Premetto che è uno dei problemi che mi ha costretto alle fatiche e alle ricerche più disperate.
In sostanza si tratta di un Trojan, che permette alla pagina di un sito web prestabilito (in questo caso la pagina del sito "Search for", sito con evidenti scopi di disturbo informatico) di innestarsi stabilmente come pagina iniziale di default del proprio browser.
Mi spiego meglio: la pagina iniziale si chiama comunque "about:blank", ma il Trojan ha modificato i registri sostituendosi ad "about:blank", non permettendone la modifica.
Si è soliti incappare in trojan del genere se si utilizzano assiduamente programmi per lo scambio peer-to-peer, come KaZaa, eMule, Winmx, Grokster e Fileshare.
La procedura di ripsristino delle condizioni iniziali non è semplice: innanzitutto bisogna dire che non è riconosciuto dalla stragrande maggioranza dei software di scannning, come Spybot o AEScanner, solo per citarne alcuni.
Nel documentarmi ho allora scoperto che questo fastidiosissimo Trojan non viene riconosciuto dai programmi di scanning, perchè "criptato".
In sostanza i valori contenuti nei registri modificati dal Trojan sono espressi in valori esadecimali; quindi i più comuni software non riconoscono eventuali nomi sospetti, perchè "nascosti sotto altro nome o da simboli".
Procedura:
Innanzitutto scrivere "regedit" dal menu "Start --> Esegui".
La finestra che si apre mostra l'elenco dei registri: in HKEY_LOCALMACHINE o in HKEY_CURRENT_USER, a seconda dei casi, procedere nel menu ad albero fino a "Software --> Microsoft --> Internet Explorer --> Search".
Cercare nella finestra di destra l'attributo "Searchassistant" e, facendo doppio click su di esso, prendere nota del valore che viene ad esso assegnato (nello spazio sotto).
Tornando nella finestra di sinistra, cercare "Software --> Microsoft --> Internet Explorer --> Main", e cancellare i valori che in qualche modo hanno riferimenti al sito incriminato.
Con l'aiuto, per esempio, del sito www.ascii.cl, tradurre il valore precedente da esadecimale in lettere, in modo da ottenere un indirizzo da inserire nella barra degli indirizzi.
Tale indirizzo fa riferimento alla locazione dove si trova la libreria che supporta il funzionamento del Trojan stesso ,e che i più comuni programmi non sono in grado di riconoscere, giudicandola innocua.
Per questo tipo di Trojan, il nome della libreria "colpevole" può variare, ma sarà del tipo "xxxx.dll".
Chiaramente il sistema impedirà la cancellazione di tale libreria in quanto "in uso"; si dovrà quindi installare un programma come "TuneUp Utilities" (scaricabile in versione trial).
Una volta installato, tagliare il file xxxx.dll e copiarlo sul Desktop; cliccare col tasto destro del mouse sulla libreria incriminata, e operare la scelta "TuneUp Shredder".
Questo permetterà di cancellare il file, in quanto non situato più nella cartella dove serviva per procurare il danno.
Il File "MsPMSPSv.exe"
Lo si può trovare per caso, durante l'esecuzione di uno dei programmi per il controllo dello stato del PC (per esempio quei programmi che permettono di osservare de eventualmente disabilitare programmi maligni, che partono all'avvio di Windows).
Mi è capitato di trovarlo, proprio eseguendo uno di questi programmi.
L'applicazione denominata "MsPMSPSv.exe" è attivata automaticamente all'avvio del pc.
Descrizione: è un processo non maligno, che solitamente viene installato insieme a qualche aggiornamento di Windows Media Player. In sostanza permette l'utilizzo del protocollo SDMI (Secure Digital Music Initiative)durante l'uso di Windows Media Player.
Può essere tenuto o eliminato, in quanto non è un file strettamente necessario.
Il File "NWEReboot"
Descrizione: strana applicazione, anch'essa scoperta con un programma di controllo esecuzione.
Anch'essa si attiva all'avvio di Windows, ed è associata ad un'altra applicazione, "dummy.exe".
Le ricerche fatte sul Web mi hanno portato ad affermare che si tratti di un virus.
Tuttavia le informazioni sono molto scarse, quindi, per non rischiare, conviene disabilitarlo dall'esecuzione in avvio di Windows, tramite un apposito programma(per esempio "Codestuff Starter")
