Adware.Roogoo

Versione per stampante

Aggiornato: February 13, 2007 11:47:45 AM
Tipo: Adware
Versione: n/a
Editore: n/a
Impatto del rischio: High
Sistemi operativi minacciati: Windows

Comportamento


Adware.Roogoo è un adware che installa un Layered Service Provider che controlla il traffico della rete. Il rischio segnala i termini di ricerca in Google al dominio di controllo e può vosualizzare annunci pubblicitari pop-up.

Sintomi


Adware.Roogoo viene rilevato dai programmi Symantec.

Trasmissione


Adware.Roogoo deve essere installato manualmente.

Date protezione antivirus

  • Versione iniziale Rapid Release October 02, 2014 revisione 022
  • Ultima versione Rapid Release May 13, 2018 revisione 025
  • Versione iniziale Daily Certified June 26, 2006 revisione 002
  • Ultima versione Daily Certified May 14, 2018 revisione 007
  • Data rilascio Weekly Certified iniziale June 28, 2006

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Aggiornato: February 13, 2007 11:47:45 AM
Tipo: Adware
Versione: n/a
Editore: n/a
Impatto del rischio: High
Sistemi operativi minacciati: Windows


Quando viene eseguito, Adware.Roogoo si comporta nel modo seguente:

  1. Crea uno dei file seguenti:

    • %System%\msplus.dll
    • %System%\msplus1.dll
    • %System%\msplus2.dll
    • %System%\msplus3.dll
    • %System%\msplus4.dll

      Nota: %System% è una variabile che fa riferimento alla cartella System. Per impostazione predefinita si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).

  2. Genera e popola le seguenti sottochiavi del registro:

    HKEY_CLASSES_ROOT\CLSID\{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}
    HKEY_CLASSES_ROOT\Interface\{2805A558-1E98-48FB-8BA5-49A3AD78B129}
    HKEY_CLASSES_ROOT\TypeLib\{57F7A59D-8F7F-41B2-98B8-A095456716E9}
    HKEY_CLASSES_ROOT\Adplus.XLink
    HKEY_CLASSES_ROOT\Adplus.XLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo

  3. Aggiunge il valore:

    "FROMID" = "roogoo"

    alla sottochiave del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

  4. Modifica il valore:

    "2102" = "0"

    nella sottochiave del registro:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

    per eliminare determinate limitazioni per le finestre pop-up in Internet Explorer.

  5. Crea un servizio legittimo con le seguenti caratteristiche:

    Nome servizio: WS2IFSL
    Nome visualizzato: Windows Socket 2.0 Non-IFS Service Provider Support Environment
    Percorso dell'eseguibile: %System%\System32\drivers\ws2ifsl.sys
    Tipo di avvio: System

  6. Installa un LSP per controllare il traffico di rete che proviene dal computer infetto e segnala i termini di ricerca in Google al seguente dominio:

    roogoo.com

  7. Può visualizzare pubblicità pop-up.


Aggiornato: February 13, 2007 11:47:45 AM
Tipo: Adware
Versione: n/a
Editore: n/a
Impatto del rischio: High
Sistemi operativi minacciati: Windows


Le istruzioni seguenti riguardano tutti i prodotti antivirus Symantec che rilevano i rischi per la sicurezza.

  1. Aggiornare le definizioni.
  2. Eseguire una scansione completa del sistema.
  3. Eliminare tutti i valori aggiunti al registro.
  4. Reinstallare il protocollo TCP/IP
Proseguire nella lettura per ottenere istruzioni dettagliate su come procedere.

1. Aggiornare le definizioni
Per ottenere le definizioni più recenti avviare il programma Symantec ed eseguire LiveUpdate.


2. Eseguire la scansione
  1. Avviare il programma antivirus Symantec ed eseguire una scansione completa del sistema.
  2. Se vengono rilevati dei file e a seconda della versione di software utilizzata, è possibile visualizzare una o più delle opzioni seguenti:

    Nota: Ciò è valido solo per le versioni di Norton AntiVirus che rilevano i rischi per la sicurezza. Se si esegue una versione di Symantec AntiVirus Corporate Edition che rileva i rischi per la sicurezza e questa rilevazione è stata abilitata, verrà visualizzata una finestra con i risultati della scansione. In caso di domande contattare l'amministratore di rete.
    • Escludi (non consigliato): Facendo clic su questo pulsante la minaccia viene configurata in modo da non essere più rilevabile. Ciò significa che il programma antivirus non rileverà il rischio per la sicurezza presente nel computer né lo rimuoverà.

    • Ignora o Salta: Scegliendo questa opzione il programma di scansione ignora la minaccia solo per la scansione corrente. Questa sarà rilevata la prossima volta che si esegue una scansione.

    • Annulla: Si tratta di una nuova opzione di Norton AntiVirus 2005. Viene utilizzata quando Norton AntiVirus 2005 non è in grado di eliminare un rischio per la sicurezza. Con l'opzione Annulla, il programma di scansione ignora la minaccia solo per la scansione corrente ma questa sarà rilevata alla prossima scansione.

      Per eliminare effettivamente il rischio per la sicurezza:
      • Fare clic su nome del file (sotto la colonna del nome file).
      • Nella casella Informazioni elemento visualizzata, scrivere il pecorso e il nome completo del file.
      • Utilizzare quindi Esplora risorse per individuare ed eliminare il file.

    • Elimina: Questa opzione tenterà di eliminare i file rilevati. In alcuni casi, il programma di scansione non sarà in grado di farlo.
      • Se viene visualizzato il messaggio, "Eliminazione non riuscita" (o un messaggio simile), eliminare il file manualmente.
      • Fare clic sul nome del rischio che si trova sotto la colonna Nome file.
      • Nella casella Informazioni elemento visualizzata, scrivere il pecorso e il nome completo del file.
      • Utilizzare quindi Esplora risorse per individuare ed eliminare il file.

Importante: Se non è possibile avviare il prodotto antivirus Symantec o se il prodotto segnala che non è possibile eliminare un dato file, può essere necessario arrestare l'esecuzione del rischio prima di eliminarlo. A questo scopo, eseguire la scansione in Modalità provvisoria. Per istruzioni, leggere il documento, "Come avviare il computer in Modalità provvisoria ." Una volta eseguito il riavvio in modalità provvisoria, eseguire di nuovo la scansione.

Dopo aver eliminato tutti i file, riavviare il computer in modalità normale e proseguire con la sezione successiva.

Possono essere visualizzati dei messaggi di avviso al riavvio del computer, poichè il rischio non è ancora stato rimosso completamente. Ignorare questi messaggi e fare clic su OK. Questi messaggi non compariranno quando il computer è riavviato dopo che le istruzioni di rimozione sono state completate. I messaggi visualizzati possono essere simili a quanto segue:

Titolo: [PERCORSO DEL FILE]
Corpo del messaggio: Windows cannot find [NOME FILE]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

3. Rimuovere i valori dal Registro di sistema
Importante: Prima di modificare il registro di sistema si raccomanda vivamente di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati e danni irreversibili ai file. Modificare unicamente le sottochiavi specificate. Leggere il documento, Come eseguire il backup del registro di sistema di Windows ".
  1. Fare clic su Start > Esegui.
  2. Digitare  regedit

    Fare clic su OK.

    Nota:Se non si riesce ad aprire l'editor del registro è possibile che la minaccia lo abbia modificato impedendo l'accesso. Security Response ha sviluppato uno strumento per risolvere questo problema. Scaricare ed eseguire questo strumento, quindi proseguire con la procedura di rimozione.

  3. Andare alla sottochiave:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

  4. Eliminare il seguente valore nel riquadro di destra:

    "FROMID" = "roogoo"

  5. Andare alla sottochiave:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

  6. Eliminare il seguente valore nel riquadro di destra:

    "2102" = "0"

  7. Andare alle sottochiavi seguenti ed eliminarle:

    HKEY_CLASSES_ROOT\CLSID\{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}
    HKEY_CLASSES_ROOT\Interface\{2805A558-1E98-48FB-8BA5-49A3AD78B129}
    HKEY_CLASSES_ROOT\TypeLib\{57F7A59D-8F7F-41B2-98B8-A095456716E9}
    HKEY_CLASSES_ROOT\Adplus.XLink
    HKEY_CLASSES_ROOT\Adplus.XLink.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo

  8. Uscire dall'Editor del Registro di sistema.


4. Per reinstallare protocollo TCP/IP
Importante: Prima di modificare il registro di sistema si raccomanda vivamente di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati e danni irreversibili ai file. Modificare unicamente le sottochiavi specificate. Per le istruzioni fare riferimento al documento: Come eseguire il backup del Registro di sistema di Windows.
  1. Fare clic su Start > Esegui
  2. Digitare regedit
  3. Fare clic su OK.


    Nota:Se non si riesce ad aprire l'editor del registro è possibile che la minaccia lo abbia modificato per impedirvi l'accesso. Security Response ha sviluppato uno strumento per risolvere questo problema. Scaricare ed eseguire questo strumento e continuare con la rimozione.
  4. Andare alle sottochiavi seguenti ed eliminarle:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2

  5. Uscire dall'Editor del Registro di sistema.

  6. Riavviare il computer

    1. Fare clic su Start > Pannello di controllo > Connessioni di rete > Connessione alla rete locale
    2. Fare clic su Proprietà
    3. Fare clic su Installa
    4. Selezionare Protocollo
    5. Fare clic su Aggiungi
    6. Fare clic su Disco driver
    7. Andare alla cartella %Windir%\inf
    8. Fare clic su Apri
    9. Fare clic su OK
    10. Selezionare Protocollo Internet (TCP/IP)
    11. Fare clic su OK
    12. Riavviare il computer