www.MegaLab.it

Come rimuovere il virus

La rimozione del virus non è, in genere, troppo difficile. Se riuscite a capire di essere stati infettati, praticamente quando vedete sul desktop un'immagine strana e il computer non risponde più, staccate subito il collegamento Internet da quel computer, in modo che il virus non possa scaricare dal Web tutte le sue componenti malevole.

A questo punto provate ad avviare il computer in modalità provvisoria o, se l'avete, utilizzate un'utenza diversa da quella che ha contratto l'infezione, controllate la presenza di un file eseguibile nelle cartelle C:\Users\NomeAccount\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup, per Windows Vista/7/8, e in C:\Documents and Settings\NomeAccount\Menu Avvio\Programmi\Esecuzione automatica per Windows XP.

Oppure verificate la presenza di qualche altro file, oltre a explorer.exe, nella chiave di registro della shell di explorer. Avviate il registro di configurazione, tramite il comando regedit e portatevi a questa chiave di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Nella finestra a destra, alla voce Shell dovete trovare solo "explorer.exe", se è presente qualche altro file, avete trovato almeno una parte del vostro virus. Potete quindi modificare la chiave di registro togliendo il file di troppo e andando poi a eliminarlo dal computer. Se avete problemi a cancellare il file potete usare Unlocker.

A questo punto, al riavvio del computer dovreste essere riusciti a recuperarne il controllo, eseguite in ogni caso una scansione completa del vostro computer, magari con Kaspersky virus removal tool.

Tutto questo vale se siamo nelle prime fasi dell'infezione e riusciamo ancora ad accedere alla modalità provvisoria, o avviare il computer con un'utenza diversa da quella che stavamo usando quando siamo stati infettati, se riusciamo a utilizzare ComboFix, scaricandolo da un altro computer, potrebbe bastare anche una sua scansione.

Computer bloccato e inaccessibile

Passiamo al caso peggiore, il virus ha preso completamente possesso del vostro computer e reso impossibile accedervi, anche in modalità provvisoria.

In questo caso il consiglio migliore è di eseguire una scansione da Live CD con antivirus incorporato, tra i migliori abbiamo quelli di Kaspersky, G Data, BitDefender o Avira. Molti di questi antivirus sono trasferibili anche su una pendrive per usarli nei computer privi di lettore CD.

Avviando il computer con uno di questi supporti potete eseguire un controllo completo del vostro computer in maniera indipendente dal vostro sistema operativo, ormai bloccato dal virus. Essendo dei Live CD basati su una qualche distro Linux, il rischio è che possano non essere compatibili con il vostro computer e quindi non avviarsi.

Se proprio non riuscite a trovare un Live CD adatto al vostro computer, direi che non rimane altro che smontare il vostro hard disk e collegarlo a un altro computer, magari tramite un box esterno USB, per poterlo controllare e ripulire.

Soluzione che non mi piace molto perché, non alla portata di tutti (bisogna saper smontare il disco fisso e avere un secondo computer per il controllo), in caso fossero presenti altre infezioni in quell'hard disk, quelle che si trasmettono tramite gli autorun.inf o nei settori di boot del disco, potrebbero infettare il disco primario del computer che state utilizzando.

Se si è arrivati a questo punto dell'infezione, potrebbero essere anche state disabilitate alcune funzioni di Windows come l'avvio in modalità provvisoria, il cambio dell'immagine di sfondo del desktop o magari il Task Manager.

Le istruzioni che vi ho dato, valgono per i casi in cui ho avuto a che fare con questo tipo di virus personalmente, o nel forum. Esistendo numerose varianti del virus e mutando spesso nelle metodologie infettive, potreste non riuscire a risolvere con quanto vi ho detto. In questo caso aprite una discussione nella sezione Sicurezza del forum e proveremo a darvi una mano.