Browser apre pagine da solo o annunci pubblicitari indesiderati

Quando il browser apre pagine indesiderate o motore di ricerca e home page predefiniti vengono modificati arbitrariamente è assai probabile che risulti installata un'estensione malevola. Come riconoscerla e rimuoverla.

Ancora oggi uno dei problemi che affliggono gli utenti che installano software prelevati dalla rete Internet senza effettuare qualche verifica sulla loro identità e sui componenti aggiuntivi, generalmente superflui e indesiderati, presenti nel pacchetto ufficiale, riguarda la comparsa di anomalie di vario genere nei browser web presenti sul sistema.

Se durante la navigazione Google Chrome o Mozilla Firefox aprono pagine che non c’entrano nulla con i siti che si stanno visitando; se compaiono annunci pubblicitari indesiderati con una frequenza preoccupante (spesso sostituendo addirittura le posizioni occupate dagli annunci normalmente erogati dai singoli siti web); se gli annunci che appaiono sono sempre gli stessi e pubblicizzano prodotti e servizi “dubbi”, allora è altamente probabile che la configurazione del browser sia stata modificata da parte di qualche adware o di un componente dannoso insediatosi sul sistema.

Nell’articolo Software indesiderati si installano anche quando si esprime il proprio diniego abbiamo visto che in alcuni casi può capitare che componenti “spioni”, capaci di modificare il comportamento dei browser installati e monitorare il contenuto di tutte le pagine web aperte dall’utente, si installino in Windows senza alcuna esplicita autorizzazione.

Il comportamento di Chrome e Firefox può essere modificato essenzialmente attraverso l’installazione, anche inconsapevole, di estensioni di dubbia provenienza, capaci di controllare tutte le pagine visitate dall’utente oppure determinati siti.

Fortunatamente Google ha deciso per “il giro di vite” nei confronti delle estensioni la cui installazione veniva sino ad oggi proposta durante la navigazione in rete: Google non permetterà più le installazioni inline delle estensioni per Chrome.

Estensioni malevole per il browser possono aprire pagine web indesiderate, visualizzare messaggi pubblicitari inutili, modificare il motore di ricerca e la home page impostati nelle preferenze di Chrome o Firefox.
Il fatto che modificando la home page predefinita o il motore di ricerca nelle impostazioni del browser tali regolazioni vengano di nuovi modificate è sintomo dell’azione di un’estensione malevola installata all’interno del browser.

Rimuovere le estensioni pericolose da Chrome e Firefox in modo manuale

Come abbiamo visto nell’articolo Rimozione virus in modo manuale, ecco come si fa, è sempre avere ben chiaro l’approccio utilizzato dalle varie minacce per insediarsi a livello di sistema operativo. L’antimalware può tardare a riconoscere un file o un processo malevolo ed è quindi bene acquisire quei rudimenti di base che consentono di accertare se sul sistema fossero stati caricati elementi software sospetti.

Lo stesso approccio va seguito nel caso dei browser web: verificare le estensioni installate permette di risolvere la comparsa di pagine che si aprono da sole e scongiurare la comparsa di messaggi pubblicitari indesiderati.
È bene considerare che sia Chrome che Firefox offrono un’accurata documentazione per gli sviluppatori che intendano sviluppare delle estensioni (vedere qui e qui). Alcuni programmatori hanno quindi messo a punto strategie per rendere le loro estensioni il più nascoste possibile.

Le estensioni per Chrome vengono salvate nei percorsi seguenti:

%LOCALAPPDATA%\Google\Chrome\User Data\Default\Extensions\ID_ESTENSIONE

(ciascuna estensione utilizza un identificativo di 32 caratteri)

HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensions\ID_ESTENSIONE
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ID_ESTENSIONE

(in questa cartella vengono memorizzate le estensioni per i browser a 32 bit eseguiti sulle versioni a 64 bit di Windows)

Le estensioni per Firefox vengono invece memorizzate nei percorsi seguenti:

%APPDATA%\Mozilla\Firefox\Profiles\\extensions\{ID_ESTENSIONE}.xpi
%APPDATA%\Mozilla\Extensions\{ID_ESTENSIONE}.xpi
HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions

%appdata%

e %localappdata% sono due variabili d’ambiente che, digitate ad esempio nel campo Apri della finestra che appare premendo la combinazione di tasti Windows+R, consentono di accedere alle varie sottocartelle citate (vedere anche AppData: a cosa serve la cartella e quali informazioni contiene).

I percorsi sopra indicati offrono un un’utile indicazione delle locazioni di memoria dove si possono nascondere le varie estensione caricate da Chrome e Firefox.

Prima di procedere, suggeriamo comunque di premere Windows+R, digitare appwiz.cpl quindi disinstallare tutti i software potenzialmente inutili o collegabili con il comportamento anomalo del browser.

Per estrapolare gli identificativi corrispondenti alle estensioni da rimuovere, suggeriamo – in Chrome – di digitare chrome://extensions nella barra degli indirizzi.
Con un clic su Dettagli, si può annotare l’identificativo dell’estensione da rimuovere che appare nella barra degli indirizzi.


Nel caso di Firefox, basta digitare about:debugging#addons: si leggerà immediatamente l’identificativo di ciascuna estensione in corrispondenza di ID estensione.

Prima di cancellare manualmente le sottocartelle contenenti i file delle estensioni “malevole”, è bene rimuovere tutti i riferimenti ad esse nei file di configurazione di Chrome e Firefox.


Nel caso di Firefox si deve digitare about:config quindi inserire nella casella Cerca l’ID dell’estensione da rimuovere.
Cliccando con il tasto destro sui parametri di configurazione trovati da Firefox e scegliendo Ripristina si potranno automaticamente ripristinare i valori di default eliminando ogni riferimento alle estensioni malevole.

Il quadro è più complesso nel caso di Chrome perché le informazioni sulle estensioni vengono conservate nel file di configurazione %localappdata%\Google\Chrome\User Data\Default\Preferences.
Qui, a browser chiuso, è possibile effettuare una ricerca degli ID delle estensioni malevole ed eliminarli (magari creando prima una copia di backup del file Preferences).

Per automatizzare la rimozione delle estensioni per il browser che provocano l’apertura di pagine indesiderate o modificano home page e motore di ricerca predefiniti suggeriamo l’utilizzo dell’ottima utilità gratuita AdwCleaner.

AdwCleaner permette la rimozione automatica dei componenti superflui da tutti i browser installati sul sistema velocizzando così la navigazione e proteggendo la riservatezza dei propri dati.

Acquisito nel 2016 da Malwarebytes, AdwCleaner ha recentemente abbracciato la stessa interfaccia utente del noto e apprezzato antimalware.


AdwCleaner consente di riparare direttamente i browser web eliminando eventuali elementi dannosi o pericolosi per la privacy e ponendoli in quarantena.

Anche nel caso in cui non venisse rilevata alcuna minaccia, l’utilità consente comunque di ripristinare il Winsock di Windows e riportare allo stato di default alcune impostazioni del sistema operativo.


In questo modo, se si rilevassero problemi sulla connessione in uso si potrà comunque tentare di riportare i componenti di sistema alla configurazione standard.

Rispetto alle precedenti versioni (vedere la sezione Impostazioni), il nuovo AdwCleaner è capace di ricevere via cloud le indicazioni per la rimozione di minacce specifiche e permette di decidere quali impostazioni la funzionalità Riparazione di base deve eventualmente riportare alla configurazione predefinita: firewall di Windows, chiavi di tracciamento, IPSec, prefetch, BITS, proxy, policy di Internet Explorer, policy di Chrome, Winsock, implementazione del protocollo TCP/IP, contenuto del file HOSTS e le chiavi IFEO usate per attività di debugging.

Ti consigliamo anche

Link copiato negli appunti