Pagine che si aprono da sole: come rimuovere PowerOffer

• Privacy

Se, durante la navigazione sul web, visitando alcuni siti web si aprono da sole delle pagine pubblicitarie potreste essere incappati in uno dei software più “gettonati” del momento: PowerOffer.
Si tratta di un componente aggiuntivo che ultimamente viene sempre più spesso distribuito insieme con alcune applicazioni software scaricabili online. Programmi che provocano la visualizzazione automatica di messaggi pubblicitari aggiuntivi durante la navigazione in Rete vengono utilizzati da alcuni sviluppatori per integrare i propri introiti. Spesso la loro installazione viene proposta nel momento in cui si dà il via all’installazione del programma.
Ovviamente non c’è nulla di male nell’inserire meccanismi di sponsorizzazione nelle applicazioni che vengono distribuite a titolo gratuito: l’importante è che la presenza di tali strumenti venga chiaramente evidenziata in fase d’installazione mantenendo un atteggiamento il più possibile trasparente e leale nei confronti dell’utenza. Sarà l’utente a decidere se concedere l’installazione della “sponsorizzazione” oppure se negarla, ove possibile.

Come regola generale, quindi, è bene porre la massima attenzione alle finestre che vengono esposte quando si avvia l’installazione di un qualunque software scaricato via Internet. In alcune circostanze, infatti, l’utente potrebbe non riconoscere immediatamente quali finestre della procedura d’installazione si riferiscono al setup del programma vero e proprio e quali al caricamento sul sistema di componenti pubblicitari superflui.
Pulsanti come I agree (sono d’accordo) ed Accept (accetto) vengono generalmente mostrati, all’avvio dell’installazione di un programma, per fare in modo che l’utente accetti o, viceversa, rigetti (e in questo caso l’installazione viene interrotta) le condizioni illustrate nella licenza d’uso. La “moda” sempre più diffusa, è quella di utilizzare la stessa formula anche per consentire o negare l’installazione di componenti pubblicitari non strettamente necessari per il funzionamento del programma. In questi casi, cliccando su Cancel o Decline, non si autorizzerà il caricamento, sul sistema in uso, del componente pubblicitario e l’installazione del programma continuerà regolarmente.
Il nostro suggerimento è quindi quello di verificare con attenzione a che cosa si riferiscono i pulsanti I agree od Accept.

Un altro trucco per evitare l’installazione di componenti superflui sul proprio sistema consiste nell’optare sempre per l’installazione personalizzata. Scegliendo l’installazione completa o tipica, la procedura di setup spesso carica anche un set di applicazioni totalmente superflue, senza visualizzare alcuna richiesta.
Massima attenzione dovrebbe essere riposta nel momento in cui vengano visualizzate delle caselle di scelta: spesso è necessario disattivarne una per poter confermare la volontà di non procedere al caricamento dei componenti di sponsorizzazione integrati nella procedura di setup.

Talvolta, il caricamento di componenti pubblicitari superflui può avvenire anche a fine installazione mediante l’esposizione di apposite finestre di dialogo.

Da ultimo, osserviamo che nel caso di alcune applicazioni, il pacchetto che consente l’installazione “pulita”, senza componenti addizionali, potrebbe essere estraibile direttamente dal file .exe autoscompattante. Il tentativo può essere effettuato aprendo l’eseguibile con un software come 7-Zip.

Se, visitando alcuni siti web, si nota la contestuale comparsa di pagine pubblicitarie che si aprono da sole, è possibile che sul sistema sia stato precedentemente installato un componente in grado di monitorare i siti Internet aperti e di agire di conseguenza mostrando annunci coerenti con la tipologia di informazioni cercata.

Tra i componenti che introducono tale comportamento c’è PowerOffer: l’applicazione si insedia nella cartella contenente i dati delle applicazioni Windows (%appdata%) ed installa due servizi di sistema aggiuntivi (PowerOffer Service e ServUpdater).

L’ottimo Malwarebytes Anti-Malware, solitamente in grado di rilevare anche strumenti come PowerOffer, non consente di diagnosticare la presenza dell’applicazione. Inviando a VirusTotal i due eseguibili principali di PowerOffer, è possibile notare come si tratti comunque di un componente conosciuto (vedere qui e qui).
È quindi necessario agire manualmente per eliminare PowerOffer.

La presenza di PowerOffer è immediatamente rilevabile eseguendo una scansione con HijackThis tenendo presente che la comparsa di alcune voci file missing in calce al report stilato dal programma è da ritenersi del tutto normale sui sistemi Windows a 64 bit (HijackThis non è pienamente compatibile con tali versioni di Windows).
HijackThis deve essere sempre e comunque avviato con i diritti di amministratore.

Nel resoconto HijackThis in figura abbiamo evidenziato il componente principale di PowerOffer che viene caricato ad ogni avvio del sistema operativo.

Nel caso di PowerOffer, il primo passo da seguire consiste nell’aprire la finestra Programmi e funzionalità di Windows ed avviare la disinstallazione del componente:

A disinstallazione ultimata, PowerOffer lascerà sul sistema una serie di elementi, così come confermato con l’esposizione della seguente finestra di dialogo:

A questo punto è quindi bene digitare services.msc in Start, Esegui oppure nella casella Cerca programmi e file di Windows in modo da accedere all’elenco completo dei servizi abilitati sul sistema in uso.

In elenco non devono figurare né Pos Service né ServUpdater.

Con buona probabilità, ad installazione di PowerOffer ultimata, è possibile che sul sistema risulti ancora presente il servizio ServUpdater.

Per eliminare tale servizio, è sufficiente aprire il prompt dei comandi di Windows con i diritti di amministratore ed usare l’istruzione seguente:

sc delete ServUpdater

Qualora fosse ancora presente, per rimuovere l’altro servizio basterà digitare quanto segue:

sc delete "PowerOffer Service"

Da ultimo, per sbarazzarsi degli ultimi rimasugli di PowerOffer, basterà accedere al contenuto della cartella C:\Users\nomeutente\AppData\Local e cancellare le sottodirectory ServUpdater e PosService, ove ancora presenti.