Ci sono molti programmi anti-malware là fuori che ripuliscono il tuo sistema di fastidi, ma cosa succede se non sei in grado di usare un programma del genere? Autoruns, da SysInternals (recentemente acquisita da Microsoft), è indispensabile per rimuovere manualmente il malware.
Ci sono alcuni motivi per cui potrebbe essere necessario rimuovere manualmente virus e spyware:
- Forse non puoi sopportare l'esecuzione di programmi anti-malware affamati di risorse e invasive sul tuo PC
-
Potrebbe essere necessario pulire il computer di tua madre (o qualcun altro che non capisce che un grande cartello lampeggiante su un sito web che dice "Il tuo computer è infetto da un virus - clicca QUI per rimuoverlo" non è un messaggio che può essere necessariamente di fiducia)
- Il malware è così aggressivo che resiste a tutti i tentativi di rimuoverlo automaticamente o non ti consente nemmeno di installare software anti-malware
- Parte del tuo credo geek è la convinzione che le utility anti-spyware siano per i Wimp
Autoruns è un'aggiunta preziosa per il toolkit di software di qualsiasi geek. Ti consente di tracciare e controllare tutti i programmi (e i componenti del programma) che si avviano automaticamente con Windows (o con Internet Explorer). Praticamente tutti i malware sono progettati per l'avvio automatico, quindi c'è una fortissima possibilità che possa essere rilevato e rimosso con l'aiuto di Autoruns.
Abbiamo spiegato come usare Autoruns in un articolo precedente, che dovresti leggere se devi prima familiarizzare con il programma.
Autoruns è una utility autonoma che non ha bisogno di essere installata sul tuo computer. Può essere semplicemente scaricato, decompresso ed eseguito (link sotto). Questo rende ideale per aggiungere alla tua raccolta di utilità portatile sul tuo flash drive.
Quando avvii Autoruns per la prima volta su un computer, ti viene presentato il contratto di licenza:
Per disabilitare temporaneamente un programma dall'avvio, deselezionare la casella accanto alla sua voce. Nota: questo sì non terminare il programma se è in esecuzione al momento - si limita a impedirne l'avvio Il prossimo tempo. Per impedire in modo permanente l'avvio di un programma, eliminare completamente la voce (utilizzare il comando Elimina chiave, oppure fare clic con il tasto destro e scegliere Elimina dal menu di scelta rapida)). Nota: questo sì non rimuovi il programma dal tuo computer - per rimuoverlo completamente devi disinstallare il programma (o altrimenti cancellarlo dal tuo hard disk).
Software sospetto
Può richiedere un bel po 'di esperienza (leggi "tentativi ed errori") per diventare esperto nell'individuare cosa sia il malware e cosa no. La maggior parte delle voci presentate in Autoruns sono programmi legittimi, anche se i loro nomi non ti sono familiari. Ecco alcuni suggerimenti per aiutarti a differenziare il malware dal software legittimo:
- Se una voce è firmata digitalmente da un editore di software (cioè c'è una voce nel file Editore colonna) o ha una "Descrizione", quindi ci sono buone probabilità che sia legittimo
-
Se si riconosce il nome del software, di solito è ok. Nota che occasionalmente il malware "impersonerà" software legittimo, ma adottando un nome identico o simile al software con cui hai familiarità (ad esempio "AcrobatLauncher" o "PhotoshopBrowser"). Inoltre, tieni presente che molti programmi malware adottano nomi generici o innocui, come "Diskfix" o "SearchHelper" (entrambi menzionati di seguito).
- Le voci di malware di solito appaiono sul Accedere scheda di Autoruns (ma non sempre!)
-
Se apri la cartella che contiene il file EXE o DLL (più su questo sotto), esamini la data "ultima modifica", le date sono spesso degli ultimi giorni (supponendo che l'infezione sia abbastanza recente)
- Il malware si trova spesso nella cartella C: Windows o nella cartella C: Windows System32
- Il malware spesso ha solo un'icona generica (a sinistra del nome della voce)
In caso di dubbi, fare clic con il tasto destro del mouse sulla voce e selezionare Cerca online …
L'elenco seguente mostra due voci sospette: DiskFix e SearchHelper
-
Non hanno né descrizioni né editori
- Hanno nomi generici
-
I file si trovano in C: Windows System32
- Hanno icone generiche
-
I nomi dei file sono stringhe casuali di caratteri
- Se cerchi nella cartella C: Windows System32 e trovi i file, vedrai che sono alcuni dei file modificati più di recente nella cartella (vedi sotto)
Rimozione del malware
Una volta identificate le voci che ritieni sospette, ora devi decidere cosa vuoi fare con loro. Le tue scelte includono:
- Disattiva temporaneamente la voce di esecuzione automatica
-
Elimina definitivamente la voce di esecuzione automatica
- Individuare il processo in esecuzione (utilizzando Task Manager o simile) e terminarlo
- Elimina il file EXE o DLL dal tuo disco (o almeno spostalo in una cartella in cui non verrà avviato automaticamente)
o tutto quanto sopra, a seconda di quanto sei sicuro che il programma sia malware.
Per verificare se le modifiche sono state eseguite correttamente, è necessario riavviare il computer e controllare uno o tutti i seguenti elementi:
- Autoruns - per vedere se la voce è tornata
-
Task Manager (o simile) - per vedere se il programma è stato riavviato dopo il riavvio
- Controlla il comportamento che ti ha portato a credere che il tuo PC sia stato infettato in primo luogo. Se non succede più, è probabile che il tuo PC sia ora pulito
Conclusione
Questa soluzione non è per tutti ed è molto probabilmente destinata agli utenti avanzati. Solitamente l'uso di un'applicazione antivirus di qualità fa il trucco, ma in caso contrario, Autoruns è uno strumento prezioso nel tuo kit Anti-Malware.
Tieni presente che alcuni malware sono più difficili da rimuovere rispetto ad altri. A volte hai bisogno di diverse iterazioni dei passaggi precedenti, con ogni iterazione che richiede di guardare più attentamente ogni voce di Autorun. A volte nell'istante in cui si rimuove la voce Autorun, il malware in esecuzione sostituisce la voce. Quando ciò accade, dobbiamo diventare più aggressivi nel nostro assassinio del malware, inclusi i programmi di terminazione (anche programmi legittimi come Explorer.exe) che sono infettati da DLL di malware.
A breve pubblicheremo un articolo su come identificare, localizzare e terminare i processi che rappresentano programmi legittimi ma che eseguono DLL infette, in modo che tali DLL possano essere eliminate dal sistema.
Scarica Autoruns da SysInternals