Come eliminare un virus non riconosciuto dall’antivirus

Purtroppo ultimamente mi capita sempre più spesso, alcune persone chiedono il mio aiuto per eliminare dei virus dal loro PC, una volta individuato il virus scopro che l’antivirus non lo riconosce. Non solo, controllando il file incriminato con più di 30 antivirus diversi utilizzando Virus Total Nessuno di questi lo rileva come un programma maligno.

Quindi se vedete i classici segnali della presenza di un malware sul vostro PC (aperture di pagine web non richieste, strane toolbar, lentezza del pc) ma l’antivirus fà spallucce, dovete rimboccarvi le maniche e cercare di eliminarlo manualmente. Oggi vedremo uno dei possibili metodi per stanare ed eliminare un generico virus che non viene rilevato dai programmi antivirus.

1. DISABILITARE IL RIPRISTINO CONFIGURAZIONE DI SISTEMA:

Prima di eliminare il virus è bene disabilitare la funzionalità Ripristino configurazione di sistema di Windows, che molto spesso è utile, ma in questo caso se il sistema dovesse essere ripristinato per qualsiasi motivo ripristinerete anche il virus.

Questo passaggio non è obbligatorio, se non vi fidate a disabilitare il ripristino di configurazione in quanto avete paura di fare qualche “casino” e poi di non essere più in grado di ripristinare il tutto, lasciatelo pure, sappiate però che se ripristinate probabilmente ritornerà anche il virus.

Windows XP: per disabilitarlo andate in Pannello di controllo -> Sistema -> Ripristino configurazione di sistema, mettete la spunta sull’opzione Disattiva ripristino configurazione di sistema su tutte le unità e cliccate sul pulsante Applica, vi verrà mostrato un messaggio al quale dovete rispondere SI. Dopo aver cliccato sul SI il PC potrebbe essere lento in quanto sta cancellando i punti di ripristino salvati, portate pazienza ed aspettate.
Windows Vista: Andate in Pannello di controllo -> Sistema e selezionate la voce Protezione sistema che vedete sulla sinistra, sotto alla scritta Punti di ripristino automatici vedrete tutti i dischi per i quali è attivato il ripristino della configurazione, deselezionateli tutti e confermate la vostra scelta quando vi viene richiesto.

2. EFFETTUARE UNA SCANSIONE CON HIJACKTHIS:

HijackThis è una piccolissima utility sviluppata da TrendMicro che effettua una scansione del nostro computer, ma non è un antivirus, il programma si limita a stilare una lista di tutti i processi in esecuzione e delle voci di registro dove solitamente si annidano i virus. Tale lista (che in gergo tecnico si chiama Log) ci sarà utile per individuare il virus e capire come eliminarlo.

Quindi scaricate HijackThis, salvatelo ovunque volete (potete tranquillamente metterlo sul desktop) ed eseguitelo, il programma non necessita di installazione:

Cliccate quindi sul primo pulsante che vedete segnalato dalla freccia nell’immagine qui sopra, dopo una breve elaborazione si aprirà un file di testo (nella maggior parte dei casi si aprirà il blocco notes di Windows) che contiene il log della scansione.

Il log contiene diverse informazioni, come ad esempio tuti i processi che in quel momento sono in esecuzione (tra i quali potrebbe nascondersi il virus), tutti i programmi che partono automaticamente all’avvio di Windows, i servizi avviati, ed altri dati utili per stanare l’ospite indesiderato.

3. INDIVIDUARE IL VIRUS ATTRAVERSO L’ANALISI DEL LOG:

Questa è la parte più difficile che purtroppo non è sempre alla portata di tutti, se avete un virus è molto probabile che nel log eleborato da HijackThis siano le sue tracce, il caso più frequente è che sia uno tra i processi in esecuzione e che sia anche uno di quei processi che partono in automatico all’avvio di Windows.

Però il file di testo contiene molti strani nomi tra i quali è difficile districarsi, se tutte quelle righe non vi dicono molto vi consiglio di utilizzare un servizio gratuito che analizza il log creato da HijackThis, e tenta di segnalarvi le voci sospette.

Copiate quindi tutto il contenuto del file di testo che contiene il log, aprite questo sito ed incollatelo nella casella di testo presente al centro della pagina, cliccate in fine su Analizza. A questo punto il vostro log verrà analizzato e verranno evidenziate le voci sicure e quelle sospette:

In particolar modo dovete fare attenzione all’icona presente per ogni voce nella colonna Diagnosi, le voci che hanno un segno verde, un muretto rosso, ed uno scudo bianco non dovrebbero essere dei virus. Dovete invece individuare le voci che hanno una croce rossa o un punto interrogativo, la croce rossa significa che molto probabilmente l’elemento in questione è un virus, mentre il punto interrogativo sta ad indicare un elemento sconosciuto.

Se avete croci rosse senza punti interrogativi passate subito al capitoletto sucessivo di questa guida, se invece avete anche diversi punti interrogativi potete facilmente isolare le voci sospettei andando in fondo alla pagina e cliccando sul link Breve analisi:

Si aprirà una nuova pagina che contiene solo le voci identificate come virus (croce rossa) o quelle sconosciute (punto interrogativo). Ingrandite bene la finestra, dovrebbero comparirvi poche voci, bene, tra quegli elementi è probabile che si nasconda il virus.

A questo punto:

Controllate la lista e scartate quelle voci che hanno il punto interrogativo ma si riferiscono a programmi conosciuti, installati sul vostro PC da tempo che sapete non essere dei virus.
A questo punto vi rimangono delle voci che non vi dicono nulla, tali voci termineranno quasi sempre con il nome di un file eseguibile, come ad esempio C:\Documents and Settings…\GoogleUpdate.exe. Copiate il nome dei file eseguibili uno alla volta ed utilizzate ProcessLibrary per vedere di che porcessi si tratta, leggete questa guida per sapere come utilizzare ProcessLibrary.
Per ogni processo analizzato da Process Library vi verrà detto di che programma si tratta e se è ritenuto un processo sicuro, escludete dalla lista quelli che risultano sicuri (semaforo verde).
Vi rimangono dei processi che su Process Lybrary vengono identificati come pericolosi (semaforo rosso) o quelli dei quali non sono disponibili informazioni riguardanti la loro sicurezza (semaforo grigio), per questi ultimi cercate il loro nome su google, se non vi sono informazioni su di essi probabilmente sono dei virus.
Stilate quindi la lista degli elementi da eliminare: Se ve ne erano, prendete quelli che avevano la croce rossa sul sito utilizzato per analizzare il log, prendete quelli che su ProcessLibrary vengono identificati come non sicuri, e prendete quelli che su ProcessLibrary e su Google non restituiscono nessun risultato. Questi, probabilmente, saranno gli elementi maligni da eliminare.

3. ELIMINARE IL VIRUS:

A questo punto avete la lista degli elementi da eliminare in quanto potrebbero essere dei virus, ritornate su HijackThis dove dovreste ancora avere la schermata successiva alla scansione e spuntate la checkbox alla sinistra di tutti gli elementi da eliminare precedentemente identificati:

Successivamente cliccate Sul pulsante Fix Checked e confermate l’eliminazione cliccando sul pulsante SI. Se non trovate tutte le voci da eliminare nella schermata di HijackThis significa che avete anche dei processi in esecuzione da terminare, per terminare quei processi potete utilizzare il Task Manager di Windows oppure Kill Process. Un volta che il virus è stato rimosso potete riabilitare il Ripristino configurazione di sistema di Windows.

CONCLUSIONI:

Mi rendo conto che purtroppo questa procedura non è alla portata di tutti, questo è dovuto alla grande parte di discrezionalità necessaria per individuare i componenti maligni. Tuttavia se l’antivirus non riesce a riconoscere il virus, quest’ultimo in qualche modo va eliminato, e se non volete spendere dei soldi chiamando un tecnico dovete farlo da soli.

Ovviamente questo non è l’unico modo per eliminare una possibile minaccia, e forse non è nemmeno il migliore, è semplicemente il metodo con il quale ho eliminato diversi virus su vari PC che non venivano rilevati dagli antivirus.

Web Experiments, 14 settembre 2008.

Altri articoli correlati:

Commenti

24 commenti per “Come eliminare un virus non riconosciuto dall’antivirus”

Scritto da michele lan il 14 settembre, 2008 23:03

Bel articolo di ottima utilità
Scritto da F1News il 15 settembre, 2008 00:03

Grazie. Conoscevo la procedura ma mi hai tolto qualche piccolo dubbio nel finale.
Scritto da carmelo il 15 settembre, 2008 00:08

finalmente una cosa utile alla comunità
Scritto da andrea il 15 settembre, 2008 11:06

ottimo articolo, come sempre ti distingui per essere molto chiaro, conciso e concreto e soprattutto UTILE a tutti!!
Grazie
Scritto da tommaso il 17 settembre, 2008 13:36

ke cosa cambia se il ripristino delle configurazioni di sistema è attivo oppure no?
Scritto da Web Experiments il 17 settembre, 2008 18:16

Ciao tommaso, l’ho spiegato nell’articolo. Se non lo disattivi e poi per un qualunque motivo ripristini il sistema è probabile che venga ripristinato anche il virus.
Scritto da tommaso il 17 settembre, 2008 20:03

ah ok..penso ke seguirò questa guida xkè le pagine internet ke si aprono da sole sono proprio fastidiose!in ogni caso l’opzione ripristino del sistema è utile averla o non averla?cioè in quali circostanze si usa??grazie della disponibilità!
Scritto da Daniele il 19 settembre, 2008 20:09

Ottimo articolo, molto utile. Complimenti!!!
Scritto da Web Experiments il 19 settembre, 2008 20:49

Ciao Tommaso, Allora, in linea di massima è meglio abilitarla, però prima di rimuovere un virus io consiglio di disabilitarla. In sostanza la disabiliti prima di rimuovere il virus e la riabiliti subito dopo.
Scritto da tommaso il 19 settembre, 2008 23:40

ok allora seguirò questo consiglio..grazie mille web experiments!!
Scritto da Tony il 10 ottobre, 2008 11:41

Grazie a chiunque abbia messo a disposizione questa guida. E’ davvero molto efficace: sono riuscito a liberarmi in dieci minuti di un virus che mi dannava il pc da 2 settimane!!!
GRAZIE CHIUNQUE TU SIA!!!
SALUTI DA MESSINA.
Scritto da claudio il 21 ottobre, 2008 14:01

Il mio computer si accende normalmente ma dopo l’apparizione del logo XP viene bloccato da un trojan cosa devo fare?
Scritto da Pino il 6 gennaio, 2009 09:01

Veramente complimenti per la chiarezza e l’estrema
utilità dell’articolo.Volevo chiedere un chiarimento su
questo vostro passaggio: “Se non trovate tutte le voci da eliminare nella schermata di HijackThis significa che avete anche dei processi in esecuzione da terminare, per terminare quei processi potete utilizzare il Task Manager di Windows oppure Kill Process. ” Se ad esempio il virus è in internet explorer devo chiudere quel processo?
Grazie
Scritto da salvatore il 8 gennaio, 2009 16:56

ciao il mio computer dal 6 gennaio 2009 ha preso per la prima volta un virus.Come antivirus ho avast home edition poi ho anche un anti fyrewell zone alarm, e un anti spy spywerterminator.In pratica, e’ venuto fuori una icona allarme virus, quindi ho selezionato l’opzione blocca virus, qundi il mio antivirus lo ha riconosciuto ma non è stato in grado di bloccarlo.Poi mi veniva offerto un antivirus senza che io lo avessi chiesto, poi sulla parte destra in basso del monitor si apre una tendina ad ampiezza variabile con scritta “bloccato” più il percorso dei file, e questa ogni volta che accendo il computer si apre(ma deve essere l’antivirus),insomma di tutto di più sono disperato.
Ecco vorrei provare la tua procedura ma quando vado in rete non si riesce a caricare le pagine poi si aprono pagine bianche che non riesco a chiuderle aiuto grazie.
Scritto da Web Experiments il 12 gennaio, 2009 17:25

Ciao Pino, beh se internet explorer viene identificato come pericoloso significa che il file eseguibile è stato modificato o sostituito dal virus quindi si, va chiuso.
Scritto da Web Experiments il 16 gennaio, 2009 21:01

Ciao Salvatore, hai sicuramente il virus che parte in automatico all’avvio di Windows, vedi se riesci a rimuovere la sue esecuzione automatica con Autoruns.
Scritto da salvatore il 20 gennaio, 2009 16:26

Grazie della direttiva!!!!!!
Intanto facendo una ricerca in rete, ho scaricato un programmino ANTIMALAWEREBYTE(più o meno si scrive così) che mi ha risolto il problema.
In pratica mi ha fatto una scansione e dal file log e’ venuto fuori che si trattava di un malawere wundo(più o meno si scrive cosi’).
ciao
Salvatore
Scritto da pierluigi il 19 marzo, 2009 10:26

Un semplice grazie sincero vale più di mille parole ero oramai rassegnato a formattare. PLG
Scritto da [marco] il 10 aprile, 2009 13:20

grazie mille per l’articolo. molto utile e interessante come sempre. era da un po’ che non passavo e non sono rimasto deluso sfogliando le pagine del sito
ho eliminato 2 file che nessun antivirus/antispyware aveva mai mostrato.
Scritto da Teck90 il 1 agosto, 2009 20:11

Molta buona come guida.
Scritto da Chiaro il 18 ottobre, 2009 15:12

Ciao io ho seguito la tua procedura, ma purtroppo non riesco ad accedere ai siti degli antivirus z aggiornarli, sai aiutarmi??grazie
Scritto da yui91 il 28 ottobre, 2009 14:00

ciao guida molto bella ma il file che dovrei eliminare nn lo trovo nel hijackthis…come faccio per elinare quel file?
Scritto da claudio il 29 gennaio, 2010 17:42

ciao ho provato ha scaricare HijackThis,per fare 1 controllo ma qando lo installo mi dice che nn e’applicazione wind32 valida cosa devo fare?grazie anche se penso di avere 1 virus nel bios e’ possibile ?
Scritto da Web Experiments il 6 febbraio, 2010 21:29

Ciao claudio, no un virus nel bios è quasi impossibile, al limite puoi avere un virus sul pc che ti blocca l’esecuzione di HijackThis.