MegaLab.it
Stampa Articolo
Aperiodico gratuito di informatica
 
20090304173104_794405008_20090304173033_653954111_rootkit.png

PC infetto da virus e altro malware? Vediamo come intervenire

a cura di farbix89
12/10/2010 - articolo
Sicurezza - Ripulire il proprio computer dalla maggior parte delle infezioni in circolazione è un obbiettivo alla portata anche dei meno esperti: bastano alcuni programmi gratuiti e qualche attenzione.

Confusione e panico: sono le prime reazioni dell'utente medio quando si accorge che il PC è stato infettato.

Proprio come in ambito medico, se si interviene in tempo e con precisione si possono evitare danni maggiori ed impedire al virus di prendere il controllo del nostro PC, o danneggiare i nostri file personali.

In questo articolo vi consiglierò una procedura veloce ed affidabile, eseguibile da chiunque senza alcuna difficoltà, per eliminare le minacce.

L'operazione è piuttosto efficace, ma dovete valutare caso per caso la gravità dell'infezione: molte volte il virus ha già messo le mani nel cuore del sistema operativo e, in quel caso, la disinfezione è molto più difficile e necessita di ulteriori controlli e verifiche.

Come base di partenza però potete tranquillamente seguire questa guida.

Una raccomandazione preliminare

Se non sapete da quando tempo avete contratto il virus, conviene tener a portata di mano il CD/DVD d'installazione del sistema operativo o la partizione di ripristino: se le cose si mettono male e/o la disinfezione richiede troppi interventi, o peggio fallisce, una buona formattazione vi farà risparmiare molto più tempo.

Lasciatela come ultima risorsa, ma tenetela comunque in considerazione.

Tutte le disinfezioni vanno eseguite in modalità provvisoria: solo in questo modo la maggior parte dei malware sono inattivi e non possono "reagire" per tentare di nascondersi o disabilitare i programmi di pulizia.

Per rendere veramente efficace la pulizia affiancheremo all'antivirus un potente antimalware, più qualche altro tool per ulteriori controlli.

Purtroppo, come risulta dal test, sono pochi gli antivirus in grado di scansionare in questa modalità.

Disinstallare l'antivirus corrente

Se avete un altro antivirus free o a pagamento preferito già installato, il consiglio è di rinunciarci momentaneamente, per poi installarlo nuovamente ad emergenza rientrata.

Disinstallate quindi ogni programma di sicurezza già presente sul vostro PC, per evitare conflitti che possono ridurre l'efficienza dei programmi suggeriti di seguito.

I software necessari

Per disinfettare il PC utilizzeremo:

Si tratta di strumenti potenti e gratuiti, ma soprattutto efficaci anche in modalità provvisoria.

Procuriamoci Avira AntiVir Personal, Malwarebytes Anti-malware, ComboFix e HijackThis dai rispettivi siti.

Quando i siti sono bloccati...

Qui possono iniziare le prime difficoltà, poiché molti virus bloccano l'accesso ai siti che distribuiscono antivirus.

Di solito questo blocco agisce a livello del file hosts di Windows: vi basta quindi leggere l'articolo "Il file hosts di Windows" per trovare una soluzione.

Ma alcuni malware agiscono anche modificando i file o le pagine dei browser installati: in tal caso, basta procurarsi una versione portable di Firefox, Chrome o Opera.

Se ancora non riuscite a scaricare i software di sicurezza, non resta che procurarsi i programmi da un altro PC pulito e copiarli sul PC infetto, per utilizzarli al momento opportuno.

Ottenere gli aggiornamenti

Per quanto riguarda Avira AntiVir, dovete procuravi le definizioni antivirali aggiornate, da inserire manualmente in caso di assenza di connessione causata dalla modalità provvisoria: le ultime definizioni sono disponibili qui.

Più avanti nell'articolo vedremo come installarle.

Per Malwarebytes Anti-malware il problema è minore, perché l'installer viene aggiornato spesso.

Per prima cosa, entriamo nella nostra "area di lavoro". Per avviare il PC in modalità provvisoria basta premere ripetutamente il tasto F8 poco prima della comparsa dello splash screen del sistema operativo.

Apparirà il menu delle opzioni avanzate di Windows

Image.png

È possibile scegliere quale modalità avviare:

Dopo un breve caricamento dei file di sistema ci ritroveremo in un ambiente di lavoro scarno e poco accattivante, ma più adatto alle operazioni di manutenzione

Selezione_001.png

Ora basta avviare gli installer di Avira AntiVir e Malwarebytes Anti-malware per avere la certezza di installare i software senza l'interferenza del virus.

Cosa fare se la modalità provvisoria non è disponibile

La disattivazione della modalità provvisoria da parte dei malware su Windows 7 risulta molto più difficile che in passato. Ciò nonostante, alcuni riescono nell'impresa anche sul sistema Microsoft più recente.

Se non riuscite ad entrare in tale modalità alla pressione del tasto F8, è possibile provare questi passaggi:

Cliccate sul pulsante Start e cercate la voce msconfig

Selezione_004.png

Avviate il programma in questione e raggiungete il tab Opzioni di avvio

Selezione_005.png

Spuntate la voce Modalità provvisoria. Potete selezionare la modalità Minima o, se necessitate della connessione Internet, la modalità Rete

Selezione_006.png

Riavviate e dovreste entrare automaticamente nella modalità provvisoria.

Avira AntiVir e modalità provvisoria

L'installer di Avira AntiVir può andare incontro a problemi di incompatibilità se avviato in provvisoria, soprattutto su Windows 7.

Ecco gli errori più frequenti.

Incompatibilità con Windows Update

Selezione_007.png

Incompatibilità con Windows Defender

Selezione_008.png

Basta disabilitare i servizi relativi per completare l'installazione.

Potete riattivare i servizi dopo la disinfezione, se necessari.

In modalità normale aprite il menu Start e digitate Servizi, cliccate sulla rispettiva voce

Selezione_010.png

Aperto l'elenco dei servizi, riordinateli per attività cliccando in alto sulla colonna Stato

Ecco i servizi da disabilitare

Selezione_011.png

Tutti e 3 controllano le funzionalità di Windows Update e Windows Defender.

Su Windows XP il servizio relativo agli Update di Windows si chiama Aggiornamenti Automatici.

Cliccate su ogni voce con il tasto destro, Proprietà

Selezione_013.png

In Tipo di Avvio impostate Disabilitato, ed arrestiamo il servizio cliccando su Interrompi.

Ora riavviamo ed entriamo in provvisoria.

L'installer ora si avvierà normalmente e terminerà installazione

Selezione_009.png

Aggiornamento

Per aggiornare manualmente Avira AntiVir seguire quest'articolo.

Se avete accesso ad Internet, eseguite l'aggiornamento classico.

Settaggi avanzati

Aprire il menu di Avira e cliccare su Configuration

Abilitiamo l'Expert Mode in alto a sinistra

Selezione_014.png

Nel menu Scanner aperto spuntiamo: All files, Integrity checking of system file, Follow symbolic linkse Search for Rootkits before scan

Selezione_015.png

Espandiamo la voce Scannere Scan cliccando sul +.

Raggiungiamo la voce Archivee spuntiamo la voce All file types

Selezione_016.png

Ora raggiungiamo la voce Heuristic e spuntiamo la voce High detection level

Selezione_017.png

Per una disinfezione molto efficace, espandiamo la voce General e spuntiamo la voce Select all in Threat categories

Selezione_018.png

Avvio Scansione

Apriamo il Control center di AntiVir, portiamoci su Local Protection e nel menu scanner avviamo Complete system scan

Selezione_019.png

Si aprirà lo scanner, che inizierà a cercare i malware presenti nel PC

Selezione_020.png

Finita la scansione, il programma chiederà cosa fare dei virus trovati: basta cliccare su Apply now per spostare tutto in quarantena

Selezione_021.png

Finita la disinfezione, controllate attentamente la sintesi del report: le due voci segnate devono coincidere

Selezione_022.png

AntiVir è riuscito a spostare in quarantena tutte le minacce.

Aggiornamento di Malwarebytes Anti-Malware

Se siete in modalità provvisoria con rete, potete aggiornare subito Malwarebytes Anti-Malware per ottenere le definizioni più recenti.

Basta raggiungere il tab Aggiornamento

Selezione_023.png

Se non avete connettività in provvisoria, potete aggiornare manualmente scaricando in precedenza (o su un altro PC) questo file.

Basta avviare l'eseguibile per aggiornare il programma.

Scansione

Per avviare la scansione basta raggiungere il tab Scansione e avviare la scansione completa

Selezione_029.png

Finita la scansione, il programma indicherà la presenza di malware sul sistema. Per rimuoverli basta cliccare su Mostra Risultati

Selezione_026.png

Controllate se le voci siano tutte selezionate e cliccate su Rimuovi selezionati

Selezione_027.png

Potrebbe essere necessario riavviare per completare la disinfezione

Selezione_028.png

La pulizia è completata.

Gli step proposti fin qui sono più che sufficienti per rimuovere buona parte delle infezioni comuni.

Ci sono casi particolarmente ostici che richiedono ulteriore assistenza.

È in casi come questi che ComboFix e HijackThis possono esserci d'aiuto, rimuovendo le minacce più difficili e generando un file di log in caso di ulteriori problemi, particolarmente utile agli esperti di sicurezza per identificare le minacce.

Se non notate particolari problemi, e il PC sembra tornato a funzionare correttamente, è superfluo seguire questo step.

ComboFix

Eseguite il programma ed accettate le condizioni d'uso

Selezione_030.png

La scansione è completamente automatizzata, non dovete intervenire.

Se vi appare il messaggio riguardo la console di ripristino cliccare tranquillamente su No.

Il programma inizierà a lavorare

Selezione_031.png

Verranno effettuati tutti i backup del caso

Selezione_033.png

Partirà la scansione vera e propria, che in caso di PC infetto può richiedere molto tempo

Selezione_034.png

Finita la scansione verrà generato un file di log, di default salvato in C:

Selezione_037.png

Del contenuto del log ci occuperemo nel prossimo step.

HijackThis

Altro programma molto efficiente nello scovare i malware più nascosti.

Accettate la licenza d'uso

Selezione_039.png

Nel menu che comparirà selezionate la prima voce

Selezione_040.png

Verrà eseguita una scansione del sistema e il log verrà generato

Selezione_041.png

Il file del log viene salvato nella stessa posizione dell'eseguibile

Selezione_042.png

Consiglio di non essere avventati e di non fixare nessuna delle voci segnalate da HijackThis senza aver compreso di cosa si tratta. Salvate il log e seguite le indicazioni dell'ultimo step.

Avete ottenuto i log di ComboFix e HijackThis, ma non sapete come leggerli e dove intervenire? Non vi resta che postare il contenuto del file nella sezione Sicurezza del forum, dove riceverete tutte le info e le soluzioni dalla nostra community di esperti.

Per i messaggi riguardanti i file di log da analizzare consiglio di inserire all'inizio del titolo la dicitura [LOG]: aiuterà a comprendere subito il problema ed a riconoscere al volo i messaggi di analisi del log da messaggi di aiuto generici.

Ecco un esempio:

MegaLab.png

Vi ricordiamo inoltre che i log devono essere proposti nel corpo del messaggio utilizzando il nuovo tag MEMO: per farlo, è sufficiente selezionare il testo e quindi premere il pulsante MEMO mostrato fra i comandi di formattazione del post.

Se notate dei rallentamenti nonostante tutti i controlli effettuati, la colpa può non essere sempre dei malware.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati