Confusione e panico: sono le prime reazioni dell'utente medio quando si accorge che il PC è stato infettato.
Proprio come in ambito medico, se si interviene in tempo e con precisione si possono evitare danni maggiori ed impedire al virus di prendere il controllo del nostro PC, o danneggiare i nostri file personali.
In questo articolo vi consiglierò una procedura veloce ed affidabile, eseguibile da chiunque senza alcuna difficoltà, per eliminare le minacce.
L'operazione è piuttosto efficace, ma dovete valutare caso per caso la gravità dell'infezione: molte volte il virus ha già messo le mani nel cuore del sistema operativo e, in quel caso, la disinfezione è molto più difficile e necessita di ulteriori controlli e verifiche.
Come base di partenza però potete tranquillamente seguire questa guida.
Se non sapete da quando tempo avete contratto il virus, conviene tener a portata di mano il CD/DVD d'installazione del sistema operativo o la partizione di ripristino: se le cose si mettono male e/o la disinfezione richiede troppi interventi, o peggio fallisce, una buona formattazione vi farà risparmiare molto più tempo.
Lasciatela come ultima risorsa, ma tenetela comunque in considerazione.
Tutte le disinfezioni vanno eseguite in modalità provvisoria: solo in questo modo la maggior parte dei malware sono inattivi e non possono "reagire" per tentare di nascondersi o disabilitare i programmi di pulizia.
Per rendere veramente efficace la pulizia affiancheremo all'antivirus un potente antimalware, più qualche altro tool per ulteriori controlli.
Purtroppo, come risulta dal test, sono pochi gli antivirus in grado di scansionare in questa modalità.
Se avete un altro antivirus free o a pagamento preferito già installato, il consiglio è di rinunciarci momentaneamente, per poi installarlo nuovamente ad emergenza rientrata.
Disinstallate quindi ogni programma di sicurezza già presente sul vostro PC, per evitare conflitti che possono ridurre l'efficienza dei programmi suggeriti di seguito.
Per disinfettare il PC utilizzeremo:
Si tratta di strumenti potenti e gratuiti, ma soprattutto efficaci anche in modalità provvisoria.
Procuriamoci Avira AntiVir Personal, Malwarebytes Anti-malware, ComboFix e HijackThis dai rispettivi siti.
Qui possono iniziare le prime difficoltà, poiché molti virus bloccano l'accesso ai siti che distribuiscono antivirus.
Di solito questo blocco agisce a livello del file hosts di Windows: vi basta quindi leggere l'articolo "Il file hosts di Windows" per trovare una soluzione.
Ma alcuni malware agiscono anche modificando i file o le pagine dei browser installati: in tal caso, basta procurarsi una versione portable di Firefox, Chrome o Opera.
Se ancora non riuscite a scaricare i software di sicurezza, non resta che procurarsi i programmi da un altro PC pulito e copiarli sul PC infetto, per utilizzarli al momento opportuno.
Per quanto riguarda Avira AntiVir, dovete procuravi le definizioni antivirali aggiornate, da inserire manualmente in caso di assenza di connessione causata dalla modalità provvisoria: le ultime definizioni sono disponibili qui.
Più avanti nell'articolo vedremo come installarle.
Per Malwarebytes Anti-malware il problema è minore, perché l'installer viene aggiornato spesso.
Per prima cosa, entriamo nella nostra "area di lavoro". Per avviare il PC in modalità provvisoria basta premere ripetutamente il tasto F8 poco prima della comparsa dello splash screen del sistema operativo.
Apparirà il menu delle opzioni avanzate di Windows
È possibile scegliere quale modalità avviare:
Dopo un breve caricamento dei file di sistema ci ritroveremo in un ambiente di lavoro scarno e poco accattivante, ma più adatto alle operazioni di manutenzione
Ora basta avviare gli installer di Avira AntiVir e Malwarebytes Anti-malware per avere la certezza di installare i software senza l'interferenza del virus.
La disattivazione della modalità provvisoria da parte dei malware su Windows 7 risulta molto più difficile che in passato. Ciò nonostante, alcuni riescono nell'impresa anche sul sistema Microsoft più recente.
Se non riuscite ad entrare in tale modalità alla pressione del tasto F8, è possibile provare questi passaggi:
Cliccate sul pulsante Start e cercate la voce msconfig
Avviate il programma in questione e raggiungete il tab Opzioni di avvio
Spuntate la voce Modalità provvisoria. Potete selezionare la modalità Minima o, se necessitate della connessione Internet, la modalità Rete
Riavviate e dovreste entrare automaticamente nella modalità provvisoria.
L'installer di Avira AntiVir può andare incontro a problemi di incompatibilità se avviato in provvisoria, soprattutto su Windows 7.
Ecco gli errori più frequenti.
Incompatibilità con Windows Update
Incompatibilità con Windows Defender
Basta disabilitare i servizi relativi per completare l'installazione.
Potete riattivare i servizi dopo la disinfezione, se necessari.
In modalità normale aprite il menu Start e digitate Servizi, cliccate sulla rispettiva voce
Aperto l'elenco dei servizi, riordinateli per attività cliccando in alto sulla colonna Stato
Ecco i servizi da disabilitare
Tutti e 3 controllano le funzionalità di Windows Update e Windows Defender.
Su Windows XP il servizio relativo agli Update di Windows si chiama Aggiornamenti Automatici.
Cliccate su ogni voce con il tasto destro, Proprietà
In Tipo di Avvio impostate Disabilitato, ed arrestiamo il servizio cliccando su Interrompi.
Ora riavviamo ed entriamo in provvisoria.
L'installer ora si avvierà normalmente e terminerà installazione
Per aggiornare manualmente Avira AntiVir seguire quest'articolo.
Se avete accesso ad Internet, eseguite l'aggiornamento classico.
Aprire il menu di Avira e cliccare su Configuration
Abilitiamo l'Expert Mode in alto a sinistra
Nel menu Scanner aperto spuntiamo: All files, Integrity checking of system file, Follow symbolic linkse Search for Rootkits before scan
Espandiamo la voce Scannere Scan cliccando sul +.
Raggiungiamo la voce Archivee spuntiamo la voce All file types
Ora raggiungiamo la voce Heuristic e spuntiamo la voce High detection level
Per una disinfezione molto efficace, espandiamo la voce General e spuntiamo la voce Select all in Threat categories
Apriamo il Control center di AntiVir, portiamoci su Local Protection e nel menu scanner avviamo Complete system scan
Si aprirà lo scanner, che inizierà a cercare i malware presenti nel PC
Finita la scansione, il programma chiederà cosa fare dei virus trovati: basta cliccare su Apply now per spostare tutto in quarantena
Finita la disinfezione, controllate attentamente la sintesi del report: le due voci segnate devono coincidere
AntiVir è riuscito a spostare in quarantena tutte le minacce.
Se siete in modalità provvisoria con rete, potete aggiornare subito Malwarebytes Anti-Malware per ottenere le definizioni più recenti.
Basta raggiungere il tab Aggiornamento
Se non avete connettività in provvisoria, potete aggiornare manualmente scaricando in precedenza (o su un altro PC) questo file.
Basta avviare l'eseguibile per aggiornare il programma.
Per avviare la scansione basta raggiungere il tab Scansione e avviare la scansione completa
Finita la scansione, il programma indicherà la presenza di malware sul sistema. Per rimuoverli basta cliccare su Mostra Risultati
Controllate se le voci siano tutte selezionate e cliccate su Rimuovi selezionati
Potrebbe essere necessario riavviare per completare la disinfezione
La pulizia è completata.
Gli step proposti fin qui sono più che sufficienti per rimuovere buona parte delle infezioni comuni.
Ci sono casi particolarmente ostici che richiedono ulteriore assistenza.
È in casi come questi che ComboFix e HijackThis possono esserci d'aiuto, rimuovendo le minacce più difficili e generando un file di log in caso di ulteriori problemi, particolarmente utile agli esperti di sicurezza per identificare le minacce.
Se non notate particolari problemi, e il PC sembra tornato a funzionare correttamente, è superfluo seguire questo step.
Eseguite il programma ed accettate le condizioni d'uso
La scansione è completamente automatizzata, non dovete intervenire.
Se vi appare il messaggio riguardo la console di ripristino cliccare tranquillamente su No.
Il programma inizierà a lavorare
Verranno effettuati tutti i backup del caso
Partirà la scansione vera e propria, che in caso di PC infetto può richiedere molto tempo
Finita la scansione verrà generato un file di log, di default salvato in C:
Del contenuto del log ci occuperemo nel prossimo step.
Altro programma molto efficiente nello scovare i malware più nascosti.
Accettate la licenza d'uso
Nel menu che comparirà selezionate la prima voce
Verrà eseguita una scansione del sistema e il log verrà generato
Il file del log viene salvato nella stessa posizione dell'eseguibile
Consiglio di non essere avventati e di non fixare nessuna delle voci segnalate da HijackThis senza aver compreso di cosa si tratta. Salvate il log e seguite le indicazioni dell'ultimo step.
Avete ottenuto i log di ComboFix e HijackThis, ma non sapete come leggerli e dove intervenire? Non vi resta che postare il contenuto del file nella sezione Sicurezza del forum, dove riceverete tutte le info e le soluzioni dalla nostra community di esperti.
Per i messaggi riguardanti i file di log da analizzare consiglio di inserire all'inizio del titolo la dicitura [LOG]: aiuterà a comprendere subito il problema ed a riconoscere al volo i messaggi di analisi del log da messaggi di aiuto generici.
Ecco un esempio:
Vi ricordiamo inoltre che i log devono essere proposti nel corpo del messaggio utilizzando il nuovo tag MEMO: per farlo, è sufficiente selezionare il testo e quindi premere il pulsante MEMO mostrato fra i comandi di formattazione del post.
Se notate dei rallentamenti nonostante tutti i controlli effettuati, la colpa può non essere sempre dei malware.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati