Abbiamo creato questa pagina per affrontare un’infezione da malware con un’estensione falsa chiamata NebulaNanoel. Se state leggendo questo articolo, probabilmente siete bombardati da reindirizzamenti a siti come Boyu e da false ricerche su Bing. Esiste anche un’altra estensione che ha lo stesso scopo di questa. Si chiama Fortyfy. L’estensione NebulaNanoel si rivolge specificamente agli utenti di Chrome, ma abbiamo progettato la guida in modo che sia compatibile con altri browser, nel caso in cui questo cambiasse.
In ogni caso, la guida che segue è garantita come funzionante. L’abbiamo testata.
Guida alla rimozione dell’estensione NebulaNanoel (per Chrome)
Ci auguriamo che non abbiate premuto il pulsante di autorizzazione per le notifiche push se vi è stato chiesto di farlo. Questo dà a NebulaNanoel un’ulteriore leva per manomettere il vostro sistema. Ma di questo ci occuperemo più avanti.
Nota: Per la guida mostriamo Chrome, ma lo stesso vale per altri browser basati su Chromium come Edge e Brave, se si scopre che sono anch’essi infetti. Ad esempio, quando vi diciamo di digitare chrome://extensions, basta sostituire il nome del vostro browser con “chrome” (ad esempio edge://extensions) ed è la stessa cosa.
SOMMARIO:
Nome | NebulaNanoel |
Tipo | Browser Hijacker |
Strumento di rilevamento |
Innanzitutto, l’estensione NebulaNanoel applica un criterio attivo. I moderni dirottatori la utilizzano per impedire all’utente di rimuovere gli URL e i motori di ricerca a cui vuole reindirizzare l’utente.
Lo fanno attraverso uno stato “gestito dall’organizzazione“, tipicamente riservato alle reti di lavoro che non vogliono che l’utente abbia privilegi di amministratore completi. È necessario rimuovere tale stato prima di poter apportare modifiche.
Avviare Chrome e inserire chrome://management/ nella barra degli indirizzi. Se vi viene imposto qualcosa, siete bloccati da alcune impostazioni.
Osservate ciò che appare sullo schermo e non fate ancora nulla.
La tappa successiva consiste nel verificare se nel browser sono presenti estensioni sospette. Digitate e inserite chrome://extensions/ nella barra degli indirizzi.
Cercate qualsiasi cosa che non abbiate mai visto prima e/o che abbia il pulsante “Rimuovi” in grigio. Queste estensioni sono alla base dei reindirizzamenti. Non leggete nemmeno la loro scheda “dettagli“, ma esercitate il buon senso e rimuovete tutto ciò che non vi piace. Se è legittimo, è possibile rimetterlo in un secondo momento. Se è stato rilevato qualcosa nel passaggio precedente, è possibile cercarlo qui.
In alto a destra nella pagina delle estensioni, attivare la “Modalità sviluppatore“. Ora sarà possibile vedere l’ID dedicato di qualsiasi estensione.
Evidenziare e copiare l’ID di qualsiasi cosa infetta con Ctrl+C. Memorizzate gli ID in un editor di testo, vi serviranno in seguito.
Gli ultimi punti da controllare sono le schede Motore di ricerca e All’avvio.
Digitare e inserire chrome://settings/ nella barra degli indirizzi. Osservare le schede che ho evidenziato.
Non voglio dire cose ovvie, ma date un’occhiata a come sono impostati i motori di ricerca. Se un motore di ricerca non può essere rimosso e ha la dicitura “dettagli” accanto al nome, allora è ancora una volta applicato da un'”organizzazione”. Allo stesso modo, la scheda All’avvio può essere impostata su una pagina o una scheda specifica: prendetene nota.
Dopo aver rimosso lo stato gestito dall’organizzazione, sarà necessario tornare a queste impostazioni per correggerle. Non è possibile correggerle mentre sono bloccate.
Rimuovere NebulaNanoel con l’Editor Criteri di gruppo
Digitare Modifica criteri di gruppo nel menu Start di Windows, aprirlo ed espandere la voce Configurazione computer.
- Fare clic con il pulsante destro del mouse su Modelli amministrativi e fare clic su Aggiungi/Rimuovi modelli.
- Se nell’elenco visualizzato sono presenti elementi, selezionarli e scegliere Rimuovi.
- Riavviare il PC e poi Chrome. Verificare se le impostazioni viste in precedenza sono ancora bloccate. In caso contrario, è necessario modificare le impostazioni e rimuovere l’estensione NebulaNanoel. Dopodiché, si consiglia di esaminare i registri (passo successivo), altrimenti il problema potrebbe ripresentarsi.
Eliminazione di NebulaNanoel dal Registro di sistema
Se si pulisce l’Editor criteri di gruppo, le voci di NebulaNanoel dovrebbero scomparire. Ma questo non significa che sia sparito anche tutto ciò che ha installato oltre a se stesso, poiché non tutti i malware utilizzano lo stato di organizzazione gestita. Vi invitiamo a controllare i registri. Prendete nota di tutti gli ID delle estensioni annotati in precedenza. È il momento di cercarle.
- Per prima cosa, accedere al browser e visitare uno dei seguenti URL, a seconda del browser utilizzato: chrome://policy per Chrome.
- Verificare se esiste una polizza con un Valore composto da lettere e/o numeri.
- Se c’è, copiatene il valore e memorizzatelo per il futuro.
- Ora andate nel Registro di sistema (digitate regedit nel menu Start, fate clic con il pulsante destro del mouse su Editor > Esegui come amministratore).
- Premete Ctrl + F e incollate i documenti scritti finora, uno per uno. Se trovate qualcosa, cancellatelo. Non si possono commettere errori gravi. Eliminerete solo ciò che fa questo ID, che fa parte del malware.
- Ripetere la ricerca, eliminare l’elemento successivo, sciacquare e ripetere fino a quando non vengono visualizzati altri risultati.
Ora che anche il Registro di sistema è stato ripulito, il browser non dovrebbe più essere bloccato da alcun criterio di terze parti. Riavviate il PC e verificate se il browser è libero. Se non lo è, probabilmente vi è sfuggito qualcosa. Si consiglia di scaricare un programma anti-malware.
Pulire i pezzi di NebulaNanoel rimasti da Chrome
Questi sono alcuni passaggi aggiuntivi per ripulire Chrome. Se si utilizza un altro browser, i passaggi sono gli stessi, solo che alcuni nomi e posizioni potrebbero essere diversi. Ma il metodo dovrebbe essere sempre lo stesso.
- Avviare Chrome e spostarsi su Estensioni, quindi rimuovere tutto ciò che non è stato possibile rimuovere in precedenza.
- Aprite nuovamente il menu di Chrome e andate su Impostazioni > Privacy e sicurezza.
- Selezionare Elimina dati di navigazione > Avanzate, lasciare deselezionata la voce Solo password e fare clic su Elimina dati.
- Andare alla scheda Privacy e sicurezza -> Impostazioni del sito -> Notifiche. Si consiglia di selezionare Non consentire ai siti di inviare notifiche in Comportamento predefinito. Francamente non so chi voglia ricevere notifiche e perché questa non sia l’impostazione predefinita.
Esaminare anche le impostazioni dei passaggi precedenti e ripristinarle ai valori predefiniti. Mi riferisco alle voci Motore di ricerca e All’avvio. Se è stato modificato qualcosa, ora si dovrebbe essere liberi di modificarlo.
Leave a Comment