Rimozione Malware

Introduzione

Cosa sono i malware

In ambito informatico i malware (Malicious Software) sono dei programmi che in qualche modo arrecano danno, malfunzionamento o difficoltà di utilizzo del computer.

I malware vengono chiamati in modo diverso in base alla funzione dannosa che compiono una volta che infettano il computer vittima. Alcuni esempio sono virus, trojan, ransomware, adware, rootkit ecc... ognuno di essi ha delle caratteristiche che lo cottraddistingue.

L'importanza di un antivirus

Un primo passo fondamentale per cercare di difendere il proprio PC dai malware consiste nell'installare un antivirus. In commercio ce ne sono diversi tipi, molti dei quali sono disponibili in una versione sia a pagamento che gratuita (generalemnte la differenza tra questi due è che quelli a pagamento offrono protezioni aggiuntive rispetto a quelli gratuiti).

Avere un antivirus installato è molto importante in quanto ci offre una protezione per diversi tipi di malware che tentano di installarsi all'interno del computer senza il nostro consenso (ad esempio un malware può essere stato inserito all'interno di un programma lecito da un malintenzionato, a questo punto quando tenteremo di avviare l'installazione del programma lecito ecco che anche il malware verrà avviato e si insedierà nel PC). Grazie ad un antivirus aggiornato questa operazione può essere impedita e noi avremo scampato l'infezione del sistema che sicuramente ci avrebbe portato qualche tipo di danno.

Ogni giorno vengono scoperti nuovi malware e le relative soluzioni per eliminarli, per questo motivo è importantissimo avere un antivirus aggiornato costantemente. Generalmente tutti gli antivirus si aggiornano automaticamente a cadenza giornaliera se non oraria. Ricorda, avere un antivirus non aggiornato equivale al non averlo proprio installato se non addirittura peggio, infatti ci potrebbe dare un'illusione di sicurezza che invece non c'è.

Come si viene infettati dai malware

L'infezione da parte di un malware può avvenire in diversi modi, vediamo i principali:

- Cliccando su banner pubblicitari presenti in siti internet sconosciuti. Attenzione non tutti i banner pubblicitari sono malevoli, generalmente quelli dannosi li si riconosce perchè invitano il lettore a cliccarvici con la promessa di ricompense o con l'annuncio di vincita di qualche sorata di premio, ovviamente inesistente. Altri banner malevoli potrebbero essere quelli che tentano di essere cliccati per disattenzione (si cammuffano con pulsanti di download simili a quelli leciti, o compaiono dove è facile cliccarvici per sbaglio). Un esempio di banner fasullo potrebbe essere quello nell'immagine sottostante.

- Installando programmi piratati. In rete c'è la possibilità (illegale) di procurarsi svariati programmi piratati, spesso molto costosi. Non di rado questi programmi sono stati precedentemente infettati da virus e poi messi in rete per essere scaricati da ignare vittime che una volta installato il programma in questione si troveranno ad installare a loro insaputa anche un virus.

- Attraverso finte email. Può capitare di ricevere una mail che a prima vista sembra provenire da una fonte sicura che ci invita a cliccare su un link oppure ad inserire dati sensibili con qualche scusa. Un esempio spesso accaduto è quello relativo ad una mail fasulla da parte di un corriere che ci avvisa che un pacco destinato a noi non consegnato è in giacenza presso una fantomatica filiale e ci invita a cliccare su un link allegato alla mail per non pagare altrettante fantomatiche tasse di giacenza. Anche se non aspettiamo nessun pacco siamo attirati comunque a cliccare sul link, una volta fatto ciò ecco che veniamo collegati ad un sito internet che infetterà il nostro computer. Qui sotto puoi vedere un esempio di mail fasulla che invita a cliccare su un link.

Questi sono solo alcuni esempi di come il nostro computer può venire infettato da svariati malware, purtroppo ce ne sono molti altri, troppi per poterli elencare tutti.

Sintomi

Vediamo alcuni dei più comuni sintomi che ci potrebbero indicare la presenza di un malware all'interno del nostro PC. (Va precisato che sono sintomi ma non necessariamente cause, in base al caso potremo capire se effettivamente sono indicatori di presenza di malware).

Toolbar autoinstallate

Una toolbar è un componente che va ad aggiungersi al nostro browser di navigazione che se lecita può agevolare la nostra esperienza su internet ma se non è lecita può peggiorarla se non deviare la visita ad un sito su un altro. Le toolbar possono venire installate tramite programmi gratuiti scaricati dalla rete e non del tutto sicuri. Spesso l'installazione non voluta di questi componenti è accompagnata dalla modifica della pagina iniziale del browser e dal cambio di motore di ricerca predefinito, sostituito da un altro che restituirà risultati di ricerca tali da mandare l'utente su siti non desiderati.

Esempio per riconoscere una toolbar:

Pubblicità

Se durante la navigazione (ma certe volte anche durante l'utilizzo del PC non in internet) compare un ingente numero di pubblicità che ci rendono difficile la navigazione, con tutta probabilità siamo stati infettati da qualche malware.

Sistema rallentato

Anche se il sistema rallentato può essere la conseguenza di svariate problematiche una di queste potrebbe appunto essere la presenza di uno o più programmi malevoli che vengono eseguiti in background (senza che noi ce ne possiamo accorgere) e possono svolgere le più disparate operazioni senza il nostro consenso. Un malintenzionato che è riuscito ad infettare il nostro computer potrebbe prenderne possesso ed utilizzarlo per svolgere operazioni illecite come se lo stesse facendo proprio da casa nostra sul nostro PC senza destare in noi alcun sospetto, perchè appunto, i programmi da lui utilizzati lavorano in background, questo potrebbe causare un rallentamento delle prestazioni del sistema.

Fake antivirus

Simili a banner pubblicitari fasulli ci sono gli antivirus fasulli, ovvero fantomatici programmi che ci troviamo misteriosamente sul PC senza che li avessimo mai installati e che ogni tot tempo ci mostrano un messaggio in cui ci avvisano che il nostro computer è infetto e di cliccare su un pulsante per eseguire la scansione. In verità il malware è proprio quel messaggio che finge di metterci in guardia ma che se clicchiamo può fare altri danni oltra al fastidio di comparire.

Quindi è molto importante se ci si trova nel PC un antivirus mai installato che ci avverte di fantomatiche minacce da ripulire di non cliccare mai su alcun tasto ci possa proporre. Di seguito un esempio di finto antivirus.

Estensioni browser

I browser sono dotati di una funzione che permette di applicarvi delle estensioni che aumentano le funzionalità del browser stesso. Alcuni malware possono installare delle estensioni non desiderate e malevole, queste estensioni hanno spesso il compito di reindirizzare l'utente su siti diversi da quelli voluti o far comparire pubblicità indesiderate. In caso si notino comportamenti del genere probabilmente si è in presenza di un'estensione malevola.

Pagina iniziale modificata

Già vista in altri esempi più sopra (in quanto di solito si imposta con l'installazione di una toolbar indesiderata) la pagina iniziale modificata senza che noi abbiamo fatto nulla è un sintomo della presenza di un malware. Generalmente viene impostato un motore di ricerca diverso da quello predefinito che come risultati mostra siti a loro volta malevoli o che non centrano nulla con quello che stavamo cercando. Di seguito un esempio di motore di ricerca modificato.

Rimozione estensioni browser

Prima di passare alle scansioni malware vere e proprie vediamo come rimuovere manualmente le estensioni indesiderate che si possono installare sui principali browser. Per ognuno di essi viene indicata la procedura su come raggiungere la sezione contenente gli add-on e così eliminare quelli malevoli o indesiderati.

Chrome

Facciamo click sul pulsante con i 3 puntini verticali in alto a destra e dal menù a tendina che compare clicchiamo su "Impostazioni".

A questo punto facciamo click sulla voce "Estensioni" del menù a sinistra e una volta individuato l'add-on da eliminare clicchiamo sulla relativa icona del cestino.

Firefox

Facciamo click sul pulsante con le 3 lineette verticali in alto a destra e dal menù a tendina che compare clicchiamo sull'icona di "Componenti aggiuntivi".

A questo punto dal menù a sinistra selezioniamo la voce "Estensioni" e clicchiamo sul pulsante rimuovi relativo all'estensione indesiderata che vogliamo eliminare.

Internet Explorer

Facciamo click sul pulsante a forma di ingranaggio in alto a destra e clicchiamo su "Gestione componenti aggiuntivi".

Nella finestra che si apre nell'area denominata "Mostra" selezioniamo "Tutti i componenti aggiuntivi", i quali compariranno in una lista nella parte destra della finestra, non ci resta che selezionare con un click i componenti indesiderati e poi premere il pulsante "Disabilita"

Edge

Facciamo click sul pulsante con i 3 puntini orizzontali in alto a destra e dal menù a tendina che compare clicchiamo su "Estensioni".

Ora facciamo click con il pulsante destro del mouse sull'estensione indesiderata e dal menù a tendina che compare premiamo su "Disinstalla".

Reimpostazione pagina iniziale

Il procedimento per reimpostare la pagina iniziale è simile a quello per eliminare le estensioni, infatti dobbiamo fare click sul pulsante in alto a destra che abbiamo gia visto (quello con i 3 puntini, lineette o ingranaggio in base al browser che stiamo utilizzando) e cliccare dal menù la voce "Impostazioni" o "Opzioni". A questo punto non ci resta che individuare la sezione pagina iniziale, una volta trovata eliminiamo l'url indesiderato e inseriamo quello che vogliamo come pagina iniziale.

Scansioni anti-malware

Ora che sappiamo cosa sono i malware e i princiapali sintomi che comportano passiamo all'utilizzo di programmi per la disinfezione.

Come precedentemente detto ad inizio guida la cosa più importante da fare per prevenire un'eventuale infezione è installare un antivirus che si mantenga costantemente aggiornato. Tuttavia questo svariate volte non è sufficente per restare al sicuro, infatti se siamo noi a cliccare dove non dovremmo o siamo noi a visitare erroneamente qualche sito malevolo i malware possono superare la difesa dell'antivirus perchè con le nostre azioni è come se avessimo dato il conesnso ad un deteminato programma di avviarsi e quindi eccoci infettati nonostante un antivirus.

A questo punto la prima cosa da fare è lanciare una scansione manuale dell'intero sistema con l'antivirus installato, così facendo anche se il malware è riuscito a bypassare la protezione in real-time potrebbe venir rilevato in un secondo momento. Generalmente in tutti gli antivirus per eseguire una scansione manuale basta fare click con il pulsante destro del mouse sull'icona dell'antivirus che si trova in basso a destra vicino all'orologio di Windows e selezionare la voce "Scansiona Computer" o simile.

In alternativa per avviare la scansione basta fare doppioclick sull'icona dell'antivirus e trovare il pulsante direttamente nel pannello che si aprirà.

La seconda operazione da fare è munirci di un software antimalware da lanciare se abbiamo appunto il sospetto che nel nostro PC ci sia qualcosa che non va. A tal proposito un programma veloce, semplice e molto efficace da utilizzare si chiama ADW Cleaner (scaricabile anche nella sezione "Programmi Utili > Rimozione Malware" di questo sito). Vediamo come funziona:

Una volta scaricato, il programma non necessita di installazione per essere eseguito, quindi avviamolo. Ci si presenta una schermata molto intuitiva, non dobbiamo far altro che premere il pulsante "Scan" per avviare la ricerca di infezioni.

La scansione una volta avviata cercherà in vari settori del nostro sistema ed alla fine ci mostrerà gli eventuali risultati trovati in ognuna delle categorie di ricerca e ogni elemento verrà spuntato per la rimozione. Ora non ci resta che controllarli per verificare che non sia stato individuato qualche elemento che non è effettivamente malevolo, in tal caso rimuoviamo la spunta per non farlo eliminare da ADW Cleaner. Fatti tutti i controlli del caso premiamo il pulsante "Pulisci".

Un messaggio ci avviserà che per effettuare la pulizia verranno chiusi tutti i programmi aperti ed alla fine Windows verrà riavviato, premiamo su OK e attendiamo.

Al riavvio del PC si aprirà un documento di testo contenente il log delle operazioni compiute da ADW Cleaner. Chiudiamolo pure.

Volendo possiamo effettuare altre scansioni con software antimalware tipo ADW Cleaner ma se dopo il riavvio non notiamo più i sintomi rilevati potremmo aver risolto il problema. C'è un altro passo che possiamo comunque compiere per essere sicuri di non avere più componenti indesiderati e si tratta di utilizzare un software chiamato Hijackthis che vediamo nell'ultima parte della guida.

HiJackThis

Premessa: l'utilizzo del programma HiJackThis richiede che vi appoggiate a persone esperte perchè il programma produrrà un file di testo di difficile interpretazione se non siete del settore. Gli sviluppatori di HiJackThis forniscono uno strumento di analisi automatica del file di log prodotto ma se non si è sicuri di quel che si sta facendo è meglio appoggiarsi a personale competente. laboratorio-informatico.com non è responsabile di eventuiali malfunzionamenti del sistema causati da un uso scorretto del programma. Come detto più sopra se dopo la scansione non notate più sintomi di infezione con molta probabilità avete già risolto il problema, questa operazione quindi non è necessaria.

HiJackThis è un piccolo programma che non necessita di installazione. La sua funzione è quella di scansionare i vari settori del sistema Windows alla ricerca di eventuali istruzioni malevole inserite da malware. Dopo la scansione verrà creato un file di testo con il report del controllo di tutte le aree di interesse. Avviato il programma basta fare click sul pulsante "Do a system scan and save log file".

La scansione dura una manciata di secondi al termine dei quali ci viene presentato un report in file di testo e una lista di voci spuntabili all'interno del programma.

Esiste uno strumento creato dagli stessi sviluppatori di questo software che permette di analizzare il log prodotto che ci mostra quali elementi possono essere dannosi per il sistema. Lo troviamo qui sotto:

Copiando e incollando il log nel riquadro qui sopra e premendo "Analizza" ci verranno mostrati i risultati di ogni voce individuata con l'indicazione se si tratta di un elemento sospetto o meno, in questo modo si possono spuntare le voci sospette all'interno di HiJackThis ed infine risolvere o eliminare i problemi premendo il pulsante "Fix Checked" all'interno del programma.

E' molto importante non prendere iniziative e non spuntare voci senza sapere cosa si sta facendo perchè potremmo causare danni al sistema. Eventuali operazioni da compiere vanno eseguite sotto consulenza di personale esperto. (A tal proposito su internet si trovano forum riguardanti l'informatica in cui ci sono utenti esperti disposti a venire in aiuto nella lettura di questi file di log. Due esempi sono il forum di TomsHardware (www.tomshw.it/forum) e quello di HWupgrade (www.hwupgrade.it/forum).