Qualche tempo fa, mi sono imbattuto in numerosi rapporti su un software potenzialmente indesiderato chiamato OneStart che ha attirato la mia attenzione, quindi ho scritto questo articolo per mostrare ai nostri lettori come rimuoverlo.
Di solito, queste app dannose scompaiono nel giro di poche settimane, ma questa si è rivelata più persistente delle altre. Continua a infiltrarsi nei sistemi degli utenti senza autorizzazione, eseguendo ogni tipo di processo sospetto e resistendo alla maggior parte dei tentativi di eliminazione.
Per questo motivo, sto aggiornando questo articolo per includere nuove informazioni sul malware OneStart insieme ad alcuni consigli su come proteggersi.
Se attualmente hai questo malware sul tuo sistema, sappi che qualsiasi file chiamato Quick Updater.exe è solo un altro nome per OneStart, quindi non fidarti di esso.
Come altre app dannose simili, come Niwp App e MYWeb Watch, questo malware cerca di presentarsi come un normale programma. Tuttavia, ottiene numerosi permessi nel sistema che possono compromettere seriamente la sicurezza e renderlo vulnerabile agli attacchi.
Questo programma dannoso esegue comandi PowerShell per rimanere nascosto e manomette il registro di sistema, quindi è essenziale eliminarlo. Inoltre, è probabile che interrompa il tuo flusso di lavoro con annunci, promozioni e pop-up, quindi un altro buon motivo per disinstallarlo. Per sapere come fare, segui i passaggi esatti nella guida qui sotto.
Guida alla rimozione di OneStart
La maggior parte degli utenti segnala di avere difficoltà a rimuovere OneStart, ma consiglio comunque di provare prima a eliminarlo in modo convenzionale prima di passare alle soluzioni più complesse che illustrerò più avanti. Per ora, prova i seguenti passaggi rapidi per la rimozione e, se non funzionano, passa alla guida avanzata più in basso nella pagina:
Passaggi rapidi per rimuovere OneStart
- 1.1Apri Impostazioni e vai su App. Usa il filtro Data di installazione per trovare i programmi installati di recente.
- 1.2Cerca voci come “OneStart” o software sconosciuti installati nello stesso periodo.
- 1.3Seleziona il programma sospetto e fai clic su Disinstalla. Segui le istruzioni per completare il processo.
- 1.4Apri Esplora file e vai su
C:\Program FileseC:\Program Files (x86). - 1.5Cerca eventuali cartelle chiamate “OneStart” ed eliminale senza esitazione.
Riavvia il computer dopo aver completato queste azioni. Se rimangono ancora tracce di OneStart, prova i metodi avanzati.
RIASSUNTO:
| Nome | OneStart |
| Tipo | Cavallo di Troia |
| Strumento di rilevamento | Per rimuovere OneStart da soli, potreste dover toccare I file del sistema e I registri. Se doveste farlo, dovrete essere estremamente attenti perché potreste danneggiare il vostro sistema. Se volete evitare il rischio, raccomandiamo di scaricare SpyHunter, un tool professionale per la rimozione dei malware.
|
Prima di iniziare: Qualcosa da tenere a mente
La seguente guida è stata creata per essere il più chiara e facile da seguire possibile, tuttavia alcuni passaggi richiederanno comunque il tuo giudizio personale per decidere cosa eliminare e cosa mantenere intatto. Per questo motivo, se alcuni passaggi ti sembrano troppo complessi, ti consiglio di affidarti a SpyHunter 5 come alternativa per rimuovere automaticamente e in sicurezza OneStart dal tuo sistema, insieme a qualsiasi altro software indesiderato che potrebbe essere stato installato con esso.
Come rimuovere il virus OneStart (Passaggi avanzati)
Se i passaggi rapidi sopra descritti non sono stati sufficienti per eliminare OneStart, dovrai approfondire la ricerca ed eliminare tutti gli elementi collegati a questo programma presenti nel tuo sistema. Per farlo con successo, è necessaria una preparazione:
1. Preparazione per la rimozione di OneStart
- 1.1Apri Esplora file e fai clic sulla scheda Visualizza. Seleziona Opzioni o Opzioni cartella.
- 1.2
Nella scheda Visualizza, seleziona Mostra file, cartelle e unità nascosti. Fai clic su Applica e poi su OK. - 1.3Scarica lo strumento gratuito LockHunter.
Installa LockHunter sul tuo PC: ti servirà più tardi per eliminare i file bloccati.
Una volta completati questi passaggi preparatori, sarai pronto ad affrontare il malware OneStart.
Guida video per questo passaggio:
Eliminare i processi in background di OneStart
Dovete assolutamente controllare nella Gestione attività la presenza di processi eseguiti da OneStart. È molto probabile che si trovi qualcosa che deve essere fermato prima di potersi sbarazzare completamente del software indesiderato. Ecco come pulire il Task Manager.
2. Come eliminare i processi OneStart nel Task Manager
- 2.1Premi Ctrl + Maiusc + Esc per aprire il Task Manager. Espandi la vista selezionando Più dettagli.
- 2.2Nella scheda Processi, ordina le attività per Utilizzo della CPU o Memoria.
- 2.3
Individua i processi collegati a OneStart. Fai clic con il tasto destro e seleziona Apri percorso file per confermarne l’identità. - 2.4Annota il percorso del file, torna al Task Manager e fai clic su Termina attività.
- 2.5Vai alla posizione annotata ed elimina i file associati.
- 2.6Se ricevi un errore che dice “Il file/la cartella è in uso da un altro processo” quando provi a eliminarlo, utilizza LockHunter: fai clic con il tasto destro sull’elemento, seleziona “Cosa sta bloccando questo file/processo?” e fai clic su elimina nella finestra successiva.
Guida video per questo passaggio:
Come eliminare file persistenti con LockHunter
Eliminare i file nascosti di OneStart
OneStart può creare file di supporto in varie posizioni del sistema, quindi è importante controllare tutte le aree in cui questi file possono essere nascosti ed eliminare qualsiasi cosa collegata a questo programma.
3. Come eliminare i file di OneStart
- 3.1Ecco le posizioni che consiglio di controllare:
► C:\Users\username\AppData\Roaming\OneStart\bar\updater.exe
►C:\Users\YourUsername\AppData\Local\Programs
►C:\Users\YourUsername\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
►C:\Program Files
►C:\Program Files (x86)
►C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
►C:\Users\YourUsername\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup - 3.2Elimina qualsiasi file collegato a OneStart. Controlla attentamente i nomi dei file per evitare di eliminare file di sistema essenziali.
- 3.3
Inoltre, vai aC:\Users\YourUsername\AppData\Local\Tempe cancella tutto il contenuto. Basta svuotare completamente la cartella. - 3.4Se hai difficoltà a eliminare un file o una cartella specifica, ricorda di utilizzare LockHunter come spiegato in precedenza.
Disattivare gli elementi di avvio di OneStart
OneStart probabilmente ha creato alcuni elementi di avvio che gli consentono di avviarsi automaticamente ogni volta che accendi il computer ed effettui l’accesso al tuo account utente. Ecco cosa devi fare:
4. Eliminare le attività pianificate di OneStart
- 4.1Aprire di nuovo il Task Manager (Ctrl + Shift + Esc). Andare alla scheda Avvio.
- 4.2Disabilitare qualsiasi elemento che sembri collegato a OneStart o che risulti sconosciuto.
- 4.3Lasciare abilitati solo gli elementi che si desidera avviare automaticamente all’accensione del sistema.
Dopo aver eseguito questa operazione, chiudere il Task Manager e passare alla sezione successiva.
Rimuovere le attività pianificate di OneStart
Non dimenticare il Pianificatore attività. Questo è un altro luogo in cui il malware potrebbe aver lasciato tracce, quindi bisogna accedervi ed eliminare tutto ciò che sembra collegato a OneStart.
5. Eliminare le attività pianificate di OneStart
- 5.1
Digitare Pianificatore attività nella barra di ricerca del menu Start e aprirlo. Accedere alla Libreria del Pianificatore attività. - 5.2Eliminare l’attività e rimuovere manualmente i file dai percorsi identificati.
Guida video per questo passaggio:
Disinstallare l’app malware OneStart tramite il Registro di Windows
Il Registro di Windows memorizza voci che consentono a malware come OneStart di persistere nel sistema. La loro rimozione richiede attenzione per evitare danni al sistema. Ecco cosa fare:
7. Passaggi rapidi per rimuovere OneStart
- 7.1Premi Win + R, digita
regedite premi Invio. - 7.2Usa Ctrl + F per cercare “OneStart”. Elimina ciò che trovi e ripeti la ricerca fino a quando non rimangono elementi correlati.
Cerca anche “Quick Updater” ed elimina tutte le voci pertinenti. - 7.3Controlla queste chiavi per ulteriori tracce:
►HKEY_USERS\software\OneStart.ai
►HKEY_USERS\software\microsoft\windows\currentversion\run
HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall{31F4B209-D4E1-41E0-A34F-35EFF7117AE8}
Queste voci sono i luoghi più probabili dove si trova OneStart. - 7.4Consiglio inoltre di controllare le seguenti chiavi, poiché spesso vengono prese di mira da programmi indesiderati e malware:
►HKCU\Software\Microsoft\Windows\CurrentVersion\Run
►HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
►HKLM\Software\Microsoft\Windows\CurrentVersion\Run
►HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
►HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
►HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
►HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
►HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
►HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
Accedi a ciascuna di queste directory del registro, fai clic su di esse e controlla i valori nella parte destra. Se qualcosa sembra sospetto, eliminalo, ma non toccare le chiavi stesse (pannello sinistro).
Video tutorial per questo passaggio:
Che cos’è il virus OneStart?
Il virus OneStart, noto anche come OneLaunch o Quick Updater.exe, è un malware subdolo e persistente che si infiltra nei sistemi attraverso annunci Google e estensioni del browser sospette.
Una volta installato, non si esegue immediatamente; invece, rimane in esecuzione in background utilizzando script PowerShell nascosti per configurarsi senza attivare allarmi. Invece di avviarsi subito, si ritarda di 40 minuti (Start-Sleep 2400) per evitare di essere rilevato immediatamente. Successivamente, bypassando i criteri di esecuzione, si avvia autonomamente dalla posizione C:\Users\username\AppData\Roaming\OneStart\bar\updater.exe, operando completamente sotto il radar.
Ma non finisce qui. OneStart è progettato per rimanere nel sistema, quindi crea attività pianificate come “OneStart Chromium” e “OneStart Updater“, che garantiscono il suo riavvio ogni volta che accendi il tuo computer. Inoltre, si annida in profondità nel Registro di Windows, creando voci in HKEY_USERS\Software\OneStart.ai e HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Windows\Currentversion\Uninstall\{31F4B209-D4E1-41E0-A34F-35EFF7117AE8}.
Come hai contratto il malware OneStart
I team di sicurezza hanno monitorato la diffusione di OneStart e sembra che i falsi annunci di Google siano il suo principale vettore di distribuzione. Facendo clic su un risultato sponsorizzato nella ricerca di Google, gli utenti possono essere reindirizzati a onestartpdfdirect[.]com o resource[.]onestart[.]ai, dove scaricano il malware senza accorgersene.
Si sospetta inoltre che le estensioni dannose del browser siano un altro fattore chiave nella sua diffusione, infettando utenti che le installano senza sapere cosa stanno realmente scaricando. L’infezione si diffonde rapidamente: alcuni team IT hanno segnalato oltre 30 dispositivi compromessi in pochi giorni.
Le vittime spesso non si accorgono nemmeno che OneStart è nel loro sistema fino a quando non iniziano a comparire attività sospette in PowerShell, facendo scattare avvisi di sicurezza. Spesso non compare nemmeno nell’elenco dei programmi installati, rendendo difficile la sua rimozione.
E il problema è che cambia costantemente il suo hash di file, rendendo difficile il rilevamento da parte degli antivirus tradizionali. Per questo motivo, gli esperti di cybersicurezza hanno dovuto adottare metodi creativi, utilizzando script di risposta in tempo reale (RTR) e strumenti di automazione come CrowdStrike e Ninja RMM per rintracciarlo ed eliminarlo. Ma OneStart non è un semplice malware usa e getta: si evolve, si adatta e trova nuovi modi per radicarsi profondamente nei sistemi. Se non viene fermato, è solo questione di tempo prima che si diffonda ancora di più.
Consigli per evitare OneStart in futuro
Evitare il malware non significa solo stare lontano da siti sospetti e download poco sicuri. Questo è il minimo. Il vero problema è che malware come OneStart non hanno bisogno di un errore da parte tua: si infiltrano silenziosamente, spesso nascosti in software che sembrano legittimi. Una volta installati, si nascondono nel sistema, creano attività pianificate e si rifiutano di andarsene. Se vuoi evitare di affrontare questo problema, devi adottare alcune precauzioni aggiuntive.
Ferma OneStart prima che si installi
OneStart ama i download automatici. Si insinua nel tuo sistema senza preavviso, spesso come parte di software in bundle.
Una soluzione semplice è andare nelle impostazioni del browser sotto Impostazioni > Download e attivare l’opzione che ti obbliga a scegliere manualmente una posizione di salvataggio per ogni file.
Questa piccola modifica garantisce che nulla venga scaricato in background senza la tua autorizzazione, evitando così che il malware si insinui inosservato.
Aumenta le impostazioni di sicurezza del tuo browser
Il tuo browser ha già delle protezioni integrate, ma di solito sono impostate su livelli predefiniti meno sicuri. Se vuoi bloccare malware come OneStart prima che si avvicini, alza il livello di sicurezza.
In Chrome e altri browser basati su Chromium, vai su Privacy e sicurezza > Sicurezza e attiva “Protezione avanzata” e “Utilizza sempre connessioni sicure“. Altri browser hanno opzioni simili: trovale e impostale al massimo livello di protezione.
Usa un blocco annunci per più di un semplice filtro pubblicitario
I blocchi annunci non servono solo a evitare fastidiosi pop-up. Un buon blocco annunci ti protegge dalle reindirizzazioni dannose, blocca gli annunci pericolosi e ti avvisa di siti rischiosi. Installarne uno ora significa eliminare un’altra delle principali vie di diffusione del malware come OneStart.
Lascia un commento