L’estensione chrome Kittcat è un componente di ancoraggio di un malware hijacker del browser in cui ci siamo imbattuti durante i nostri controlli di routine. Si tratta di una novità, almeno in apparenza. In realtà, si tratta dell’ennesimo rebranding delle estensioni findflarex.com che portano a boyu.com.tr (il link è alla nostra pagina di rimozione di Boyu). L’unica differenza degna di nota è che ora findflarex è cambiato anche come editore, passando a finditfasts.com.
Dato che molti utenti su vari forum hanno chiesto aiuto per rimuoverla, ci siamo sentiti in dovere di creare questo tutorial. Le operazioni da eseguire sono praticamente le stesse di altre estensioni malware di questo tipo, come Loungoo e HyperSearch. La caratteristica principale che accomuna i dirottatori è che si aggrappano ai sistemi come ostinati cirripedi sullo scafo di una nave. Resistono alla semplice rimozione, quindi il processo di eliminazione è raramente rapido o semplice.
Guida alla rimozione dell’estensione Kittcat
L’estensione Kittcat richiederà probabilmente alcuni passaggi “avanzati” per essere rimossa (le virgolette sono volute perché non è poi così male), ma vi consigliamo comunque di provare a liberarvene nel modo tradizionale. Ci vorranno solo uno o due minuti, quindi vale la pena provare. E se non dovesse funzionare, avete ancora a disposizione il tutorial approfondito che abbiamo preparato per voi:
- Per prima cosa, aprire la Gestione estensioni. È possibile accedervi dal menu principale del browser.
- È necessario esaminare attentamente l’elenco delle estensioni installate. Cercate l’estensione Kittcat o qualsiasi altra cosa che sembri indesiderata o sconosciuta, ad esempio Loungoo, HyperSearch o qualcos’altro che è apparso, ma non avete idea del perché sia lì.
- Quando si trova l’elemento da disinstallare, premere il pulsante “Rimuovi”.
- Se non funziona al primo tentativo, disattivare l’estensione facendo clic sul pulsante di attivazione e riprovare.
Chiudete e riaprite il browser e tornate alla Gestione estensioni per vedere se il componente aggiuntivo indesiderato è sparito. Se è ancora presente o se non siete riusciti a eseguire nessuno dei passaggi, non preoccupatevi: è normale che sia così. Passate alla rimozione completa qui sotto: vi permetterà di sbarazzarvi dell’estensione Kittcat e di tutti i suoi componenti correlati.
SOMMARIO:
Nome | Kittcat (estensione in Chrome) |
Tipo | Browser Hijacker |
Strumento di rilevamento |
I browser hijacker utilizzano tattiche che bloccano le impostazioni del browser. Questo impedisce una facile rimozione. Gli utenti potrebbero vedere un messaggio “Gestito dalla tua organizzazione” nel menu del browser o nella pagina delle impostazioni. Come le radici che si infrangono nel cemento, si tratta di un problema più che superficiale. Questi criteri devono essere affrontati e rimossi, solo così gli utenti potranno riprendere il controllo dei loro browser. Fortunatamente, a questo punto lo stato “gestito” è molto comune e sappiamo cosa fare per rimuoverlo.
Come eliminare l’estensione Kittcat Virus Policies da Chrome
Non sarà possibile sbarazzarsi dell’estensione Kittcat finché la sua politica canaglia non sarà sparita dal browser. È qui che iniziamo il processo di rimozione:
Accedere poi alla pagina di gestione dei criteri del browser. La troverete all’indirizzo chrome://policy
per Google Chrome. Per gli altri browser basati su Chromium, è sufficiente sostituire “chrome” nell’URL con il nome appropriato.
Nella pagina di gestione delle policy, cercate i valori delle policy costituiti da lunghe sequenze di lettere casuali. Copiare le polizze di questo tipo e salvarle in un file di testo. Questo è fondamentale per un successivo riferimento.
Quindi, tornare alla Gestione estensioni.
Una tecnica di persistenza particolarmente fastidiosa che alcuni dirottatori impiegano è quella di reindirizzare l’utente a Google o a un’altra pagina quando si cerca di andare nella scheda Estensioni di Chrome. Ecco la soluzione:
Passare invece direttamente alla cartella delle estensioni del browser sul computer. Per Chrome, il percorso è in genere C:\Users[Nome utente]\AppData\Local\Google\Chrome\Dati utente\Default\Extensions.
Poi dovrete eliminare tutte le sottocartelle che troverete lì. Il risultato sarà che tutte le estensioni del browser saranno corrotte e, a loro volta, disabilitate. Anche quelle legittime. Questo è necessario. La reinstallazione delle estensioni legittime avverrà in seguito. Per essere chiari, la cartella in cui risiede Kittcat è ‘knbjchamdcpdeapjojehlhhobdlgfogc’. Non ripristinare o fare il backup di quella cartella.
Nella Gestione estensioni, attivare la Modalità sviluppatore per vedere gli ID di tutte le estensioni installate. Annotate gli ID di tutte le estensioni illegali che volete rimuovere. Salvarli insieme ai valori dei criteri sospetti. L’ID dell’estensione Kittcat è “knbjchamdcpdeapjojehlhhobdlgfogc“: questa è la stringa da copiare. Se è presente un altro malware, copiare il suo ID.
Rimuovere l’estensione Kittcat nell’Editor del Registro di sistema
Ora che sono stati raccolti i valori e gli ID dei criteri illegali, l’attenzione deve spostarsi sul registro di sistema.
Aprite l’Editor del Registro di sistema attraverso il menu Start (cercatelo). Assicurarsi che sia in esecuzione come amministratore. In questo modo si ottengono le autorizzazioni necessarie per apportare le modifiche.
Utilizzare la funzione Trova (Ctrl + Maiusc + F) per individuare i valori dei criteri e gli ID delle estensioni non validi.
Una volta individuata ogni voce, eliminare la corrispondente chiave di registro (cartella) a sinistra. È necessario rimuovere ogni traccia del dirottatore. Una rimozione incompleta rischia di lasciare la porta aperta al ritorno dell’hijacker al riavvio del computer. Eseguite sempre una ricerca supplementare dopo l’eliminazione di un elemento per vedere se ne è rimasto un altro, le funzioni di ricerca non troveranno nulla se avete finito.
Il prossimo fastidioso trucco di persistenza dei dirottatori come l’estensione Kittcat per Chrome è quello di impedire l’eliminazione delle chiavi di registro limitando l’accesso ad esse. Se si verifica un errore di questo tipo, questa è la soluzione:
Per aggirare queste restrizioni, gli utenti devono modificare le autorizzazioni della chiave padre. Fare clic con il tasto destro del mouse sulla chiave, selezionare Autorizzazioni, quindi Avanzate, quindi Modifica.
Digitare “tutti” per cambiare il proprietario della chiave. Confermare con il pulsante Controlla nomi.
Fate clic su OK, quindi mettete un segno di spunta nelle due opzioni “Sostituisci…”, quindi Applicate e fate clic su OK.
Dopo aver applicato queste modifiche, l’eliminazione sarà possibile. Procedere con l’eliminazione della chiave di registro ostinata.
Fasi di rimozione delle politiche alternative
Anche dopo un’accurata pulizia del registro di sistema, alcuni criteri di hijacker potrebbero persistere. Se il messaggio “Gestito dalla tua organizzazione” non scompare dal browser, provate questi due metodi aggiuntivi:
Per prima cosa, aprite l’Editor Criteri di gruppo, che si trova nel menu Start.
Passare a Modelli amministrativi in Configurazione computer e fare clic con il pulsante destro del mouse. Selezionare l’opzione Aggiungi/Rimuovi e rimuovere tutte le voci del seguente elenco.
È possibile utilizzare anche un altro strumento. Anche in questo caso, si tratta di un’operazione del tutto facoltativa e non necessaria se si è fatto tutto correttamente fino ad ora. Si tratta più che altro di una fase di risoluzione dei problemi nel caso in cui qualcosa vada inaspettatamente storto. Il Chrome Policy Remover è un’utility totalmente gratuita che esegue uno script per eliminare tutti i criteri di Chrome.
Scaricare lo strumento. Eseguitelo con diritti amministrativi (cliccate con il tasto destro del mouse, eseguite come amministratore). Se viene visualizzato un avviso di sicurezza di Windows, ignoratelo facendo clic su Altre informazioni > Esegui. Lo strumento è sicuro, non preoccupatevi.
Quindi lo script verrà eseguito automaticamente e tutti i criteri di Chrome verranno eliminati.
Ultimi passi: Invertire le modifiche di Kittcat a Chrome
Dopo aver rimosso le policy illegali, è il momento di annullare le modifiche indesiderate nel browser. L’estensione Kittcat per Chrome non è più
Tornate alla Gestione estensioni del browser interessato. Il pulsante “Rimuovi” dovrebbe ora funzionare, quindi cliccatelo per qualsiasi componente aggiuntivo del browser che non volete, compresa l’estensione Kittcat.
Andare su Impostazioni > Privacy e sicurezza. Selezionate l’opzione per eliminare i dati di navigazione. Scegliete un periodo di tempo precedente alla data in cui avete notato per la prima volta il dirottatore. Mantenete intatte le password salvate, ma eliminate tutto il resto.
Controllate poi le Impostazioni del sito (nella maggior parte dei browser dovrebbe trovarsi sotto la voce Privacy e sicurezza).
Esaminare le autorizzazioni, tutte. Rimuovere gli URL sconosciuti o sospetti dalla sezione “Consenti“. Findflarex.com, boyu.com.tr, maxask.com sono tutti esempi comuni di URL sospetti, ma potrebbero essercene altri.
Assicuratevi poi che il motore di ricerca predefinito sia uno di quelli di cui vi fidate, come Google, Bing o Yahoo.
Passate poi alla sezione Gestisci motori di ricerca ed eliminate tutti i motori di ricerca dubbi che il dirottatore potrebbe aver aggiunto.
Le ultime due sezioni delle impostazioni del browser da controllare sono “All’avvio” e “Aspetto“. I dirottatori come l’estensione Kittcat spesso le manomettono. Potrebbero essere lasciati degli URL sospetti che è necessario eliminare.
Questo dovrebbe essere l’ultimo passo per ripulire il PC e il browser dall’estensione Kittcat Chrome. Una volta completato, l’hacker dovrebbe essere sparito.
Leave a Comment