Disclaimer per i contenuti del Blog


DISCLAIMER:Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità . Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L'autore non è responsabile per quanto pubblicato dai lettori nei commenti ad ogni post. Verranno cancellati i commenti ritenuti offensivi o lesivi dell’immagine o dell’onorabilità di terzi, di genere spam, razzisti o che contengano dati personali non conformi al rispetto delle norme sulla Privacy. Alcuni testi o immagini inserite in questo blog sono tratte da internet e, pertanto, considerate di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d'autore, vogliate comunicarlo via email. Saranno immediatamente rimossi. L'autore del blog non è responsabile dei siti collegati tramite link, del loro contenuto che può essere soggetto a variazioni nel tempo ne degli eventuali danni derivanti dall'utilizzo proprio od improprio delle informazioni presenti nei post.

martedì 15 ottobre 2013

Metodo generico di rimozione Malware

A partire da Windows XP Microsoft ha reso disponibile uno strumento chiamato "Ripristino configurazione sistema" che permette di riportare il computer allo stato di un precedente salvataggio. Questi salvataggi vengono normalmente eseguiti automaticamente dal sistema giornalmente ed in occasione dell'installazione degli aggiornamenti automatici (ma possono essere eseguiti anche manualmente e consiglio di di farlo sempre prima dell'installazione di drivers e simili) e consistono in una istantanea della configurazione del nostro computer.
Per poter sfruttare questa caratteristica allo scopo di rimuovere qualche malware dobbiamo però essere abbastanza sicuri della data in cui è successo il fattaccio, sperare che la funzionalità della quale ci andremo ad avvalere non sia stata disabilitata dal nostro ospite e che ci sia permesso di utilizzare il computer in modalità provvisoria con prompt dei comandi; ho scelto di eseguire il ripristino utilizzando questa modalità di avvio per generalizzare la procedura e renderla adatta anche a situazioni dove l'avvio in modalità standard non riesce o non permette l'interazione con il computer (vedi i vari Ransomware che bloccano il desktop, il task manager ed il menù avvio).

Come prima cosa avviamo il computer in modalità provvisoria con prompt dei comandi (istruzioni valide per Windows XP, Vista e Seven, mentre per Windows 8 la procedura è completamente diversa)  premendo ripetutamente il tasto F8 dopo l'accensione. In alcuni BIOS il tasto F8 viene utilizzato per selezionare la periferica dalla quale eseguire il BOOT; se questo è il nostro caso selezioniamo l'HD tra le periferiche proposte e immediatamente dopo la selezione premiamo ancora ripetutamente il tasto F8.
Se le cose sono state fatte bene dovrebbe comparire una finestra simile a quella di fig.1 (Windows XP in questo caso):
Fig.1
posizioniamo la barra bianca su Modalità provvisoria con prompt dei comandi e confermiamo con INVIO/ENTER, quindi selezioniamo, se richiesto, il sistema da avviare sempre posizionando la barra bianca e selezionando con INVIO/ENTER.
Dopo una breve fase di caricamento apparirà la finestra di Accesso a Windows, digitiamo l'eventuale password e click su OK. E' necessario che l'accesso sia effettuato con un account con privilegi di amministratore. Alla comparsa del prompt dei comandi digitiamo il comando C:\windows\system32\restore\rstrui.exe seguito dal tasto INVIO/ENTER per far partire il modulo che si incaricherà di ripristinare una precedente configurazione di sistema...

Fig.2
...selezioniamo Ripristina uno stato... e premiamo il tasto Avanti...

Fig.3
...selezioniamo dal calendario a sinistra (fig.3 punto 1) una data in grassetto sicuramente antecedente al fattaccio e dal box di destra (punto 2) uno dei possibili punti di ripristino, quindi Avanti...

Fig.4
...confermiamo la nostra volontà di ripristinare premendo il tasto Avanti...

Fig.5
...ed attendiamo pazienti la fine della procedura di ripristino. A riavvio terminato si ripresenterà la schermata con richiesta Nome e Password, digitiamo l'eventuale password e PRIMA DI PREMERE IL TASTO OK, premiamo sulla tastiera il tasto SHIFT e, mantenendolo premuto, facciamo click su OK alzando il dito dalla tastiera solo alla comparsa delle finestra di fig.6; questa procedura serve ad evitare che qualche programma o collegamento (buono o cattivo che sia) presente nelle cartelle di esecuzione automatica venga eseguito.

Fig.6
A questo punto il ripristino è terminato, non ci resta che premere OK ed eseguire IMMEDIATAMENTE una scansione completa del sistema con un buon antivirus. Quest'ultima fase è molto importante dal momento che il ripristino del registro di sistema avrà disabilitato l'esecuzione del malware tramite le chiavi di registro ma il codice malevolo è molto probabilmente ancora presente nel sistema sotto forma di file e va quindi cercato e rimosso. 

Avvertenze e controindicazioni

  • utilizzando questa procedura di ripristino molto probabilmente i programmi installati tra la data del punto utilizzato ed oggi non saranno più funzionanti
  • i malware che modificano il boot sector o la partition table NON possono essere rimossi con questo sistema
  • potrebbero non esistere punti di ripristino utilizzabili in quanto il malware potrebbe aver disabilitato il servizio che lo gestisce
  • alcuni malware non permettono l'avvio del computer in modalità provvisoria :-(

Buon lavoro...

Nessun commento:

Posta un commento