Come rilevare e rimuovere StarLogger

Nota dell'editore, 10:44 PT del 31 marzo: Samsung è stata cancellata dalle accuse di keylogger. Leggi i dettagli nella storia di follow-up di CNET.

Un ricercatore di sicurezza ha rivelato oggi di aver acquistato due nuovi laptop da Samsung, scoprendo che entrambi sono stati infettati dal programma di registrazione di sequenze di tasti di StarLogger (download). Anche se c'è poco che si possa fare sulle sequenze di tasti già registrate, il controllo del proprio laptop per tale software è in realtà abbastanza semplice - se si ha familiarità con il mucking nelle directory di sistema e nel registro.

Si noti che il ricercatore ha segnalato StarLogger solo su due modelli, un Samsung R525 e un Samsung R540 - e che Samsung ha successivamente dichiarato di essersi sbagliato. CNET ha esaminato un altro nuovo laptop Samsung, il Samsung Series 9, e non ha trovato un keylogger installato.

Poiché è un keylogger, usato spesso per spiare dipendenti e bambini, non è possibile accedere a StarLogger dal menu Start. (O almeno, non dovrebbe essere accessibile lì. Se lo è, chiunque l'abbia installato ha fatto un lavoro scarso.)

Il modo più semplice per trovare StarLogger è cercare la sua chiave di registro, che viene utilizzata per caricarla all'avvio di Windows. Per vedere se questo si è verificato, aprire un prompt dei comandi e digitare "Esegui Regedit". Quindi vai alla barra dei menu, seleziona Modifica e poi Trova. Vuoi cercare "winsl", senza le virgolette. Se è installato, dovresti vedere una chiave di registro simile a questa:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ Winsl

Puoi anche cercare i seguenti file sul tuo disco fisso, sebbene i keylogger siano progettati per nascondersi. Aprire Esplora risorse, quindi premere il tasto Alt per visualizzare la barra dei menu. Vai a Strumenti, Opzioni cartella e Visualizza. In Impostazioni avanzate, vedrai un'opzione per File e cartelle nascosti. Assicurati che Mostra sia selezionato.

Se si dispone di StarLogger, i relativi file si troveranno nella directory principale di Windows, in una sottodirectory con l'etichetta "SL". Di seguito è riportato un elenco di file che puoi aspettarti di vedere:

  • iv.ini
  • WinSL.dat
  • WinSL.exe
  • WinSLH.dll
  • ImgView.exe
  • SL-Test.txt
  • unins000.dat
  • unins000.exe
  • StarLogger.url
  • WinSLManager.exe
  • StarLogger.url
  • Disinstallare StarLogger.lnk
  • StarLogger.lnk
  • StarLogger sul Web.lnk
  • WinSLManager.exe
  • WinSLH.dll
  • Winsl

Puoi anche controllare il tuo Task Manager per WinSLManager.exe.

Come rimuoverlo

Innanzitutto, assicurati che il tuo programma antivirus sia aggiornato. È assolutamente possibile che il tuo antivirus lo rilevi e lo rimuova se esegui una scansione completa. Tuttavia, esiste un metodo manuale che puoi usare anche tu.

Il primo passo è fermare il processo di StarLogger accedendo alla scheda Processi nel Task Manager, facendo clic con il pulsante destro del mouse su WinSLManager.exe e facendo clic su Termina processo. Se ciò non funziona, dovrai terminare il processo avviando in modalità provvisoria, rintracciando la posizione precisa di WinSLManager.exe e cancellandola lì.

Il secondo passaggio è un po 'più complicato e comporta l'annullamento della registrazione del file DLL di StarLogger. Aprire un prompt dei comandi e accedere alla cartella contenente WinSLH.dll. Quindi digita "regsvr32 / u WinSLH.dll" senza le virgolette e dovresti vedere una finestra pop-up che ti informa che il file è stato cancellato con successo.

In terzo luogo, tornare al Registro di sistema e individuare la chiave del Registro di sistema per StarLogger, come è stato fatto in precedenza. Fai clic destro su di esso e seleziona Elimina. Infine, elimina manualmente tutti i file che hai scoperto nella directory SL e rimuovi la directory stessa.

In realtà, questa è la penultima cosa che devi fare. Il passo finale è inviare una lettera di reclamo a Samsung e chiedere il rimborso.

 

Lascia Il Tuo Commento