Homepage » come » Utilizzare Autoruns per pulire manualmente un PC infetto

    Utilizzare Autoruns per pulire manualmente un PC infetto

    Ci sono molti programmi anti-malware là fuori che puliranno il tuo sistema di fastidi, ma cosa succede se non sei in grado di usare un programma del genere? Autoruns, da SysInternals (recentemente acquisita da Microsoft), è indispensabile per rimuovere manualmente il malware.

    Ci sono alcuni motivi per cui potrebbe essere necessario rimuovere manualmente virus e spyware:

    • Forse non puoi sopportare l'esecuzione di programmi anti-malware affamati di risorse e invasive sul tuo PC
    • Potrebbe essere necessario pulire il computer di tua madre (o qualcun altro che non capisce che un grande cartello lampeggiante su un sito web che dice "Il tuo computer è infetto da un virus - clicca QUI per rimuoverlo" non è un messaggio che può essere necessariamente di fiducia)
    • Il malware è così aggressivo che resiste a tutti i tentativi di rimuoverlo automaticamente o non ti consente nemmeno di installare software anti-malware
    • Parte del tuo credo geek è la convinzione che le utility anti-spyware siano per i Wimp

    Autoruns è un'aggiunta preziosa per il toolkit di software di qualsiasi geek. Ti consente di tracciare e controllare tutti i programmi (e i componenti del programma) che si avviano automaticamente con Windows (o con Internet Explorer). Praticamente tutti i malware sono progettati per l'avvio automatico, quindi c'è una fortissima possibilità che possa essere rilevato e rimosso con l'aiuto di Autoruns.

    Abbiamo spiegato come usare Autoruns in un articolo precedente, che dovresti leggere se devi prima familiarizzare con il programma.

    Autoruns è una utility autonoma che non ha bisogno di essere installata sul tuo computer. Può essere semplicemente scaricato, decompresso ed eseguito (link sotto). Questo rende ideale per aggiungere alla tua collezione di utilità portatile sul tuo flash drive.

    Quando avvii Autoruns per la prima volta su un computer, ti viene presentato il contratto di licenza:

    Dopo aver accettato i termini, si apre la finestra principale di Autoruns, che mostra l'elenco completo di tutti i software che verranno eseguiti all'avvio del computer, quando si accede o quando si apre Internet Explorer:

    Per disabilitare temporaneamente un programma all'avvio, deseleziona la casella accanto alla sua voce. Nota: questo sì non terminare il programma se è in esecuzione al momento - si limita a impedirne l'avvio Il prossimo tempo. Per impedire in modo permanente l'avvio di un programma, eliminare completamente la voce (utilizzare il comando Elimina chiave, oppure fare clic con il tasto destro e scegliere Elimina dal menu di scelta rapida)). Nota: questo sì non rimuovi il programma dal tuo computer - per rimuoverlo completamente devi disinstallare il programma (o altrimenti cancellarlo dal tuo hard disk).

    Software sospetto

    Può richiedere un bel po 'di esperienza (leggi "prove ed errori") per diventare esperto nell'individuare cosa sia il malware e cosa no. La maggior parte delle voci presentate in Autoruns sono programmi legittimi, anche se i loro nomi non ti sono familiari. Ecco alcuni suggerimenti per aiutarti a differenziare il malware dal software legittimo:

    • Se una voce è firmata digitalmente da un editore di software (ad esempio, c'è una voce nel file Editore colonna) o ha una "Descrizione", quindi ci sono buone probabilità che sia legittimo
    • Se riconosci il nome del software, di solito è ok. Nota che occasionalmente il malware "impersonerà" software legittimo, ma adottando un nome identico o simile al software con cui hai familiarità (ad esempio "AcrobatLauncher" o "PhotoshopBrowser"). Inoltre, tieni presente che molti programmi malware adottano nomi generici o innocui, come "Diskfix" o "SearchHelper" (entrambi menzionati di seguito).
    • Le voci di malware di solito appaiono sul Accedere scheda di Autoruns (ma non sempre!)
    • Se apri la cartella che contiene il file EXE o DLL (più su questo sotto), esamini la data "ultima modifica", le date sono spesso degli ultimi giorni (supponendo che l'infezione sia abbastanza recente)
    • Il malware si trova spesso nella cartella C: \ Windows o nella cartella C: \ Windows \ System32
    • Il malware spesso ha solo un'icona generica (a sinistra del nome della voce)

    In caso di dubbi, fare clic con il tasto destro del mouse sulla voce e selezionare Cerca online ...

    L'elenco seguente mostra due voci sospette: DiskFix e SearchHelper

    Queste voci, evidenziate sopra, sono abbastanza tipiche delle infezioni da malware:

    • Non hanno né descrizioni né editori
    • Hanno nomi generici
    • I file si trovano in C: \ Windows \ System32
    • Hanno icone generiche
    • I nomi dei file sono stringhe casuali di caratteri
    • Se cerchi nella cartella C: \ Windows \ System32 e trovi i file, vedrai che sono alcuni dei file modificati più di recente nella cartella (vedi sotto)

    Facendo doppio clic sugli elementi si accede alle corrispondenti chiavi di registro:

    Rimozione del malware

    Una volta identificate le voci che ritieni sospette, ora devi decidere cosa vuoi fare con loro. Le tue scelte includono:

    • Disattiva temporaneamente la voce di esecuzione automatica
    • Elimina definitivamente la voce di esecuzione automatica
    • Individuare il processo in esecuzione (utilizzando Task Manager o simile) e terminarlo
    • Elimina il file EXE o DLL dal tuo disco (o almeno spostalo in una cartella dove non verrà avviato automaticamente)

    o tutto quanto sopra, a seconda di quanto sei sicuro che il programma sia malware.

    Per verificare se le modifiche sono state eseguite correttamente, è necessario riavviare il computer e controllare uno o tutti i seguenti elementi:

    • Autoruns - per vedere se la voce è tornata
    • Task Manager (o simile) - per vedere se il programma è stato riavviato dopo il riavvio
    • Controlla il comportamento che ti ha portato a credere che il tuo PC sia stato infettato in primo luogo. Se non succede più, è probabile che il tuo PC sia ora pulito

    Conclusione

    Questa soluzione non è per tutti ed è molto probabilmente destinata agli utenti avanzati. Solitamente l'uso di un'applicazione antivirus di qualità fa il trucco, ma se non è Autoruns è uno strumento prezioso nel tuo kit Anti-Malware.

    Tieni presente che alcuni malware sono più difficili da rimuovere rispetto ad altri. A volte hai bisogno di diverse iterazioni dei passaggi precedenti, con ogni iterazione che richiede di guardare più attentamente ogni voce di Autorun. A volte nell'istante in cui si rimuove la voce Autorun, il malware in esecuzione sostituisce la voce. Quando ciò accade, dobbiamo diventare più aggressivi nell'assassinio del malware, inclusi i programmi di chiusura (anche programmi legittimi come Explorer.exe) che sono stati infettati da DLL di malware..

    A breve pubblicheremo un articolo su come identificare, localizzare e terminare i processi che rappresentano programmi legittimi ma che eseguono DLL infette, in modo che quelle DLL possano essere eliminate dal sistema.

    Scarica Autoruns da SysInternals