Come eliminare un virus non riconosciuto dall’antivirus
Scritto il 14 Settembre 2008 da Web Experiments,
Purtroppo ultimamente mi capita sempre più spesso, alcune persone chiedono il mio aiuto per eliminare dei virus dal loro PC, una volta individuato il virus scopro che l’antivirus non lo riconosce. Non solo, controllando il file incriminato con più di 30 antivirus diversi utilizzando Virus Total Nessuno di questi lo rileva come un programma maligno.
Quindi se vedete i classici segnali della presenza di un malware sul vostro PC (aperture di pagine web non richieste, strane toolbar, lentezza del pc) ma l’antivirus fà spallucce, dovete rimboccarvi le maniche e cercare di eliminarlo manualmente. Oggi vedremo uno dei possibili metodi per stanare ed eliminare un generico virus che non viene rilevato dai programmi antivirus.
1. DISABILITARE IL RIPRISTINO CONFIGURAZIONE DI SISTEMA:
Prima di eliminare il virus è bene disabilitare la funzionalità Ripristino configurazione di sistema di Windows, che molto spesso è utile, ma in questo caso se il sistema dovesse essere ripristinato per qualsiasi motivo ripristinerete anche il virus.
Questo passaggio non è obbligatorio, se non vi fidate a disabilitare il ripristino di configurazione in quanto avete paura di fare qualche “casino” e poi di non essere più in grado di ripristinare il tutto, lasciatelo pure, sappiate però che se ripristinate probabilmente ritornerà anche il virus.
- Windows XP: per disabilitarlo andate in Pannello di controllo -> Sistema -> Ripristino configurazione di sistema, mettete la spunta sull’opzione Disattiva ripristino configurazione di sistema su tutte le unità e cliccate sul pulsante Applica, vi verrà mostrato un messaggio al quale dovete rispondere SI. Dopo aver cliccato sul SI il PC potrebbe essere lento in quanto sta cancellando i punti di ripristino salvati, portate pazienza ed aspettate.
- Windows Vista: Andate in Pannello di controllo -> Sistema e selezionate la voce Protezione sistema che vedete sulla sinistra, sotto alla scritta Punti di ripristino automatici vedrete tutti i dischi per i quali è attivato il ripristino della configurazione, deselezionateli tutti e confermate la vostra scelta quando vi viene richiesto.
2. EFFETTUARE UNA SCANSIONE CON HIJACKTHIS:
HijackThis è una piccolissima utility sviluppata da TrendMicro che effettua una scansione del nostro computer, ma non è un antivirus, il programma si limita a stilare una lista di tutti i processi in esecuzione e delle voci di registro dove solitamente si annidano i virus. Tale lista (che in gergo tecnico si chiama Log) ci sarà utile per individuare il virus e capire come eliminarlo.
Quindi scaricate HijackThis, salvatelo ovunque volete (potete tranquillamente metterlo sul desktop) ed eseguitelo, il programma non necessita di installazione:
Cliccate quindi sul primo pulsante che vedete segnalato dalla freccia nell’immagine qui sopra, dopo una breve elaborazione si aprirà un file di testo (nella maggior parte dei casi si aprirà il blocco notes di Windows) che contiene il log della scansione.
Il log contiene diverse informazioni, come ad esempio tuti i processi che in quel momento sono in esecuzione (tra i quali potrebbe nascondersi il virus), tutti i programmi che partono automaticamente all’avvio di Windows, i servizi avviati, ed altri dati utili per stanare l’ospite indesiderato.
3. INDIVIDUARE IL VIRUS ATTRAVERSO L’ANALISI DEL LOG:
Questa è la parte più difficile che purtroppo non è sempre alla portata di tutti, se avete un virus è molto probabile che nel log eleborato da HijackThis siano le sue tracce, il caso più frequente è che sia uno tra i processi in esecuzione e che sia anche uno di quei processi che partono in automatico all’avvio di Windows.
Però il file di testo contiene molti strani nomi tra i quali è difficile districarsi, se tutte quelle righe non vi dicono molto vi consiglio di utilizzare un servizio gratuito che analizza il log creato da HijackThis, e tenta di segnalarvi le voci sospette.
Copiate quindi tutto il contenuto del file di testo che contiene il log, aprite questo sito ed incollatelo nella casella di testo presente al centro della pagina, cliccate in fine su Analizza. A questo punto il vostro log verrà analizzato e verranno evidenziate le voci sicure e quelle sospette:
In particolar modo dovete fare attenzione all’icona presente per ogni voce nella colonna Diagnosi, le voci che hanno un segno verde, un muretto rosso, ed uno scudo bianco non dovrebbero essere dei virus. Dovete invece individuare le voci che hanno una croce rossa o un punto interrogativo, la croce rossa significa che molto probabilmente l’elemento in questione è un virus, mentre il punto interrogativo sta ad indicare un elemento sconosciuto.
Se avete croci rosse senza punti interrogativi passate subito al capitoletto sucessivo di questa guida, se invece avete anche diversi punti interrogativi potete facilmente isolare le voci sospettei andando in fondo alla pagina e cliccando sul link Breve analisi:
Si aprirà una nuova pagina che contiene solo le voci identificate come virus (croce rossa) o quelle sconosciute (punto interrogativo). Ingrandite bene la finestra, dovrebbero comparirvi poche voci, bene, tra quegli elementi è probabile che si nasconda il virus.
A questo punto:
- Controllate la lista e scartate quelle voci che hanno il punto interrogativo ma si riferiscono a programmi conosciuti, installati sul vostro PC da tempo che sapete non essere dei virus.
- A questo punto vi rimangono delle voci che non vi dicono nulla, tali voci termineranno quasi sempre con il nome di un file eseguibile, come ad esempio C:\Documents and Settings…\GoogleUpdate.exe. Copiate il nome dei file eseguibili uno alla volta ed utilizzate ProcessLibrary per vedere di che porcessi si tratta, leggete questa guida per sapere come utilizzare ProcessLibrary.
- Per ogni processo analizzato da Process Library vi verrà detto di che programma si tratta e se è ritenuto un processo sicuro, escludete dalla lista quelli che risultano sicuri (semaforo verde).
- Vi rimangono dei processi che su Process Lybrary vengono identificati come pericolosi (semaforo rosso) o quelli dei quali non sono disponibili informazioni riguardanti la loro sicurezza (semaforo grigio), per questi ultimi cercate il loro nome su google, se non vi sono informazioni su di essi probabilmente sono dei virus.
- Stilate quindi la lista degli elementi da eliminare: Se ve ne erano, prendete quelli che avevano la croce rossa sul sito utilizzato per analizzare il log, prendete quelli che su ProcessLibrary vengono identificati come non sicuri, e prendete quelli che su ProcessLibrary e su Google non restituiscono nessun risultato. Questi, probabilmente, saranno gli elementi maligni da eliminare.
3. ELIMINARE IL VIRUS:
A questo punto avete la lista degli elementi da eliminare in quanto potrebbero essere dei virus, ritornate su HijackThis dove dovreste ancora avere la schermata successiva alla scansione e spuntate la checkbox alla sinistra di tutti gli elementi da eliminare precedentemente identificati:
Successivamente cliccate Sul pulsante Fix Checked e confermate l’eliminazione cliccando sul pulsante SI. Se non trovate tutte le voci da eliminare nella schermata di HijackThis significa che avete anche dei processi in esecuzione da terminare, per terminare quei processi potete utilizzare il Task Manager di Windows oppure Kill Process. Un volta che il virus è stato rimosso potete riabilitare il Ripristino configurazione di sistema di Windows.
CONCLUSIONI:
Mi rendo conto che purtroppo questa procedura non è alla portata di tutti, questo è dovuto alla grande parte di discrezionalità necessaria per individuare i componenti maligni. Tuttavia se l’antivirus non riesce a riconoscere il virus, quest’ultimo in qualche modo va eliminato, e se non volete spendere dei soldi chiamando un tecnico dovete farlo da soli.
Ovviamente questo non è l’unico modo per eliminare una possibile minaccia, e forse non è nemmeno il migliore, è semplicemente il metodo con il quale ho eliminato diversi virus su vari PC che non venivano rilevati dagli antivirus.
Leggi gli altri articoli che parlano di: Privacy e Sicurezza
Altri articoli correlati:
- Come trovare ed eliminare i virus di Live Messenger con MSNCleaner
- Controllare i file sospetti con 30 antivirus diversi
- Come sapere quali contatti ti hanno nella loro lista di msn messenger
- Come eliminare un file bloccato da un programma in esecuzione
- Blocca email e contatto di una persona in Msn Live Messenger
- Proteggersi dai virus impedendo le modifiche al registro di sistema
- Guarda! Puoi vincere un iPhone! si…ma prima scaricati il virus
- L’antivirus ed il firewall bastano per rendere sicuro il nostro PC?
- Un’altra falsa Email dove vi promettono un risarcimento di 1000 Euro
Commenti
12 commenti per “Come eliminare un virus non riconosciuto dall’antivirus”
Scrivi un commento
Bel articolo di ottima utilità
Grazie. Conoscevo la procedura ma mi hai tolto qualche piccolo dubbio nel finale.
finalmente una cosa utile alla comunità
ottimo articolo, come sempre ti distingui per essere molto chiaro, conciso e concreto e soprattutto UTILE a tutti!!
Grazie
ke cosa cambia se il ripristino delle configurazioni di sistema è attivo oppure no?
Ciao tommaso, l’ho spiegato nell’articolo. Se non lo disattivi e poi per un qualunque motivo ripristini il sistema è probabile che venga ripristinato anche il virus.
ah ok..penso ke seguirò questa guida xkè le pagine internet ke si aprono da sole sono proprio fastidiose!in ogni caso l’opzione ripristino del sistema è utile averla o non averla?cioè in quali circostanze si usa??grazie della disponibilità!
Ottimo articolo, molto utile. Complimenti!!!
Ciao Tommaso, Allora, in linea di massima è meglio abilitarla, però prima di rimuovere un virus io consiglio di disabilitarla. In sostanza la disabiliti prima di rimuovere il virus e la riabiliti subito dopo.
ok allora seguirò questo consiglio..grazie mille web experiments!!
Grazie a chiunque abbia messo a disposizione questa guida. E’ davvero molto efficace: sono riuscito a liberarmi in dieci minuti di un virus che mi dannava il pc da 2 settimane!!!
GRAZIE CHIUNQUE TU SIA!!!
SALUTI DA MESSINA.
Il mio computer si accende normalmente ma dopo l’apparizione del logo XP viene bloccato da un trojan cosa devo fare?