www.MegaLab.it

La rimozione del rogue

La rimozione delle componenti del rogue non è poi stata così difficile, ma c'è stata una sorpresina di cui parleremo meglio dopo: il rogue non era da solo ma si era portato dietro altri malware.

È bastato avviare il PC in modalità provvisoria e qui tutti i miei applicativi tornavano a funzionare.

Con HijackThis posso vedere che ci sono due eseguibili che si avviano ad ogni accensione del PC. Il loro nome è composto da numeri e lettere assolutamente casuali e che cambiano sempre ad ogni infezione.

Si potrebbero anche cancellare i due eseguibili e riavviare il PC in modo normale, però eseguo subito una scansione con Malwarebytes Anti-Malware che trova anche degli altri problemi.

Quello che mi ha preoccupato, anche se non ne avevo capito subito le implicazioni, era la presenza del virus Trojan.Tibs in una cartella molto strana e abbastanza nascosta.

Rimuovo tutto e riavvio il PC. Dopo il riavvio controllo nella cartella Temp dell'account, dove erano situati i due eseguibili, e vi trovo una dll infetta che non era stata vista da Malwarebytes Anti-Malware più alcuni altri file che cancello manualmente.

E qui noto subito che il PC si comporta in maniera strana: la ventola della CPU sempre attiva, apro Firefox e mi dice che non è più il browser predefinito, mi ritrovo con un Task manager all'apparenza tranquillo ma dove trovo due processi di Internet Explorer attivi che non dovevano esserci. Tutti gli altri applicativi funzionavano normalmente.

Comincio subito le analisi e nessun software, come Gmer, avast! Free Antivirus, Malwarebytes Anti-Malware, Avira AntiVir Rescue System, Rootrepeal, Hitman Pro, mi rileva niente. Trovo solo alcuni file strani nella cartella Temp che si rigenerano quando li cancello, tra cui un file .Reg che mi va a reimpostare Internet Explorer come browser predefinito. Bootkit remover generava una strano errore, mentre ComboFix non mi si avviava proprio.

Non è detto che tutte le varianti di questo rogue siano accompagnate da questo ulteriore malware, quindi quando avete rimosso il rogue come ho descritto, potreste essere già a posto. Se però notate degli strani sintomi nel vostro PC allora è meglio fare dei controlli più approfonditi.

Nonostante quando ho provato il rogue avessi Returnil Virtual System attivo e la funzione Hips di PC Tools Firewall, qualcosa era passato lo stesso senza restituirmi degli avvisi e suppongo fosse andato ad infettare qualche settore del disco fisso. avast! lo avevo disattivato per lasciare agire il rogue che altrimenti veniva eliminato subito dall'antivirus.

Per la necessità di ripristinare velocemente il PC, mi serviva per lavoro il giorno dopo, smetto di dare la caccia al mio misterioso malware e decido per la formattazione a basso livello per risolvere radicalmente il problema.

Ci sono anche altri metodi, meno drastici, per risolvere infezioni del genere del disco fisso però richiedono del tempo che non avevo a disposizione.

A volte è più rapido formattare e ripristinare un immagine del disco fisso creata in precedenza che cercare di ripulire un PC gravemente infetto.