazioni invasive piazzate da un software pubblicitario. Quanto spesso accade nelle imprese italiane?

Roma - Cari amici di Punto-Informatico, vi scrivo sull'orlo di una crisi di nervi per raccontarvi - per quel che posso - l'esperienza allucinante che ho vissuto. Svolgo la "funzione informatica" nel mio ufficio solo perchè sono quello che sa smanettare di più coi computer e mi tocca sbrogliare situazioni davvero diverse, ma mai assurde come questa che vi scrivo.

Saro' un po' lungo, magari noioso e troppo dettagliato, ma ho la necessità di far capire quello che ho passato. E' difficile mantenere un racconto consequenziale dal punto di vista cronologico, mi vengono in mente alcune cose, ma non so in che ordine mi sono capitate...

Una collega di lavoro stamattina mi ha segnalato che la sua pagina di avvio in Internet Explorer era misteriosamente cambiata. Io sono andato nelle impostazioni e le ho rimesso quella vecchia. Dopo un po' mi chiama spaventata a morte. Mentre si connetteva col programma della banca per alcune operazioni delicate una finestra improvvisamente le si era aperta. Corro da lei, ma l'aveva già chiusa, spaventata dalla situazione.
Ho pensato a un nuovo modo per arrotondare lo stipendio: magari la banca manda degli spot già che sei connesso a loro. Piccolo particolare, il tutto si svolge all'interno di una LAN, sempre su internet con ADSL. Stiamo parlando di un Pentium 200 MMX con poco meno di 100Mb di RAM e - colpo di scena - il non più supportato Windows 95 e un decrepito Internet Explorer 5.00.2919.6307IC.

Il problema della finestra impazzita si ripresenta a breve: una bionda in bikini pubblicizza servizi di messaggistica poco bancari, immagini (quelle forse sì da desktop bancario:-) ) e via via cose sempre più spinte. E come per magia anche la pagina di avvio di IE si reimposta su www.tuttoesubito.com.

Incomincio a sudare freddo. Innanzitutto la finestra che si apre da sola crea due icone minimizzate nella barra di avvio (spero si sia capito cosa intendo) con scritto g_129 in entrambe. una si riesce a chiudere, l'altra non da nessuna opzione. va ammazzata col trucchetto CTRL+ALT+CANC scegliendo l'applicazione e implorando "termina operazione". La finestra resistente non ha pulsanti e barre solite, è come un'immagine, un banner enorme senza contorno.

Dovunque si clicchi tenta di scaricare il file "flsex1" con una codifica html che riporto: A ref=3D"http://www.68737075.com/nowinv/ful/flsex1.exe"
dove compare questo strano 3D prima della stringa. Ora io non conosco a memoria l'HTML, ma mi pare un parametro insolito. Nelle intestazioni compare pure: META content=3D"MSHTML 6.00.2719.2200" name=3DGENERATOR.

Come ho fatto a vedere queste cose? Di preciso ora non ricordo neanche più, ho smanettato un po' e mi sono accorto che il tutto si riferiva ad un file "sexy.mht" nella directory \Windows\System e l'ho editato col caro vecchio blocco note.
Ora, come ho detto non sono un esperto informatico, ma mi sembra che in quella cartella debbano starci solo le cose davvero importanti. Oppure i virus...

Le immagini del file hanno tutte un percorso (src=3D"file:///C:/Documents%20and%20Settings/federico/Desktop/sexy/immagini/index_01.gif) che ovviamente non ritrovo sul pc, da nessuna parte. E neanche su altri pc della rete intranet, ma che ritrovo in calce al file con una qualche codifica. Deduco che il file MHT sia una specie di archivio compattata di una pagina intenet. Inutile dire che cancellando il file.mht questo si ricrea. Inutile dire che Google non mi da risultati utili per nessuna delle "parole chiave" fino ad ora comparse.
TAG: italia
220 Commenti alla Notizia Quella pubblicità ha aggredito il PC
Ordina
  • Salve,
    ho un problema di questo tipo. Ho disinstallato NORTON 2002 da una macchina (con Celeron) di fatto al successivo riavvio mi appaiono 2 finistrelle con scritto:

    Il file LITESCAN.DLL è collegato all'esportazione mancante DEC2.DLL?DecNewFileObject@@YAJPBD0PAPAVIDDecObject@@@Z


    e poi l'altra è:
    RUNDLL
    Errore durante il caricamento di C:\progr...\common\toolbar\cnbabe.dll Impossibile trovare il file specificato


    A quel punto ho instalalto nuovamente il norton. Ma di fatto l'errore non scompare.
    Ho provato con ad-ware e spybot a fare un po' di pulizia dei registri di config. ma niente.

    Vi viene in mente qualcosa? Grazie.... eventualmente potete rispondermi anche a MAURYZEN@libero.it

    Grazie
    non+autenticato
  • scusate, che cos'è Linux ?
    non+autenticato
  • sto raccogliendo la documentazione per segnalare
    l'adware maligno tramite abuse.net, sperando almeno di rompere un po' le scatole a questa gente.

    personalmente purtroppo ho tenuto pochissime prove
    (fortunatamente ho tenuto l'output di netstat)

    ma necessito di altro materiale che aiuti ad associare questo software alla ditta che (sembra)
    essere responsabile, ovvero Ultra Linked Ltd che
    ha ottenuto il dominio da Tucows, Inc. tramite
    OpenSrS.net

    Il meglio sarebbe riavere JDBGMRG.EXE in modo che
    possa reinfettarmi il pc e quindi produrre tutta
    la documentazione che mi serve;

    se come me lo avete già cancellato, anche ulteriori output di "netstat -a" durante il trasferimento dei file dal/i loro server al vostro computer mi sembrano importanti (forse c'è
    più di un server di provenienza)

    Se pensate di avere materiale utile mandatelo direttamente alla mia email

    Claudio

    non+autenticato
  • Ho inviato la documentazione. Speriamo che serva a qualcosa -Cld
    non+autenticato
  • Ho avuto lo stesso fastidio sul PC di casa (usato da tutta la famiglia e quindi soggetto a queste cose)

    Da un netstat mentre jdbgmrg era in esecuzione
    risulta che il sito da cui jdbgmrg attingeva i dati era 66.240.141.87, che da un reverse DNS risulta essere mx.001267.com

    Si può fare qualcosa contro questi abusi?
    non+autenticato
  • Allora ho fatto quasi la stessa esperienza con un mio collega.
    Ma non mi era venuto in mente di cercare dei file del genere....effettivamente anche lui aveva in System lo stesso Jdbgmrg.exe, che ho cavato via Dos. Poi ho ripulito il registro e pare che vada bene adesso.
    Domanda, ma non è perseguibile una pubblicità del genere? Nessuno l'ha chiesta e fin'ora non c'era possibilità a toglierla!

    Saluti,
    Stephan
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | Successiva
(pagina 1/8 - 36 discussioni)