Virus: Individuare e rimuovere le infezioni dal tuo computer

Luca Cicchinelli/ febbraio 6, 2017/ Security, Windows/ 0 comments

Come possiamo individuare ed eliminare, velocemente, un virus?
Magari utilizzando soltanto funzionalità di Windows, senza dover installare nessun software aggiuntivo?

Nel precedente articolo abbiamo analizzato quali sono i comportamenti tipici di un virus.

Come individuare un’infezione

Come abbiamo già accennato, l’aspetto più importante di un qualsiasi virus è la persistenza.

Nel caso di un trojan, un’infezione deve poter garantire un accesso continuo e duraturo al computer infettato.
Per quanto riguarda un malware, più tempo rimarrà sul computer e maggiori saranno i guadagni del creatore.

Come possiamo capire, è fondamentale che il computer venga infettato in modo perenne, o almeno per più tempo possibile.

Nel momento in cui avverrà l’infezione, il virus si assicurerà di essere avviato automaticamente ad ogni successivo avvio del computer, attraverso l’utilizzo di:

  • L’esecuzione automatica
  • Il registro di sistema

Sono entrambe funzionalità native di Windows, che possono essere sfruttate per ottenere un’infezione persistente.

Per recarci nei successivi percorsi ed eseguire i vari comandi, possiamo utilizzare l’Esegui di Windows.
Per avviarlo da tastiera utilizziamo: ⊞ + R

Esecuzione automatica

L’esecuzione automatica è semplicemente una cartella.
Tutti i file contenuti in essa vengono avviati, automaticamente, al momento dell’avvio di Windows.

Esistono due cartelle di esecuzione automatica differenti:

  1. Per un singolo utente
  2. Per tutti gli utenti

Per recarci al percorso della cartella di esecuzione automatica, dell’utente corrente, digitiamo:

%AppData%\Microsoft\Windows\Start Menu\Programs\Startup  

Percorso dell'esecuzione automatica

Percorso dell’esecuzione automatica

%AppData% è una macro.
Le macro sono delle stringhe, che Windows associa automaticamente a informazioni di vario genere.
Per averne una lista completa possiamo eseguire il comando set attraverso il Prompt dei comandi.

Prompt dei comandi: Esecuzione del comando set

Prompt dei comandi: Esecuzione del comando set

Nel mio caso%AppData% verrà interpretata come fosse C:\Users\Administrator\AppData\Roaming

In alternativa, per accedere alla cartella, possiamo utilizzare il comando shell:startup 

Esplorare l'esecuzione automatica

Esplorare l’esecuzione automatica

Per quanto riguarda la cartella di esecuzione automatica, comune per tutti gli utenti, il percorso è il seguente:

%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\StartUp

Oppure, possiamo utilizzare shell:common startup

Esplorare l'esecuzione automatica condivisa

Esplorare l’esecuzione automatica condivisa

Dobbiamo considerare che i file infetti potrebbero essere invisibili.
Per abilitare la visualizzazione dei file invisibili, potete seguire la guida ufficiale.

Registro di sistema

Nel caso in cui entrambe le cartelle di esecuzione automatica siano vuote, c’è comunque la possibilità che ci siano file eseguiti automaticamente all’avvio di Windows.
Questo è possibile attraverso l’utilizzo del registro di sistema (o Regedit).

In informatica, per registro di sistema ci si riferisce alla base di dati in cui sono custodite le opzioni e le impostazioni di un sistema operativo di tipo Microsoft Windows, e di tutte le applicazioni installate.

Nel registro di sistema troviamo alcuni percorsi destinati all’avvio automatico di file, al momento dell’accensione del computer.
Non mi dilungherò in spiegazioni riguardanti il funzionamento del registro di sistema, se voleste saperne di più potete approfondire recandovi sulla guida ufficiale.

Per avviarlo vi basterà utilizzare il comando regedit

Avvio registro di sistema

Avvio registro di sistema

Anche in questo caso, come che per l’esecuzione automatica, troviamo una differenziazione tra l’utente corrente e tutti gli utenti.

Per visualizzare le chiavi dei file eseguiti all’accesso dell’utente corrente, dobbiamo recarci nel seguente percorso:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Registro di sistema: HKEY_CURRENT_USER

Registro di sistema: HKEY_CURRENT_USER

Ogni chiave visualizzata, nella cartella Run, equivale ad un file eseguito all’avvio del computer.
Nel campo Dati troveremo il percorso del file.

Nel caso in cui volessimo visualizzare le chiavi dei file eseguiti all’accesso di qualsiasi utente, il procedimento è identico.
Varia soltanto il percorso in cui recarci:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Registro di sistema: HKEY_LOCAL_MACHINE

Registro di sistema: HKEY_LOCAL_MACHINE

Come rimuovere un virus

Dopo aver controllato l’esecuzione automatica ed il registro di sistema, aver rimosso eventuali file infetti e chiavi maligne, non ci resta molto altro da fare.

Gestione attività

Possiamo controllare la lista dei processi in esecuzione attraverso l’utilizzo della Gestione attività (o Task Manager).
Utilizziamo il comando taskmgr, oppure digitiamo CTRL+ALT+CANC per poi cliccare su Avvia Gestione Attività.

Avvio gestione attività

Avvio gestione attività

Nel caso di processi sospetti potrete googlare sperando di colmare i vostri dubbi, col rischio di alimentarli ed impazzire.
Cliccando con il tasto destro su un qualsiasi processo potremmo, oltre che terminarlo, recarci al percorso da cui ha origine.

Gestione attività in esecuzione

Se terminare il singolo processo non è abbastanza, possiamo decidere di chiudere anche tutti gli esecutivi avviati dal processo in questione, cliccando su Termina albero processi.
Questa funzionalità è molto utile in caso di virus con livelli di persistenza al di sopra del normale.

Utilità Configurazione di Sistema

Un altro tool, messo a disposizione da Windows, che potrebbe tornarci utile è l’Utilità Configurazione di Sistema (o msconfig).

Per avviarlo utilizziamo il comando msconfig

Attraverso di essa potremmo visualizzare, ed eventualmente disabilitare, i servizi attivi sul nostro computer.

Utilità Configurazione di Sistema in esecuzione

Utilità Configurazione di Sistema in esecuzione

Un’altra funzionalità rilevante è la possibilità di avviare il computer in modalità selettiva, così da escludere dall’avvio eventuali file malevoli.

Conclusione

Il fine di HOWORKS è quello di informare, non mi assumo nessuna responsabilità dell’uso che farete delle informazioni contenute in questo articolo.
Per qualsiasi dubbio potete contattarci utilizzando i commenti o le nostre pagine social.

Facci sapere cosa ne pensi con un commento!