Come eliminare un virus non riconosciuto dall’antivirus


Purtroppo ultimamente mi capita sempre più spesso, alcune persone chiedono il mio aiuto per eliminare dei virus dal loro PC, una volta individuato il virus scopro che l’antivirus non lo riconosce. Non solo, controllando il file incriminato con più di 30 antivirus diversi utilizzando Virus Total Nessuno di questi lo rileva come un programma maligno.

Quindi se vedete i classici segnali della presenza di un malware sul vostro PC (aperture di pagine web non richieste, strane toolbar, lentezza del pc) ma l’antivirus fà spallucce, dovete rimboccarvi le maniche e cercare di eliminarlo manualmente. Oggi vedremo uno dei possibili metodi per stanare ed eliminare un generico virus che non viene rilevato dai programmi antivirus.

1. DISABILITARE IL RIPRISTINO CONFIGURAZIONE DI SISTEMA:

Prima di eliminare il virus è bene disabilitare la funzionalità Ripristino configurazione di sistema di Windows, che molto spesso è utile, ma in questo caso se il sistema dovesse essere ripristinato per qualsiasi motivo ripristinerete anche il virus.

Questo passaggio non è obbligatorio, se non vi fidate a disabilitare il ripristino di configurazione in quanto avete paura di fare qualche “casino” e poi di non essere più in grado di ripristinare il tutto, lasciatelo pure, sappiate però che se ripristinate probabilmente ritornerà anche il virus.

  • Windows XP: per disabilitarlo andate in Pannello di controllo -> Sistema -> Ripristino configurazione di sistema, mettete la spunta sull’opzione Disattiva ripristino configurazione di sistema su tutte le unità e cliccate sul pulsante Applica, vi verrà mostrato un messaggio al quale dovete rispondere SI. Dopo aver cliccato sul SI il PC potrebbe essere lento in quanto sta cancellando i punti di ripristino salvati, portate pazienza ed aspettate.
  • Windows Vista: Andate in Pannello di controllo -> Sistema e selezionate la voce Protezione sistema che vedete sulla sinistra, sotto alla scritta Punti di ripristino automatici vedrete tutti i dischi per i quali è attivato il ripristino della configurazione, deselezionateli tutti e confermate la vostra scelta quando vi viene richiesto.

2. EFFETTUARE UNA SCANSIONE CON HIJACKTHIS:

HijackThis è una piccolissima utility sviluppata da TrendMicro che effettua una scansione del nostro computer, ma non è un antivirus, il programma si limita a stilare una lista di tutti i processi in esecuzione e delle voci di registro dove solitamente si annidano i virus. Tale lista (che in gergo tecnico si chiama Log) ci sarà utile per individuare il virus e capire come eliminarlo.

Quindi scaricate HijackThis, salvatelo ovunque volete (potete tranquillamente metterlo sul desktop) ed eseguitelo, il programma non necessita di installazione:

Cliccate quindi sul primo pulsante che vedete segnalato dalla freccia nell’immagine qui sopra, dopo una breve elaborazione si aprirà un file di testo (nella maggior parte dei casi si aprirà il blocco notes di Windows) che contiene il log della scansione.

Il log contiene diverse informazioni, come ad esempio tuti i processi che in quel momento sono in esecuzione (tra i quali potrebbe nascondersi il virus), tutti i programmi che partono automaticamente all’avvio di Windows, i servizi avviati, ed altri dati utili per stanare l’ospite indesiderato.

3. INDIVIDUARE IL VIRUS ATTRAVERSO L’ANALISI DEL LOG:

Questa è la parte più difficile che purtroppo non è sempre alla portata di tutti, se avete un virus è molto probabile che nel log eleborato da HijackThis siano le sue tracce, il caso più frequente è che sia uno tra i processi in esecuzione e che sia anche uno di quei processi che partono in automatico all’avvio di Windows.

Però il file di testo contiene molti strani nomi tra i quali è difficile districarsi, se tutte quelle righe non vi dicono molto vi consiglio di utilizzare un servizio gratuito che analizza il log creato da HijackThis, e tenta di segnalarvi le voci sospette.

Copiate quindi tutto il contenuto del file di testo che contiene il log, aprite questo sito ed incollatelo nella casella di testo presente al centro della pagina, cliccate in fine su Analizza. A questo punto il vostro log verrà analizzato e verranno evidenziate le voci sicure e quelle sospette:

In particolar modo dovete fare attenzione all’icona presente per ogni voce nella colonna Diagnosi, le voci che hanno un segno verde, un muretto rosso, ed uno scudo bianco non dovrebbero essere dei virus. Dovete invece individuare le voci che hanno una croce rossa o un punto interrogativo, la croce rossa significa che molto probabilmente l’elemento in questione è un virus, mentre il punto interrogativo sta ad indicare un elemento sconosciuto.

Se avete croci rosse senza punti interrogativi passate subito al capitoletto sucessivo di questa guida, se invece avete anche diversi punti interrogativi potete facilmente isolare le voci sospettei andando in fondo alla pagina e cliccando sul link Breve analisi:

Si aprirà una nuova pagina che contiene solo le voci identificate come virus (croce rossa) o quelle sconosciute (punto interrogativo). Ingrandite bene la finestra, dovrebbero comparirvi poche voci, bene, tra quegli elementi è probabile che si nasconda il virus.

A questo punto:

  1. Controllate la lista e scartate quelle voci che hanno il punto interrogativo ma si riferiscono a programmi conosciuti, installati sul vostro PC da tempo che sapete non essere dei virus.
  2. A questo punto vi rimangono delle voci che non vi dicono nulla, tali voci termineranno quasi sempre con il nome di un file eseguibile, come ad esempio C:\Documents and Settings…\GoogleUpdate.exe. Copiate il nome dei file eseguibili uno alla volta ed utilizzate ProcessLibrary per vedere di che porcessi si tratta, leggete questa guida per sapere come utilizzare ProcessLibrary.
  3. Per ogni processo analizzato da Process Library vi verrà detto di che programma si tratta e se è ritenuto un processo sicuro, escludete dalla lista quelli che risultano sicuri (semaforo verde).
  4. Vi rimangono dei processi che su Process Lybrary vengono identificati come pericolosi (semaforo rosso) o quelli dei quali non sono disponibili informazioni riguardanti la loro sicurezza (semaforo grigio), per questi ultimi cercate il loro nome su google, se non vi sono informazioni su di essi probabilmente sono dei virus.
  5. Stilate quindi la lista degli elementi da eliminare: Se ve ne erano, prendete quelli che avevano la croce rossa sul sito utilizzato per analizzare il log, prendete quelli che su ProcessLibrary vengono identificati come non sicuri, e prendete quelli che su ProcessLibrary e su Google non restituiscono nessun risultato. Questi, probabilmente, saranno gli elementi maligni da eliminare.

3. ELIMINARE IL VIRUS:

A questo punto avete la lista degli elementi da eliminare in quanto potrebbero essere dei virus, ritornate su HijackThis dove dovreste ancora avere la schermata successiva alla scansione e spuntate la checkbox alla sinistra di tutti gli elementi da eliminare precedentemente identificati:

Successivamente cliccate Sul pulsante Fix Checked e confermate l’eliminazione cliccando sul pulsante SI. Se non trovate tutte le voci da eliminare nella schermata di HijackThis significa che avete anche dei processi in esecuzione da terminare, per terminare quei processi potete utilizzare il Task Manager di Windows oppure Kill Process. Un volta che il virus è stato rimosso potete riabilitare il Ripristino configurazione di sistema di Windows.

CONCLUSIONI:

Mi rendo conto che purtroppo questa procedura non è alla portata di tutti, questo è dovuto alla grande parte di discrezionalità necessaria per individuare i componenti maligni. Tuttavia se l’antivirus non riesce a riconoscere il virus, quest’ultimo in qualche modo va eliminato, e se non volete spendere dei soldi chiamando un tecnico dovete farlo da soli.

Ovviamente questo non è l’unico modo per eliminare una possibile minaccia, e forse non è nemmeno il migliore, è semplicemente il metodo con il quale ho eliminato diversi virus su vari PC che non venivano rilevati dagli antivirus.


25 Commenti

  1. michele lan 14 settembre 2008
  2. F1News 15 settembre 2008
  3. carmelo 15 settembre 2008
  4. andrea 15 settembre 2008
  5. tommaso 17 settembre 2008
  6. Web Experiments 17 settembre 2008
  7. tommaso 17 settembre 2008
  8. Daniele 19 settembre 2008
  9. Web Experiments 19 settembre 2008
  10. tommaso 19 settembre 2008
  11. Tony 10 ottobre 2008
  12. claudio 21 ottobre 2008
  13. Pino 6 gennaio 2009
  14. salvatore 8 gennaio 2009
  15. Web Experiments 12 gennaio 2009
  16. Web Experiments 16 gennaio 2009
  17. salvatore 20 gennaio 2009
  18. pierluigi 19 marzo 2009
  19. [marco] 10 aprile 2009
  20. Teck90 1 agosto 2009
  21. Chiaro 18 ottobre 2009
  22. yui91 28 ottobre 2009
  23. claudio 29 gennaio 2010
  24. Web Experiments 6 febbraio 2010
  25. Luigi 1 ottobre 2011