Messenger Skinner – Virus, Adware e Rootkit per il vostro pc
Di cosa parliamo oggi? Di un apparentemente fantastico programmino per Live Messenger: MESSENGER SKINNER. Che caratteristiche ha teoricamente questo software? Beh, avete presente SweetIM? In teoria questo programma fa un pò la stessa cosa: aggiunge tantissime emoticons gratuite a Live Messenger.
Ma il “bello” (si fa per dire) è che non si limita a fare ciò…. ma installa sul vostro pc anche un simpatico adware rootkit (vale a dire un virus che apre automaticamente mentre navigate in internet finestre pubblicitarie, difficilissimo da eliminare perchè “invisibile” – esistono programmi appositi per eliminare questi “virus invisibili”, chiamati antirootkit)!
La cosa eccezionale è che tutto è stato veramente studiato ad arte: inannzitutto il programmino è ultrapubblicizzato su Google, lo trovate nei collegamenti sponsorizzati, come potete verificare in questo screenshot.
Andiamo poi a guardare il sito: esteticamente molto curato e, oltretutto, tradotto in 6 lingue!!! Guardate un pò:
Cosa leggiamo sul sito? “Messenger Skinner è garantito senza spyware né trojan di nessun tipo” e “Messenger Skinner è gratuito“. E’ davvero tutto ben fatto, e chiunque potrebbe fidarsi e decidere di scaricarlo per installarlo. Ma continuiamo. Una volta scaricato, ci si trova davanti ad un eseguibile, questo:
Una volta eseguito, ci troviamo di fronte a questa schermata contenente i Termini e le Condizioni (EULA) del software.
Ma concentriamoci un pò proprio su queste condizioni. Alle fine, sotto la voce “UNINSTALL”, troviamo questa breve menzione: “UNINSTALL: This software is completely free as it is subsidized by the Favorit contextual advertising component“. Si viene, quindi, avvisati dell’adware… ma quale utente non solo legge termini e condizioni, ma le legge fino alla fine?
Se leggiamo un pò più su, troviamo scritto: “Users should be aware that upon such uninstallation, the advertising messages might be sent during a period of three months after said uninstallation“: cioè, in pratica, i messaggi pubblicitari continueranno ad apparire per TRE MESI anche dopo un’eventuale disinstallazione del software…. fantastico! 
Ma non è finita qui: il “componente” (ossia l’adware) manda delle informazioni ad un server direttamente dal nostro pc: “The data sent to the Providers servers by the Component will be limited to technical and connection information such as: operating system user name, name of the computer in the operating system, IP address of the LAN of the computer, country of connection, browser default country, operating system version, operating system or browser service packs installed, ID of the most recent browser update, vertical and horizontal resolution of the monitor screen, IP address of the most recent internet connection, maximum and average response times, percentage losses, name of the last RAS connection and others relevant for the purposes indicated“. “Limited to”, limitatamente a? E quale altro dato rimane da inviare? Il numero di scarpe dell’utente? 
Ma vediamo adesso cosa dovremmo fare se volessimo liberarci del programma. Andiamo in Panello di Controllo > Installazione Applicazioni, effettuiamo la disinstallazione e si apre una pagina internet: per effettuare la disinstallazione completa (anche del “componente”) dobbiamo scaricare un altro programma, e per fare ciò dobbiamo immettere il nostro indirizzo e-mail (per essere probabilmente esposti a chissà quale forma di spam) per aspettare che ci inviino un messaggio con il link per scaricarlo che scadrà dopo 24 ore!
Sorpresa sorpresa, il file scaricato viene rilevato da software antivirus, per es. Panda, come un malware!
Inoltre se proviamo ad utilizzarlo per più di tre volte, ci appare un messaggio in cui ci viene detto che bisogna riscaricarlo, perchè è scaduto!!
COSA FARE QUINDI PER DISINSTALLARE IL FASTIDIOSO “COMPONENT” CIOè L’ADWARE INSTALLATO DA MESSENGER SKINNER?
Da tenere presente è che il malware è rilevato solo dal 34% degli antivirus in lista Virus total! Ciò sognifica che molto probabilmente il nostro antivirus non rileverà nulla e bisognerà agire manualmente con l’ausilio di un programma anti-rootkit e con un anti-spyware.
1- Disabiliamo il “Ripristino Configurazione di Sistema” da Pannello di Controllo > Sistema > Ripristino configurazione di sistema.
2- Scarichiamo un programma anti-rootkit, io ho usato F-Secure Blacklight ma voi potete scaricare anche Rootkit Detective di McAfee o Panda AntiRootkit, e facciamo una scansione completa del pc.
Nella cartella
- C:WINDOWS\system32
o nella cartella
- C:\Documents and Settings\%Nomeutente%\Impostazioni locali\Dati applicazioni\
verranno rilevati 4 files, tre file .dat e un file .exe che partirà in automatico all’avvio del pc: normalmente i file sono invisibili e non hanno un nome preciso, ma assolutamente casuale. Il software anti-rootkit, a seconda di quello da voi scelto:
- li rinominerà chiedendovi di riavviare il pc e quindi starà a voi cancellarli manualmente in seguito;
- oppure li eliminerà direttamente;
- oppure li rileverà soltanto.
In questo ultimo caso, copiate il percorso dei file da cancellare (lo trovate nel file log.txt che avrà generato l’anti-rootkit), avendo cura di CANCELLARE PER PRIMO IL FILE .EXE, nella casella “Full Path of file to delete” del tool standalone KILLBOX (scaricatelo gratuitamente da qui) e premete sulla casella col cerchio rosso con la croce bianca (vedi immagine), avendo messo la spunta su “Delete on Reboot”. Riavviate il pc se non si riavvia automaticamente.
3- Scaricate il tool standalone gratuito ATF CLEANER, eseguitelo, selezionate “Select All” e poi premete su “Empty Selected”.
4- Una volta certi di aver cancellato i files, scaricate l’antispyware free SpyBot Search and Destroy, aggiornatelo (ovviamente), ed effetuate una scansione del pc: sicuramente rileverà dei problemi, voi premete su “Correggi” per eliminarli.
5- Pulite il registro di sistema con un programma come Eusing Free Registry Cleaner (Scan Registry Issues > Repair Registry Issues).
E così dovreste avere risolto, ma per sicurezza effettuate anche una scansione completa del pc in modalità provvisoria (F8 all’avvio) col vostro antivirus. Dopodichè riabilitate il ripristino configurazione di sistema.
Se NON risolvete con questo procedimento o se siete poco esperti e vi sembra troppo complicato, le alternative sono due:
- usate il tool gratuito Navilog 1, sviluppato per rimuovere questo malware; leggete la guida (in inglese) su come utilizzarlo QUI;
- potete usare la versione trial di Trojan Remover (non l’ho testata personalmente ma pare che faccia egregiamente il suo dovere), scaricandola da QUI ;
Aggiornamento del 21 giugno 2008:
Se quanto scritto sopra non si rivelasse efficace per la disinfezione, effettuate la scansione on line del vostro pc al seguente link, e succesivamente un’altra scansione a quest’altro link.
L’operazione potrebbe essere assai lunga, ma alla fine assai efficace!
E così dovreste avere risolto, ma per sicurezza effettuate anche una scansione completa del pc in modalità provvisoria (F8 all’avvio) col vostro antivirus. Dopodichè riabilitate il ripristino configurazione di sistema.
Per chi non sapesse se installare o meno MESSENGER SKINNER, mi pare, a questo punto, ovvia la risposta
NON INSTALLATE MESSENGER SKINNER
Via | http://ugosan.spaces.live.com/
Io l’avo installato, e rimosso dopo essermi accorto dei problemi che dava. Per rimuoverlo ho usato ComboFix, che almeno apparentemente sembra aver funzionato, ed è di una banalità disarmante da usare. Qualcuno sa se ha contoindicazioni? In caso contrario, è ottimo
Io l’avevo installato, e rimosso dopo essermi accorto dei problemi che dava. Per rimuoverlo ho usato ComboFix, che almeno apparentemente sembra aver funzionato, ed è di una banalità disarmante da usare. Qualcuno sa se ha contoindicazioni? In caso contrario, è ottimo
ma è normale che dopo aver usato l’anti rootkit e aver riavviato quei 4 file c siano ancora? ;_;
mi continua a creare problemi, aprendomi le pagine cmq… helpami se puoi ;_;
Ciao “Sech”.
Prova a rimuovere i files manualmente.
Se leggi attentamente la guida vi è spiegato come fare.
Facci sapere.
Cordiali saluti.
Nunzio.
ciao lo scaricato ma non si leva piu che cosa devo fareho Windows Vista e ho Windows Defender
Ciao Adriele.
Hai provato a d eliminare il programma seguendo la guida descritta nell’articolo?
Whatz Expert, I fell blessed that I found your post while searching for ad adware se. I agree with you on the subject er Skinner – Virus, Adware e Rootkit per il vostro pc | La Guida Informatica. I was just thinking about this matter last Tuesday.
io li ho rimossi manualmente dopo che windows defender mi ha avvertito..il pc era rallentato in un malo modo….
la firewall mi blocca il progrmma F-Secure Blacklight.
Ciao Sara.
Hai 2 possibilità:
1)disattivare momentaneamente il tuo firewall
2)in alternativa a F-Secure Blacklight puoi utilizzare i seguenti software: Rootkit Detective di McAfee o Panda AntiRootkit.
Cordiali saluti.
Nunzio.
Grazie, ho sbloccato la firewall, ma siccome non sono molto pratica, non sò come si accede al registro del sistema
Ciao Sara.
Per quale motivo ti serve accedere al registro di sistema?
In ogni caso per effettuare la pulizia del registro di sistema usa questo software: Eusing Free Registry Cleaner
Una volta installato, lancialo e clicca nell’ordine : Scan Registry Issues > Repair Registry Issues.
Fammi sapere.
Cordiali saluti.
Nunzio.
p.s. non dimenticare di riattivare nuovamente il firewall a disinfezone avvenuta.
uhm…
HELP !!!
Sbybot mi ha rilevato come trojan Messanger Skinner l’ho preso clickando sopra un link con scritto qui ci sono le tue foto xD
nn riesco a toglierlo ho provato ad utilizzare PrevX
Ewido, SpyBot e AdAware ma niente nn riesce a cancellarlo
poi il giorno dopo mi sono trovato il firwall bloccoto e tutto il sistema di sicurezza di window vista bloccato e nn riesco ad attivarlo
xD adesso provo questo procedimento anke se nn ho capito un gran cioè devo scaricare il programma poket KILLBOX ?
poi ci devo inserire il percorso dei file ma… spybot nn me lo dà tutto il percorso del trojan cm faccio ad individuarlo ?
risp al + presto
Ciao M4zzi.
La guida per la disinfezione credo sia abbastanza semplice.
Occorre innanzitutto disabilitare il Ripristino Configurazione di sistema e poi effettuare una scansione con un anti-rootkit (la guida riporta 3 link dove scaricare altrettanti anti-rootkit), e di li seguire i passi indicati nella guida.
Fammi sapere.
Cordiali saluti.
Nunzio.
Su vista nn trovo il modo per disabilitare il ripristino configurazione sitema cioè vado sul pannello di controllo –> sistema –> poi penso su Centro di backup e ripristino poi come faccio ad disablitarlo ?? risp vi ringrazio per l’aiuto
Per disabilitare il servizio:
* Start
* Pannello di controllo
* Sistema e manutenzione
* Sistema
* Sulla sinistra clicchiamo su Impostazioni avanzate di sistema
* Tab Protezione sistema
* Togliere il segno di spunta sul drive di sistema
* cliccare su Disattiva Ripristino configurazione di sistema
scusa ma l’ho trovato nn c’è bisogno ke rispondete
adesso prvo tutta la procedura cmq è possibile ke Messanger skinner causi tutto il problema ke sopra ho descritto ? risp ciao
nn avevo visto ke già avevate risposta grazie mille
tra i due software ke ci sono sopra mi dice ke nn sono suportati da window vista cosa posso scaricare in alternativa ?
è possibile ke F-Secure BlackLight nn abbia rilevato nessun items
Prova questo : Gmer
verissimo….norton ufficiale nn mi rilevava nulla….fortuna nn ho eseguito il file quando ho installato lo skinner…poi l ho rimosso con windows defender ke ho su VISTA
ciao per fortuna mi sono informata sugli effetti di messenger skinner… insomma alla fine ho provato Gmer possedendo come sistema operativo windows vista ma mi ha trovato un infinità di rootkit/malware è possibile? ho ancora la spunta disabilitata x il ripristino configurazione sistema…. rispondetemi…
Ciao Stefy.
Verifica su Gemer, nella scheda “rookit”, se sono presenti dopo la scansione file evidenziati in rosso.
Fammi sapere.
Cordiali saluti.
Nunzio.
ciao nunzio,
prima di tutto ti ringrazio per l interessamento… stò facendo lo scan completo del sistema e sto aspettando ansiosamente l’esito… ti farò sapere
GRAZIE MILLE
stefy
allora nella finestra rootkit/malware mi ha scritto tantissime voci ma nessuna evidenziata in rosso…. dovrebbe essere tutto a posto?
ma ora devo rimettere la spunta su ”ripristino configurazione sistema”?
Ciao Stefy.
Tutto a posto, puoi rimettere la spunta su ”ripristino configurazione sistema”.
Buona domenica.
Nunzio.
ciao Nunzio
il dubbio un pò mi rimane dato che spesso mi si aprono finestre pubblicitarie…. speriamo bene!!
Buona domenica pure a te…
Stefy
Prova a fare un’altra scansione con questo software.
Nunzio scusami…stavo seguendo passo passo le tue indicazioni ma dopo aver scaricato l’antirootkit a me appaiono tre file .exe e uno .dat e nn il contrario come avevi scritto tu. Che faccio??procedo ugualmente?
Grazie
Ciao Giorgia.
Procedi ugualmente con la rimozione.
Fammi sapere…
Cordiali salti.
Nunio.
Ciao Nunzio, grazie per la risposta tempestiva. Ho seguito le tue istruzioni passo passo però mi sono accorta che nel disco C tra i programmi, messengerskinner compare ancora e nn riesco ad eliminarlo. Che faccio? Lo ignoro e provo a riscaricare ugualmente una versione aggiornata di messenger??
Ciao Giorgia.
Molto strana la cosa…
Prova a riscaricare ed installare una versione aggiornata di messenger (scaricala solo dal sito ufficiale di messenger!)e dopo dimmi se si aprono ancora le finestre pubblicitarie!
Dimenticavo…la prossima volta dimmi il tipo di sistema operativo che utilizzi.
Cordiali saluti.
Nunzio.
Allora nunzio…ti spiego la storia…io utilizzo windows xp e avevo messenger già installato. Un bel giorno mi è venuta la geniale idea di scaricare messenger skinner, nel cercare poi di cancellare questo maledetto programma devo aver fatto un pò di danni(cancellando tra le tante cose anche messenger). Ora mi ritrovo con la versione preistorica di messenger
e nn riesco ad installarne una un pò più recente perchè ad un tratto scrive “Impossibile scrivere il valore StartPage nella chiave \SOFTWARE\Microsoft\InternetExplorer\Main. Assicurarsi di disporre di diritti di accesso sufficienti per tale chiave oppure contattare il personale di supporto”.
Dimmi che sai aiutarmi in qualche modo ti prego…
Grazie mille Giorgia
Ciao Giorgia.
Probabilmente l’utente con il quale accedi a Windows non ha diritti sufficienti (non è un amministratore).
Fammi sapere, in caso contrario la cosa è molto più seria.
Cordialmente.
Nunzio.
E’ questo il problema… io fin la nn ci arrivo. Purtroppo non sono un mostro con il computer!!Cosa dovrei fare per vedere se è come dici tu? E soprattutto…quello che nn mi spiego è…perchè prima messenger l’avevo e ora nn riesco e reinstallarlo??
Ciao Giorgia
Ciao Giorgia.
Clicca nell’ordine start (in basso a sx della barra di windowx)/pannello di controllo/account utent.
Da quì hai la visione di quanti account e con quali credenziali (amministratore, utente limitato,..), dispone il tuo PC.
Fammi sapere.
Saluti.
Nunzio.
Dunque Nunzio, ce ne sono tre, di cui due attivati e uno no. Il primo dice:amministratore del computer, il secondo:amministratore del computer protetto da password e il terzo:account guest non attivato. Dimmi tu…
Ciao Giorgia.
Prova a cancellare uno dei due account “amministratore del computer”.
Come fai a sapere quale?
Controlla quale utilizzi dei due (credo che tu utilizzi il primo account non protetto da password), e di conseguenza elimina quello da te non utilizzato.
Fatto ciò, riprova ad installare messenger.
Saluti.
Nunzio.
p.s. dimentivavo…come fai a capire quale utente utilizzi? Clicca su start, nella finestra che ti appare in alto troverai scritto il nome dell’account in uso.
Grazie… Provo immediatamente. Anche se ho fatto un pò di ricerca su internet e ci sono un pò di cose che non mi tornano. Comunque nel frattempo faccio anche quest’altro tentativo…non si sa mai!!!
Niente Nunzio…niente da fare!!!
se io provo ad accedere da “esegui” su HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main non riesco ad entrare… e credo che il problema stia lì!!! Come faccio??
Ciao Girogia.
Concordo pienamente con te: il problema sta appunto in una chiave di registro che è stata modificata.
Prova a sistemare le cose utilizzando questo software.
Se non riesci con il software, ti invierò una procedura manuale.
Saluti.
Nunzio.
Non so come ringraziarti… Tu sei un mito!!!
Provo subito… Poi ti faccio sapere…
Ecco appunto…come non detto… non riesco a capire come si utilizza. E’ lo stesso programma che avevo trovato ieri cercando informazioni ad intuito su internet. Il problema è che non riesco a capire cosa devo fare esattamente. La procedura manuale è più semplice???
Ciao Giorgia.
Clicca su start e successivamnete su esegui.
Fatto ciò,nella finestra che ti appare scrivi regedit.
Così facendo avrai accesso al registro di Windows.
Ora sei pronta per eseguire la seguente procedura:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel quindi ponete a 0 il valore di Homepage. Se presenti, impostate a 0 anche il valore DWORD denominato NoSetHomePage contenuto nella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer e/o nella chiave HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions.
Qualora non disponiate delle chiavi sopra elencate, portatevi in
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main e modificate il valore della stringa Local Page in C:\WINDOWS\System\blank.htm
Fammi sapere.
Saluti.
Nunzio.
p.s. se questa procedura fosse complicata, + tardi cercherò di darti istruzioni su come utilizzare il software.
Grazie mille davvero…fatto….ma il valore era già a zero. Sono disperata
senti ma…..io ho ancora presente nei programmi windows live…ma devo cancellarlo???
C’è anche messengerskinner però quello non va via.