www.MegaLab.it

Ho preso un virus/spyware/...! Come lo rimuovo?

La primissima strada da imboccare in caso di infezione è quella che prevede l'uso dei vari tool per la rimozione automatica. In particolar modo, scaricate e scansionate il sistema con:

• Microsoft Safety Scanner: l'antivirus gratuito "usa e getta"
• Kaspersky Virus Removal Tool
• Hitman Pro: la tua "seconda possibilità" contro i malware
• Emsisoft Emergency Kit

Usate tutti i programmi indicati, uno dopo l'altro

Sia chiaro che questo primo approccio risolve solamente un numero relativamente ridotto di infezioni. In caso l'ospite indesiderato non voglia ancora andarsene, è il momento di passare alle maniere forti.

Fortunatamente, la maggior parte dei malware in circolazione può essere debellata seguendo una procedura "standard" che richiede l'uso di pochi programmi gratuiti.

Abbiamo dettagliato i vari passaggi nell'articolo "PC infetto da virus e altro malware? Vediamo come intervenire": in caso si sospetti un'infezione, ci sono ottime probabilità che questo approccio sblocchi la situazione.

Il virus blocca qualsiasi programma di pulizia!

Alcuni malware particolarmente "resistenti" sono in grado di impedire l'esecuzione dei vari tool di pulizia. In questo caso, la soluzione è quella di bypassare completamente il sistema operativo infetto e lavorare "dall'esterno" tramite un "Live CD".

Innanzitutto, dovete impostare la macchina per effettuare il boot da supporto ottico invece che dal consueto disco fisso: la procedura è stata descritta in "Come modificare l'ordine di boot (e avviare da CD)".

A questo punto, scaricate e masterizzate uno dei CD bootabili contenenti un "mini-sistema operativo" ed un antivirus: "Avira AntiVir Rescue System" è uno dei più apprezzati e si distingue per semplicità ed immediatezza

In caso il prodotto tedesco non vi consenta ancora di togliervi d'impaccio, potete tentare con disco Linux: la procedura passo per passo, adatta anche ai non-esperti del Pinguino, è stata proposta in "I virus su Windows ti fanno impazzire? Rimuoviamoli con semplicità tramite Ubuntu".

Ho un rootkit particolarmente tenace...

Una volta penetrati sul PC, alcuni malware riescono rendersi "invisibili" agli antivirus ed ai tool di rimozione. Questa classe di software è chiamata genericamente "rootkit".

Affinché il mascheramento sia efficace, il rootkit modifica il comportamento del sistema operativo infettato: di conseguenza, l'uso dei Live CD trattati in precedenza inibisce completamente questo tipo di invisibilità.

In caso però l'antivirus veicolato dal supporto ottico non riconoscesse il malware, la situazione potrebbe essere piuttosto complessa da gestire: se nemmeno un tool di pulizia con Gmer (vedi "Un indispensabile alleato per la nostra sicurezza: guida a Gmer") oppure una delle sue alternative ("Le alternative a Gmer tra i programmi anti-rootkit") è in grado di aiutarvi, il pubblico di esperti può ricorrere ad uno strumento potente quanto delicato: "Guida operativa a HxD, il bisturi per la rimozione definitiva dei rootkit".

Questo virus sopravvive alla formattazione!

La sotto-famiglia di rootkit chiamata "bootkit" costituisce una delle infezioni più ostiche da debellare: pur formattando completamente l'hard disk, l'ospite potrebbe non andarsene.

Prima di gettare fisicamente il pezzo nel cassonetto dell'immondizia, assicuratevi di fare un ultimo tentativo seguendo "Guida alla rimozione dei bootkit".

Come scoprire se il computer sia infetto

Schermate blu, crash dell'antivirus o dei programmi applicativi, finestre pubblicitarie che si aprono casualmente, lentezza generale della macchina o della connettività sono tutti segnali di una potenziale infezione in corso

Purtroppo però, non è sempre semplice capire se la causa sia un malware, qualche problema di configurazione, un software legittimo supportato dalle inserzioni pubblicitarie oppure un guasto hardware.

Il consiglio, anche in caso tutto funzioni regolarmente, è quello di effettuare periodicamente una serie di controlli sui processi in esecuzione utilizzando i seguenti strumenti:

• System Explorer è il Task Manager più avanzato che ci sia
• Guida all'uso di Process Explorer
• Processi sospetti che si collegano ad Internet? Scoprili con CurrPorts
• Pagina iniziale modificata? Ci pensa HijackThis!

Inoltre, è altrettanto raccomandabile eseguire una scansione con i già citati tool di rimozione automatica.

Questo, in combinazione alla protezione offerta dall'antivirus locale, dovrebbe costituire un buon compromesso fra tempo investito per la manutenzione ordinaria e tranquillità.