Quando un virus è attivo in un pc la prima cosa che fa è di preoccuparsi di disattivare i programmi per la sicurezza e l’antivirus per primi. Per questa ragione risulta evidente che per rimuovere un virus bisogna intervenire in modo diverso.
Come rimuovere manualmente un virus
Se si decide di intervenire con la rimozione manuale, bisogna tenere presente che si metterà mano nel registro quindi bisogna essere consapevoli dei rischi e di quello che si sta facendo. In genere un virus quando è attivo ha un processo in memoria e inserisce una chiave nel registro per autoattivarsi ad ogni avvio, quindi una volta tolta(e) questa chiave(vi) basta poi rimuovere i file inseriti dal virus e se presente disabilitare il System Restore presente in win Me e Win XP. La domanda che uno si fa è la seguente : Come riconosco il processo del virus e la chiave del registro? La risposta è semplice, basta visitare i siti della TrendMicro, Symantec, ecc e cercare il proprio virus presente. Per questa ragione ho inserito un motore di ricerca per virus della TrendMicro per rendere facile la ricerca del virus.
Come già detto se in un pc c'è un virus è presente un processo in memoria e chiavi nel registro. Supponiamo di essere infetti dal virus MsBlast.A ormai tanto famoso. Nelle informazioni della TrendMicro oltre a una introduzione del virus con le caratteristiche è presente la sezione Solution:
Qui vengono esposti i due metodi di disinfestazione, il primo (AUTOMATIC REMOVAL INSTRUCTIONS) attraverso il Tool Trend Microcleaner e il secondo attraverso una rimozione manuale (MANUAL REMOVAL INSTRUCTIONS). I passi che si compiono nella rimozione manuale sono sempre gli stessi, cambiano solo gli attori cioè i virus ma anche se non si comprende bene l'inglese una volta capito il procedimento per gli altri virus il metodo è lo stesso:
Nella rimozione manuale Trend Micro inizia così:
Terminating the Malware Program
This procedure terminates the running malware process from memory.
Open Windows Task Manager, press
CTRL+SHIFT+ESC, and click the Processes tab.
In the list of running programs, locate the process:
MSBLAST.EXE
Select the malware process, then press the End Process button.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager
In Italiano :
Terninare il processo del virus
Aprire Windows Task Manager, premere
CTRL+SHIFT+ESC, e click sulla scheda dei Processi.
Nella lista dei processi in esecuzione individuare il processo del virus:
MSBLAST.EXE
Selezionare il processo del virus, poi premere il bottone Termina Processo.
Per verificare se il processo del virus è terminato chiudere il Task manager e riaprirlo nuovamente.
Chiudere Task Manager
Nota : Windows 98/Me non permettono di vedere tutti i processi nel Task manager quindi è necessario utilizzare un programma di terza parti come ProceXP9x
Passo successivo:
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing during startup.
Open Registry Editor. To do this, click Start>Run, type Regedit, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
"windows auto update" = MSBLAST.EXE
Close Registry Editor.
NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.
Rimozione delle chiavi nel registro per l'Autostart del virus
Rimuovere le chiavi nel registro del virus evita che questo non venga caricato all'avvio di Windows.
Aprire l'editor del Registro. Per fare questo click Start ->Esegui, digitare Regedit, e premere Enter.
Nel pannello di sinistra selezionare il percorso seguente:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
Nel pannello di destra individuare e cancellare la voce:
"windows auto update" = MSBLAST.EXE
Chiudere l'editor del registro.
NOTE: Se non si è potuto terminare il processo del virus (succede), come descritto nella precedente procedura, riavviare il sistema (questo perché tolta la chiave di avvio il virus non sarà presente anche se il file (virus) è nel sistema).
Note della Trend Micro:
Additional Windows ME/XP Cleaning Instructions
Quello segnalato nel link è la procedura per disattivare il System Restore o Ripristino della configurazione del sistema. Nella sezione Tool rimozione Virus è spiegato il procedimento. Per Windows XP/Me va fatto perché una copia del virus è presente nel System Restore e gli antivirus non hanno il permesso di accedere.
Rimane ora da cancellare il o i file del virus :
Running Trend Micro Antivirus
Scan your system with Trend Micro antivirus and delete all files detected as WORM_MSBLAST.A. To do this, Trend Micro customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, Trend Micro’s free online virus scanner.
Eseguire Trend Micro Antivirus (o altro antivirus)
Eseguire una scansione del proprio sistema e cancellare tutti i file trovati come WORM_MSBLAST.A. Per fare questo aggiornare l'antivirus con le ultime firme pattern file e avviare la scansione. Ovviamente se l'antivirus usato è un altro bisogna comunque aggiornare il proprio antivirus. Gli utenti che non hanno un antivirus possono usare una scansione on line attraverso il servizio: free online virus scanner.
Molte volte (come per questo virus) i virus usano vulnerabilità presenti nel proprio sistema operativo che vengono rimosse da opportune patch. Trend Micro segnala questo:
Applying Patches
TrendLabs advises all affected users to apply the patch issued by Microsoft at the following page:
Microsoft Security Bulletin MS03-026
TrendLabs also asks users to filter access to port 135 and allow trusted and internal sites only.
Quello che si deve fare è scaricare la patch dal sito della Microsoft è installarla.
Quello descritto nei passaggi precedenti vale praticamente per quasi tutti virus, quello che cambia è solo il nome del processo del virus e il nome della chiave nel registro anche se qualche volta la chiave può essere più di una (2-3) e in una posizione differente. Comunque la scaletta precedentemente descritta per la rimozione manuale può essere utile per imparare ad rimuovere i virus manualmente.
TO: Elisa