AFFRONTIAMO VIRUS E SPYWARE Questa breve guida si prefigge l obiettivo di aiutare i meno esperti nella rimozione delle minacce presenti sul proprio pc, attraverso l esecuzione di operazioni standard che possono consentire l eliminazione della maggiorparte dei virus, spyware, adware, dialer, ecc... presenti sul proprio pc. Purtroppo non sempre queste operazioni sono sufficienti, e per questo, nel caso in cui dopo averle effettuate doveste continuare ad avere problemi, siete pregati di rivolgervi sul forum. Inoltre c'è da dire che le immagini e le procedure descritte si riferiscono a WindowsXP, ma che, con opportune modifiche le stesse operazioni possono essere eseguite anche sui sistemi operativi Microsoft precedenti. FASE 1: DISINSTALLAZIONE PROGRAMMI SCONOSCIUTI La prima operazione da effettuare è andare in start>impostazioni>pannello di controllo>installazione applicazioni e rimuovere tutti i software che non sono stati volontariamente installati (es Search Assistant, Slotch Bar, ISTbar, ecc...) FASE 2: RIMOZIONE DEL PUNTO DI RIPRISTINO Andate in start>impostazioni>pannello di controllo>sistema, cliccate sul tab "ripristino di configurazione di sistema", flaggate "disattiva Ripristino configurazione di sistema su tutte le unità", e cliccate su OK. Non dimenticate di ripristinare la creazione di punti di ripristino togliendo la spunta appena messa, al termine delle operazioni di rimozione dei malware FASE 3:DOWNLOAD PROGRAMMI Scaricate i seguenti software Ad Aware http://www.lavasoftusa.com/support/download/ Spybot Search&Destroy http://www.safer-networking.org/it/mirrors/index.html escan http://www.spywareinfo.dk/download/mwav.exe escancheck http://www32.brinkster.com/idontknowit/download/ Ccleaner http://www.ccleaner.com/ccdownload.asp FASE 4: INSTALLAZIONE E AGGIORNAMENTO Fatto ciò è arrivato il momento di installare ed aggiornare i software. 1) Ad aware. L installazione è molto semplice, è necessario cliccare 2 volte sul file eseguibile e seguire le istruzioni. Una volta installato è necessario aggiornarlo; per fare ciò aprite il programma e cliccate sull icona a forma di mondo in alto a destra
Nella nuova finestra cliccate su Al termine dell operazione cliccate su di spybot e se sono disponibili nuovi aggiornamenti cliccate su ok., chiudete il programma e passate all aggiornamento 2) Spybot search&destroy. Anche in questo caso l installazione non presenta difficoltà di alcun tipo. Per aggiornare il programma, apritelo e cliccate su (sulla sinistra). Nella nuova finestra cliccate su. Il programma si connetterà al server per rilevare la presenza di aggiornamenti, e successivamente ne renderà nota la presenza nella finestra in basso come nell immagine A questo punto sarà necessario selezionare tutti gli aggiornamenti trovati, e poi cliccare su. Fatto ciò, chiudete spybot 3) escan. Questo software non necessita di installazione. La prima operazione da effettuare è creare la cartella bases in C:. A questo punto sarà necessario cliccare 2 volte sul file scaricato (mwav.exe), e scegliere la cartella dove scompattarlo. Ovviamente voi dovrete scegliere C:\bases e cliccare su Unzip
Ora possiamo passare all aggiornamento. Per aggiornare le definizioni dei malware rilevati da escan è necessario cliccare 2 volte sul file kavupd.exe. Al termine dell aggiornamento sarà sufficiente premere un tasto per chiudere la finestra che si è aperta 4) escancheck. La procedura di installazione è del tutto simile a quella di escan; cliccate 2 volte sull archivio scaricato, e lo scompattate nella cartella c:\bases. Ora che abbiamo affilato le nostre armi, possiamo passare alla vera e propria rilevazione e rimozione delle minacce presenti sul nostro pc. FASE 5: RIAVVIO IN MODALITA PROVVISORIA Sarà NECESSARIO riavviare il nostro pc in modalità provvisoria. Per farlo, riavviate il pc e durante la fase di boot (accensione) premere ripetutamente F8 subito dopo il conteggio della ram, e quando vengono visualizzate una serie di voci tra le quali scegliere, selezionare modalità provvisoria
Non vi preoccupate se in modalità provvisoria il desktop vi apparirà con una risoluzione bassa e con dei colori diversi da quelli impostati, è tutto normale... FASE 6: SCANSIONE E RIMOZIONE MINACCE TROVATE A questo punto facciamo le scansioni con i programmi che abbiamo scaricato. Con Ad Adware, dopo aver avviato il programma, cliccate su, e cliccate su, selezionate la voce Alla fine della scansione selezionate tutte le voci (a meno che non siate assolutamente sicuri che si tratta di programmi innocui) cliccate su e poi date la conferma cliccando su OK. Aprite Spybot Search&Destroy e cliccate su. Al termine verranno indicate tutte le minacce rilevate. Spuntatele come nella figura (a meno che non siate certi che si tratta di programmi innocui)
cliccate su, date la conferma cliccando su OK e chiudete il programma. E arrivato il momento di usare escan. Aprite la cartella e cliccate 2 volte su file mwavscan.com. Nella finestra che si aprirà selezionare le opzioni di scansione come nella figura e cliccare su. Alla fine della scansione, tutte le voci sospette verranno segnalate nella casella virus log information ; mentre i virus verranno automaticamente rimossi, le altre minacce dovranno
essere rimosse manualmente se considerate come tali. A questo punto, avete 2 possibilità: potete agire da soli, oppure farvi aiutare da qualcuno del forum. Se scegliete questa seconda possibilità, procuratevi un elenco dei file sospetti rilevati da escan; per farlo selezionate il contenuto della casella virus log information, premete ctrl+c, aprite il blocco note, cliccate al suo interno con il tasto destro del mouse e scegliete incolla (o premete ctrl+v). Una volta salvato il file di testo, organizzate le singole voci in modo da disporle una sotto l altra. Le voci si presenteranno con una sintassi simile a questa "File C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. No Action Taken" Dovrete indicare anche il rapporto finale che si presenta così =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: =>Total Number of Disinfected Files: =>Total Number of Files Renamed: =>Total Number of Deleted Files: =>Total Number of Errors: ***** Scanning complete. ***** Una volta salvato il file di testo così creato, copiatene il contenuto e postatelo sul forum. Se invece volete procedere da soli, dopo la scansione cliccate su view log e salvate il file di testo generato (ricordatevi il nome ed il percorso in cui salvate il file) aprite escancheck e cliccate su Open escan log e aprite il file log da voi salvato in precedenza.
Selezionate i file che intendete eliminare, flaggate la casella delete all files on reboot e se volete anche make file-backup of the deleted files e restart immediately if necessary. Riavviato il pc (ancora una volta in modalità provvisoria), procedete con i passi successivi. FASE 7: RIMOZIONE FILE TEMPORANEI DI INTERNET Sempre rimanendo in modalità provvisoria avviate Ccleaner e assicuratevi che siano spuntate le voci relative ai file temporanei del browser che utilizzate A questo punto cliccate su temporanei. e nell arco di pochi secondi avrete cancellato i file FASE 8: SCANSIONE ON-LINE Avrete notato che non ho fatto riferimento agli antivirus già presenti sul vostro pc. Effettivamente, per rendere queste operazioni ancora più efficaci, l ideale sarebbe effettuare una scansione in modalità provvisoria anche con il proprio antivirus aggiornato. In ogni caso una operazione molto utile per rilevare i virus (in alcuni casi anche gli spyware) presenti sul proprio pc è una scansione on-line; questi sono gli indirizzi di alcuni siti che effettuano questa operazione http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/it/activescan_principal.htm http://bitdefender.com/scan/licence.php http://www.windowsecurity.com/trojanscan/ http://us.mcafee.com/root/mfs/default.asp?www_url=www.mcafee.com/myapps/mfs/default.asp http://www3.ca.com/securityadvisor/virusinfo/scan.aspx http://support.f-secure.com/enu/home/ols.shtml http://www.commandondemand.com/eval/index.cfm http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym Per effettuare queste operazioni, spesso è richiesto l utilizzo di internet explorer in quanto è necessaria l installazione di un controllo activex, quindi sappiate che nel caso in cui usiate browser alternativi che con questi potreste non riuscire ad effettuare queste operazioni. Al termine della scansione non
dimenticate di visualizzare e salvare i risultati; ad esempio dopo aver effettuato una scansione con Panda Scan cliccate su visualizza rapporto, e poi su salva rapporto Così facendo verrà salvato un rapporto in formato txt che potrete analizzare con calma per poter rimuovere facilmente le minacce rilevate. CONCLUSIONE Dopo aver effettuato queste operazioni, sarà molto probabile che i problemi riscontrati siano stati corretti. Tuttavia, come detto all inizio, non è sempre così, ed in questi casi sarà necessario farsi aiutare da utenti più esperti che vi guideranno nelle operazioni di rimozione avvalendosi di strumenti di diagnostica tra i quali hijackthis e lo script di silentrunners. Il mio consiglio è di non avventurarsi nell utilizzo di questi software se non si è sicuri di ciò che si fa in quanto si possono facilmente provocare danni al sistema, pertanto, per qualsiasi dubbio, chiedete pure sul forum. Jimmy