Ulteriori procedure per la rimozione di file problematici

  • ID dell'articolo: 14443
  • Aggiornato: 02 feb 2012

Anche se spesso è possibile rimuovere le minacce in maniera centralizzata da Enterprise Console, oppure localmente con Sophos Anti-Virus o uno scanner da riga di comando come SAV32CLI, talvolta il problema persiste.

Queste istruzioni presuppongono che il computer interessato esegua Windows 2000, Windows XP o Windows 2003; tuttavia molte fasi della procedura sono simili anche per Windows 95/98/Me e Windows NT. La metodologia è simile anche per altri sistemi operativi.

In questo articolo il termine "trojan" viene utilizzato per includere qualsiasi worm, virus, trojan o altra applicazione indesiderata che si riveli difficile da rimuovere.

Procedura

Durante la rimozione dei trojan da un computer infetto, utilizzare un computer non intaccato per ricerche online, scaricare utilità, ecc. Salvare i tool su floppy disk o CD, e proteggerli da scrittura; su un CD, chiudere la sessione prima di inserirlo nel computer infetto.

1. Trojan sopravvissuto o nuovo caso di infezione?

Prima di tutto è necessario scoprire se si tratta di un nuovo attacco esterno o se il trojan è in qualche modo sopravvissuto alla scansione del computer. Leggere le analisi dei virus per possibili indizi sul problema e verificare quanto segue:

  1. Il computer è connesso a Internet?
  2. Il computer è connesso alla rete locale (LAN)?
  3. Sono state rimosse o disabilitate le schede di rete wireless?
  4. Al computer sono collegate schede USB, unità rimovibili o altre periferiche dotate di memoria?
  5. È stato verificato che nelle unità non siano presenti CD o floppy disk?

Disconnettere il computer da tutte le reti, inclusa Internet, e rimuovere qualsiasi scheda, unità, disco e periferica. Eseguire nuovamente la scansione. Se il trojan viene rimosso, accertarsi che il computer sia dotato delle patch più recenti e che il software di sicurezza sia aggiornato. Vedere il paragrafo Ritorno al normale utilizzo del computer.

Qualora il computer fosse già completamente isolato da altri computer e supporti esterni ma rimanesse infetto dopo il riavvio, o nel caso in cui non sia possibile rimuovere i file in Modalità provvisoria con prompt dei comandi, passare direttamente al punto 5.

2. Scheda USB o unità rimovibile

È possibile che la fonte di infezione si trovi su supporti che non sono stati sottoposti a scansione, e che l'accesso a tali supporti avvenga all'avvio del computer. Fra i supporti da controllare sono incluse le schede USB e le unità rimovibili. Per essere completamente sicuri, disconnettere anche telefoni cellulari, macchine fotografiche digitali, stampanti e altre periferiche dotate di memoria.

  • Rimuovere il supporto.
  • Effettuare una nuova scansione.
  • Verificare se il computer viene nuovamente infettato dopo il riavvio.
  • In caso contrario, riformattare la scheda o unità interessata, oppure effettuarne la disinfezione su un computer diverso. Ove possibile, utilizzare un computer con un sistema operativo diverso, ad es. un Mac.

Se il problema sembra essere un altro supporto, riavviarlo. Controllare quindi qualsiasi scheda di memoria ecc. da esso utilizzata. Effettuare il backup dei dati contenuti nella scheda (ad es. foto su CD), e riformattare la scheda di memoria.

Telefoni, macchine fotografiche, ecc. non possono essere infettate dal trojan, in quanto fungono da "vettori" immuni. Potete quindi svolgere il backup dei dati in tutta tranquillità.

Se il trojan viene rimosso, accertarsi che il computer sia dotato delle patch più recenti e che il software di sicurezza sia aggiornato. Vedere il paragrafo Ritorno al normale utilizzo del computer.

3. Rete locale

Se sono presenti altri computer nella rete, verificare su di essi la presenza di eventuali trojan. Accertarsi di effettuare la scansione delle cartelle e delle directory condivise utilizzate da altri computer, come ad es. le cartelle condivise su Mac, condivisioni Samba su computer Linux, oppure condivisioni NetWare.

Se il trojan viene rimosso, accertarsi che il computer sia dotato delle patch più recenti e che il software di sicurezza sia aggiornato. Vedere il paragrafo Ritorno al normale utilizzo del computer.

4. Nuova infezione da Internet

Se sembra che l'infezione provenga da Internet e sia giunta tramite scheda wireless o cavo, è necessario bloccare la fonte di infezione prima di riconnettersi a Internet.

  • Schede e reti wireless
    È necessario sottoporre la rete a un controllo di sicurezza completo. Per prima cosa, modificare nome utente e password del router, accertandosi di utilizzare una password sicura. Consultare la documentazione del sistema wireless utilizzato, il sito di Microsoft e Internet per consigli su come incrementare le difese della rete wireless. È un ambito in continua e rapida evoluzione. Utili termini di ricerca possono essere "wireless", "sicurezza" e "wi-fi".
  • Connessioni Internet
    Se il computer subisce un nuovo attacco da Internet, verificare il livello di sicurezza della connessione Internet. Oltre al software antivirus, è necessario utilizzare un firewall, in particolar modo con connessioni "sempre attive", quali ADSL o altri sistemi a banda larga. Utilizzare il personal firewall di un software, oppure un router che funga anche da firewall. Evitare firewall/router con rete wireless a meno che tale funzionalità non sia essenziale.

Se un browser hijacker ha infettato il computer, un'alternativa è installare un browser Web diverso prima di utilizzare nuovamente Internet. In tale evenienza evitare di importare impostazioni e pagine salvate.

Vedere qui di seguito per ulteriori consigli su come neutralizzare gli effetti dei browser hijacker.

5. Problemi presenti nel computer locale

Se il file problematico si trova nel computer locale, bisogna scoprire se ciò è perché è impossibile rimuoverlo, oppure se il file si rigenera.

Prima di seguire i consigli forniti:

  • Ove possibile, effettuare il backup di tutti i dati (documenti, fogli elettronici, fotografie, rubriche di indirizzi e-mail, ecc,) su CD o altro supporto.
  • Stampare la descrizione completa (inclusa la sezione avanzata) dell'analisi della minaccia in questione.

Potrebbe essere più veloce svolgere il backup completo dei dati e ripristinare il computer, piuttosto che invertire tutti gli effetti di un trojan. Consultare il paragrafo Reinstallazione di Windows.

  1. Quando si esegue una scansione con SAV32CLI in Modalità provvisoria con prompt dei comandi, viene rilevato il trojan? Se la risposta è negativa, passare al punto 7.
  2. Se il trojan viene rilevato, è possibile eliminare il file? Se la risposta è negativa, passare al punto 6.
  3. Se i file sono stati rimossi ma il problema è ancora presente, andare al punto 8.

Per ulteriori informazioni su come utilizzare la Modalità provvisoria con prompt dei comandi, leggere Comandi DOS di base.

6. File impossibili da eliminare

Qualora non fosse possibile eliminare il file in Modalità provvisoria con prompt dei comandi, significa che il file è tenuto aperto dal sistema operativo, oppure che si trova nel Ripristino configurazione di sistema.

Su Windows XP o Windows Me, è possibile ripulire il Ripristino configurazione di sistema dal prompt dei comandi.

Può essere possibile rimuovere i file manualmente dalla Console di ripristino di Windows:

In alternativa, in determinate circostanze è possibile impedire l'esecuzione del file durante l'avvio del computer. Consultare le informazioni sulle voci del registro di sistema qui di seguito.

7. File non rilevato

I file contenenti minacce sono solitamente file eseguibili (programmi). Esistono tuttavia alcuni stratagemmi che vengono utilizzati per convertire un file in file eseguibile prima della sua esecuzione. Se la scansione alla ricerca di file eseguibili in Modalità provvisoria con prompt dei comandi non rileva il file contenente la minaccia, provare a effettuare una scansione di "tutti i file" che non elimini immediatamente alcun elemento.

Per eseguire la scansione con log di "tutti i file" tramite SAV32CLI, digitare

SAV32CLI -ALL -P=C:\LOGFILE1.TXT

Prestare estrema attenzione se si decide di rimuovere file in seguito alla scansione di "tutti i file". Si potrebbero infatti rimuovere intere caselle di posta con una sola e-mail infetta, oppure file compressi contenenti un solo file infetto fra molti altri. Inoltre, è poco probabile che questi file siano la fonte di infezione. Per rimuovere tutti i file di log con la scansione di "tutti i file", digitare:

SAV32CLI -ALL -REMOVE -P=C:\LOGFILE2.TXT

Per ulteriori informazioni su come utilizzare SAV32CLI, consultare l'articolo Opzioni di scansione con SAV32CLI.

Una volta eliminato il file, è comunque consigliabile identificarne l'origine. Si ridurranno così i rischi di una nuova infezione. Vedere qui di seguito.

8. Come rimuovere le voci del registro di sistema

Con tutta probabilità, il trojan ha aggiunto o modificato voci del registro di sistema. Di conseguenza, potrebbero essere richiamati elementi impossibili da individuare.

Nel caso fosse impossibile rimuovere determinate voci di registro, modificare le autorizzazioni relative alla voce in questione, ed effettuarne quindi la rimozione.

Qualora non fosse possibile aprire il registro e l'analisi dei virus indichi che è possibile che una determinata voce di registro impedisca tale operazione, copiare e importare la voce in questione da un computer non intaccato. Se l'accesso è ora possibile, rimuovere le altre voci.

9. Come modificare le voci del registro di sistema

Nel caso in cui un trojan abbia modificato una voce del registro di sistema,

Accertarsi che le voci importate provengano da un computer avente lo stesso sistema operativo del computer di destinazione.

Tale procedura può funzionare anche se non è possibile accedere al registro di sistema.

10. Altri metodi di avvio

Verificare le copie dei seguenti file, per controllare la presenza di eventuali riferimenti al trojan o ai siti Web da esso utilizzati:

  • autorun.inf
  • HOSTS
  • autoexec.bat
  • config.sys

Se necessario, salvarne una copia su floppy disk, effettuarne il backup, apportare modifiche con il Blocco note su un altro computer e infine sostituire gli originali sul computer che presenta il problema.

11. Pulizia disco e Ripristino configurazione di sistema

Utilizzare la Pulizia disco per rimuovere eventuali file temporanei in esso celati. Digitare quanto segue nel prompt dei comandi e seguire le istruzioni sullo schermo:

Cleanmgr

Accertarsi che le seguenti opzioni siano selezionate per la rimozione:

  • Programmi scaricati
  • File temporanei Internet
  • File temporanei
  • Cestino

I trojan possono anche nascondersi nei file di Ripristino configurazione di sistema su Windows XP e Windows Me. Per accedere al Ripristino configurazione di sistema in Modalità provvisoria con prompt dei comandi su Windows XP, digitare:

<cartella_Windows>\system32\restore\rstrui.exe

ove <cartella_Windows> è il nome della vostra cartella Windows (solitamente "Windows" per Windows XP). Ripulire e reimpostare il Ripristino configurazione di sistema.

12. Ritorno a Windows

Quando si riavvia il computer su Windows per la prima volta dopo la disinfezione, è possibile disabilitare le applicazioni di avvio tenendo premuto il tasto MAIUSC durante l'accesso. Controllare la cartella Esecuzione automatica e il menu Start.

Eseguire un'ulteriore scansione con il software antivirus per la verifica finale.

13. Ritorno al normale utilizzo del computer

Prima che il computer venga riportato al normale utilizzo, verificare quanto segue:

  • accertarsi che il computer sia dotato di tutte le patch richieste (utilizzare Windows Update e Microsoft Baseline Analyzer)
  • verificare che tutti i componenti del software di sicurezza siano aggiornati
  • controllare il firewall (installare un firewall hardware o personal firewall se ancora non se ne possiede uno)
  • verificare che le cartelle condivise siano accessibili solamente a chi di dovere
  • verificare le impostazioni del Centro sicurezza PC Windows per Windows XP, incluse quelle relative a Windows Firewall.

È possibile utilizzare Windows Update solamente con Internet Explorer versione 5 o superiore. Se necessario, utilizzare un altro computer o browser per scaricare eventuali patch e service pack dall'Area download Microsoft. Salvare su CD ed effettuare l'installazione dal CD stesso.

14. Browser hijacker

Alcuni trojan si appropriano del controllo di un browser Web (solitamente Internet Explorer), per costringere un computer a visitare il loro sito Web e subire un nuovo attacco.

Procedere come segue:

  • Installare provvisoriamente un browser Web alternativo, e impostarlo come browser predefinito fino a quando il problema non venga risolto. Durante l'installazione, evitare di importare impostazioni o pagine salvate.
  • Cercare il file "Iereset.inf" e sostituirlo con una copia ottenuta da un computer diverso ma dotato dello stesso sistema operativo. Se esiste, sarà situato in una delle cartelle Windows.
  • È possibile accedere a molte impostazioni di Internet Explorer dalla Modalità provvisoria con prompt dei comandi. Nel prompt dei comandi, digitare:
    Inetcpl.cpl
    Selezionare la scheda Programmi e cliccare su "Gestione componenti aggiuntivi" per disabilitare plug-in indesiderati.

15. Strumenti e informazioni utili

I seguenti strumenti Windows sono molto utili per il troubleshooting:

Msconfig

Questo strumento di configurazione è disponibile su Windows XP e Windows 98, ma non su Windows 2000. Per eseguirlo da Windows, selezionare Start|Esegui, e digitare:

Msconfig

Msconfig consente di svolgere le seguenti operazioni

  • È possibile disabilitare i programmi che vengono eseguiti all'accesso, dalla scheda Avvio.
  • Per individuare i servizi non Windows, cliccare sulla scheda Servizi e selezionare "Nascondi tutti i servizi Microsoft". I rimanenti servizi non appartengono a Windows (molti saranno connessi a un software legittimo).
  • Qualora non fosse possibile avviare Windows in Modalità provvisoria, tale impostazione è configurabile nella scheda BOOT.INI. Selezionare "/SAFEBOOT/" e quindi "Minimo".

Msinfo32 e Winmsd

Msinfo32 e Winmsd generano report dettagliati sul sistema: uno strumento molto utile per il troubleshooting. Uno dei due funzionerà su Windows 2000, XP e 2003. Per eseguirli in Modalità provvisoria con prompt dei comandi, digitare: "Msinfo32" oppure "Winmsd".

Fonti di informazioni

I seguenti articoli e strumenti Microsoft possono essere utilizzati per proteggere il computer:

Ricerca dei file dal prompt dei comandi

Per cercare un file in Modalità provvisoria con prompt dei comandi, digitare:

C:
CD \
DIR <nome file> /S

Questo comando vi porta alla radice dell'unità C:,e cerca il file <nome file> nella cartella radice e tutte le sottocartelle. Per cercare il file <nome file> in tutte le cartelle anche se possiede l'attributo "nascosto", digitare:

DIR <nome file> /S /AH

Per ulteriori informazioni su come utilizzare il prompt dei comandi, leggere Comandi DOS di base.

16. Per contattare Sophos

Se ancora non si riesce a rimuovere il trojan e si desidera contattare Sophos a riguardo, rispondere a quante più delle seguenti domande. Ciò consentirà una più rapida analisi del problema.

Informazioni di base

  1. Con quale definizione vengono identificati il o i file problematici da Sophos Anti-Virus?
  2. Quali sono i sistemi operativi in esecuzione sui computer?
  3. Quanti sono i computer che presentano il problema?
  4. Dove (in quale cartella) è stato rilevato il file problematico?

Metodo di sopravvivenza

  1. Se è possibile rimuovere il trojan, ma questi ritorna, quando avviene tale ritorno?
    • Anche quando il computer è isolato da qualsiasi rete?
    • Nel momento in cui il computer viene ricollegato alla rete?
    • Quando viene lanciata un'applicazione (ad es. Internet Explorer)?
  2. Il file è bloccato (da SAV32CLI o manualmente), in modo che non ne sia possibile la rimozione?

Altri punti

  1. È possibile chiudere (bloccare) il processo del trojan dalla Gestione attività? Se sì, il trojan si riavvia?

Log e altre fonti di informazioni

  • Includere qualsiasi report Msinfo32 o Winmsd che contenga informazioni salienti.
  • Includere i log di SAV32CLI e delle altre scansioni.

Nuove minacce

Se si ritiene di essere stati infettati da un nuovo tipo di trojan, o se il file che presenta i problemi appartiene al genere "-Fam" o "-Gen", inviare un campione.


Reinstallazione di Windows

Reinstallare Windows potrebbe essere più semplice della risoluzione degli effetti collaterali dovuti all'infezione di un trojan. Prima di effettuare la reinstallazione, salvare un backup di tutti i dati (ad es. su CD o DVD): non si può mai sapere quali elementi possano tornare utili.

Sono presenti tre diversi tipi di disco di sistema originale

  1. CD Windows di Microsoft
  2. CD di ripristino del produttore
  3. CD o DVD di ripristino salvati da voi stessi durante la prima installazione del computer.

Gli ultimi due tipi rimuovono tutti i dati durante il ripristino del computer. Insieme al trojan verrà eliminato tutto il lavoro salvato sul computer, nonché tutti i programmi, le unità, i service pack e le patch installate.

La "reinstallazione" da un CD Windows di Microsoft potrebbe effettuare una riparazione, piuttosto che una reinstallazione. Ciò comporta il rischio che un trojan attivo rimanga nell'hard drive. In tale evenienza, riformattare l'hard drive prima di installare Windows. Questa azione rimuoverà sia il trojan che qualsiasi programma, unità, service pack e patch da voi installato.

Una volta reinstallato Windows, accertarsi che il computer sia adeguatamente protetto prima di effettuarne il ritorno al normale utilizzo.

 
Per maggiori informazioni o per assistenza, vi preghiamo di contattare il supporto tecnico.

Valutate l'articolo

Molto scadente Eccellente

Commenti