assistenzafree.com

  • Aumenta dimensione caratteri
  • Dimensione caratteri predefinita
  • Diminuisci dimensione caratteri
Home Guide Windows xp Rimozione di virus-worm-spyware

Rimozione di virus-worm-spyware

E-mail Stampa PDF

Prima di iniziare questa guida è bene fare una doverosa premessa: questa non vuole essere una trattazione completa sulla rimozione dei virus/worm/spyware. Si tratta semplicemente di alcune linee generali da seguire nel caso si venga infettati da qualcosa, a volte funziona, altre no, nel qual caso bisogna inventarsi qualcos’altro.

Passiamo ai fatti.
Si dice che prevenire è meglio che curare, e tale frase è azzeccatissima anche nel nostro contesto (visto che proprio di virus stiamo parlando). Per prevenire quindi, è consigliabile tenere windows il più aggiornato possibile e l’utilizzo di un buon antivirus. In questo modo sarete protetti già da una buona parte delle schifezze che circolano su internet. Personalmente consiglio sempre “antivir” dal momento che è free, è leggero e soprattutto è efficace. L’unica pecca potrebbe essere quella di dover riscaricare ad ogni update almeno 2 o 3 mb di dati, il che può risultare seccante per i possessori di una 56k. In alternativa ad antivir si può usare avast, free nella versione base, a pagamento nella versione pro. Sul fronte degli antivirus a pagamento posso segnalare nod32 e kaspersky, e se proprio volete farvi del male… usate il norton. Tra tutti gli antivirus citati quest’ultimo è il più pesante ed il meno efficiente, se non si è ancora capito è assolutamente sconsigliato utilizzarlo !
Dopo questa panoramica sugli antivirus passiamo all’azione vera e propria. Windows aggiornato e l’antivirus non hanno fatto il loro dovere: siete infettati da qualcosa di “strano”. Pagine internet che si aprono da sole, homepage cambiata, connessione a internet reimpostata per collegarsi a chissà quale server d’oltreoceano. Cosa fare? Innanzitutto non farsi prendere dal panico e dire… mò formatto. Non si formatta per una homepage cambiata o un sito porno che si apre in continuazione !


Lanciamo innanzitutto la scansione approfondita dell’antivirus,

Image,


preferibilmente dalla modalità provvisoria, ed in seguito facciamo girare un paio di programmini utilissimi: ad-aware e spybot. (mi raccomando, che siano aggiornati!)

Image

Image

Sono entrambi gratis e se lanciati ad intervalli regolari riescono a mantenere pulito il pc da spyware e pubblicità in genere. Sono indicati anche per i casi descritti prima (homepage cambiata e pagine che si aprono a go-go). Se dopo tutto questo girare di programmi (e non solo), non si è ancora risolto un bel nulla passiamo a fare le cose un po’ più seriamente.


Allora... tanto per fare un esempio: vi siete mai chiesti perchè quella cavolo di homepage viene modificata ad ogni riavvio? Semplice: perchè ad ogni riavvio ci sono uno o più eseguibili (.exe) che si attivano e fanno quello per cui sono stati programmati, cioè modificare la homepage. E come fanno ad attivarsi? Ancora più semplice: si installano nell'esecuzione automatica all'avvio. L'esecuzione automatica non è altro che una lista di programmi che viene caricata automaticamente a sistema operativo avviato.
In poche parole: si accende il pc---> il sistema operativo esegue i programmi in esecuzione automatica---> l'eseguibile "maligno" viene caricato anch'esso---> la vostra homepage è cambiata come per magia.
Nei casi più comuni non c'è nient'altro da fare che cercare l'eseguibile incriminato e cancellarlo.

Per fare questo bisogna portarsi alle chiavi di registro (per caricare il registro: start-->esegui--> digitare regedit seguito da invio):


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Image

Image

e controllare i valori che ne saltano fuori. Alcuni sono comprensibili, altri un pò meno, e altri per niente.

Ora che avete tutto sotto mano come fare a capire qual è quello da eliminare? Qui interviene la pazienza... tutti i valori che abbiano nomi comprensibili e che quindi riuscite a riconoscere metteteli da parte e non toccateli. Attenzione però che molto spesso i valori "maligni" vengono camuffati con nomi molto simili a file di sistema o a programmi conosciuti. Potrete imbattervi... che ne so... in "sistem" al posto di "system", oppure in “microsovt” invece di “microsoft”... cose di questo tipo. I valori che invece risultano incomprensibili, o che non abbiano riferimenti che riuscite a riconoscere vanno controllati uno per uno. Come? Inserendo il nome del valore sospetto qui:

http://www.symantec.com/search/
http://www.pestpatrol.com/Search/
http://www.kephyr.com/filedb/index.php

Questi linkati sono una sorta di "motori di ricerca virus". Fate ricerche incrociate, controllate la descrizione e i "sintomi". Infine se riuscite ad identificare il virus che vi ha infettati attenetevi alle istruzioni riportate per la rimozione. In alcuni casi basterà rimuovere uno o due valori dal registro e i relativi file a cui puntano. Altre volte invece è un pò più complicato, ma seguendo passo passo le istruzioni dovreste riuscire a cavarvela.
E nel caso durante la rimozione doveste eliminare più file, assicuratevi di farlo senza riavviare. Infatti molte volte i virus più bastardi si affidano a due o più processi che si controllano l'un l'altro per evitare la cancellazione. Cioè, avete dei file A,B,C da cancellare, A controlla che B sia attivo, B controlla A, e C controlla A e B. Se mancate di cancellarne uno e riavviate ecco che ve li ritrovate di nuovo tutti e tre.
E non disdegnate di cercare anche sui motori di ricerca "comuni" (google). Potreste trovare risolto proprio il vostro caso (soprattutto su forum inglesi).

Se invece non avete intenzione di mettere mano al registro per paura di combinare casini può venirvi in soccorso hijackthis,

Image

anch’esso free e scaricabile gratuitamente dalla rete. In pratica dà una sbirciatina al registro mostrandovi tutte le chiavi "suscettibili" a modifiche esterne. E' molto facile da usare e dà la possibilità di ripristinare tutto automaticamente nel caso di problemi. Ma anche qui bisogna fare attenzione a non eliminare roba a casaccio, potreste solamente peggiorare la situazione. Per sicurezza potrete incollare il log di kijackthis qui:
http://hijackthis.de/index.php
E regolarvi in base alle informazioni che vi verranno fornite per ogni chiave di registro.

Image

Inoltre segnalo la presenza di un altro software free, anch’esso dedicato alla “prevenzione”: win patrol.

Image

Tutto ciò che fa è controllare attivamente che durante la navigazione non vengano installate schifezze nel computer. Come? Semplicemente tenendo sotto controllo l’area del registro descritta prima, quella che il computer carica automaticamente ad ogni riavvio. Se durante la navigazione win patrol si accorge che qualcosa è cambiato, immediatamente vi avvisa chiedendovi cosa farne dell’intruso. Vi consiglio di volta in volta di prestare attenzione ai vari avvisi, dal momento che win patrol non sa distinguere i virus da… chessò… un driver di una periferica che necessita di attivarsi al prossimo riavvio per completare l’installazione. Win patrol si limiterà a dire: ho trovato questo file che verrà attivato ad ogni riavvio. Cosa faccio? E’ logico che sarà poi la persona che è di fronte al monitor a decidere il da farsi.
Purtroppo di virus nuovi ne vengono creati ogni giorno, quindi come già detto prima è impossibile trattarli singolarmente, come è anche impossibile pensare che questa guida assicuri la rimozione della totalità dei virus in circolazione. Ma seguendo questi semplici consigli la maggioranza delle schifezze che soggiornano nel vostro pc troveranno il posto ideale per loro… e cioè il cestino .

Ultimo aggiornamento Lunedì 08 Febbraio 2010 07:59