Come rimuovere un Trojan

In questo articolo mi rivolgerò principalmente a quei ragazzi sfortunati che hanno un trojan virus nel loro pc e non sanno cosa fare.

Per prima cosa vi consiglio di leggere i miei due articolo su antivirus e sulle caratteristiche dei trojan, per avere una conoscenza di base.

Questo articolo è inteso come aiuto alla rimozione del virus trojan quando l’antivirus e l’antispyware non riescono a fare il loro lavoro, ed il sistema è stato infettato da un ospite indesiderato.

Mantenereantivirus e antisyware aggiornati ed accompagnarli ad un buon firewall è sempre la prima cosa da fare.

E ora,iniziamo a capire come rimuovere questo fastidioso virus.

Procedura, Fase 1 - Individuazione dell’ospite

Si tratta della prima e, a quanto pare, più difficile fase di tutto il processo. Una volta che il “nemico” è noto non è poi così difficile rimuoverlo.

Utilizzeremo in questo frangente HijackThis, un tool piuttosto utile per l’individuazione di questo tipo di problemi scaricabile qui. Dopo aver lanciato l’applicazione gli chiediamo di fare una scansione e generare un log (”Do a system scan and save logfile”). Nella finestra dell’applicazione si vedranno numerose voci e verrà aperto il notepad (o l’applicazione predefinita per i .txt) con il summenzionato log. Il file viene salvato nella cartella in cui risiede hijackthis (Se lo tenete sul desktop verrà creato sul desktop). Può essere utile trasportarlo, per l’analisi, su un altro computer qualora il browser non fosse agibile.

Non fatevi prendere dal panico! Il file di testo generato può apparire incomprensibile a prima vista, vediamo di fare un po’di luce per illustrare meglio i passi successivi.

NB:Non tutto quello che vedete nel log è qualcosa di cui ci si deve preoccupare.

Hijackthis riempie il log con i dati di tutto ciò che trova, che sia un malware o meno. Per questo sotoporremo il log ad una fase di analisi.

Nella prima parte abbiamo una lista dei “Running Processes”. Si tratta dei programmi attualmente in esecuzione sulla vostra macchina. Se un malware (trojan, virus o altro) è in questa lista andrà prima di tutto “spento”, altrimenti potrebbe reinfettare la macchina anche dopo aver pulito tutto. Ci torneremo più avanti.

A seguire la lista dei processi attivi ci sarà un lungo insieme di voci, per lo più marcate con O<x>. Ognuno dei numeri ha un significato particolare. Accanto alla voce O<x> è in genere indicato il significato.

• O2,O3,O8,O9,O12,O16 ed O18 sono tutti elementi che si integrano con il browser per fornire pulsanti aggiuntivi e simili funzionalità (la toolbar di google ad esempio o il tasto del Messenger, ma anche gli ActiveX necessari ai giochi di Yahoo).

• Gli O15 sono i siti contenuti nella trusted zone. Si tratta di siti a cui il browser permette un pieno accesso. In mancanza dell’SP2 in WinXP (e in tutte le versioni di window con IE5 o inferiore), sono siti a cui si permette l’installazione, senza alcuna conferma da parte dell’utente e senza alcuna limitazione, degli elementi O2-O16 riportati sopra.

• Gli O4 sono voci di registro ed indicano le applicazioni che partono automaticamente all’avvio di windows.

• Gli O23 sono i servizi non direttamente dipendenti dal Sistema Operativo

Le altre voci non le prenderemo in esame in questo frangente.

A questo punto possiamo sfruttare l’utilissimo analizzatore automatico, presente a questo link: HijackThis Logfileauswertung. E’sufficiente copiare ed incollare il contenuto del notepad nel box apposito ed avviare l’analisi cliccando sul pulsante “Analizza”.

La schermata che risulterà analizzerà una per una tutte le voci presenti nel log. Nella colonna “Diagnosi” sarà presente un’icona colorata.

• Le voci in rosso (o marcate con una croce rossa) rappresentano malware, virus e simili che andranno rimossi.

• Le voci in giallo (marcate con un punto interrogativo) rappresentano software che, per un motivo o per l’altro il sistema di analisi non è in grado di riconoscere.

• Le voci in verde (marcate con un segno di spunta verde) rappresentano elementi sicuri.

Oltre a questi viene individuato il SistemaOperativo (marcato con l’icona di windows), i prodotti antivirus conosciuti (l’icona di uno scudo) ed i firewall (l’icona di un muretto).
Per le voci in giallo è possibile basarsi anche sul commento degli utenti. E’presente una valutazione accanto alla voce. 5 tacche verdi rappresentano in genere prodotti sicuri. 0 tacche indicano che nessuno ha commentato. Cliccando sulla valutazione è possibile leggere i commenti. E’bene controllare queste voci per capire se si tratta di programmi desiderati o meno. In mancanza di valutazioni da parte degli utenti, non è una cattiva idea, per i prodotti che sappiamo essere sicuri, dare il proprio voto. E’un aiuto agli altri utenti, e quindi indirettamente anche a noi stessi, la prossima volta che ne avremo bisogno.

In particolare finiscono in giallo spesso anche gli O17… nella maggior parte dei casi contengono gli indirizzi DNS del proprio provider e non si tratta di elementi pericolosi.

Dall’analisi quindi sapremo se un’ospite sgradito è in esecuzione (voci senza la O<x>), se viene avviato con il sistema (voce O4) e se si è integrato nel browser (le voci O<x> prcedentemente menzionate).

Procedura, Fase 2 - Rimozione degli elementi in esecuzione

In questa fase toglieremo l’ospite dalla lista dei processi attivi. E’importante che sia la prima operazione, perché un processo attivo può reinfettare il sistema anche se si è fatta un’accurata pulizia.

Utilizzando semplicemente il task manager (CTRL+ALT+CANC) si può avere un colpo d’occhio sulla lista delle applicazioni in esecuzione. Nel tab “Processi” si possono rintracciare tutte le voci presenti come “Running Processes” del log di hijackthis (più eventuali altre finestre che si sono aperte nel frattempo). Individuiamo i virus e terminiamo il processo in questione.

Se, ad esempio, l’analizzatore dei log ci informa con l’icona rossa che C:\WINDOWS\volumec.exe è un virus andiamo nel task manager e cerchiamo la voce volumec.exe, la selezioniamo e clicchiamo su “Termina Processo”.

Attendiamo che il processo scompaia dalla lista e controlliamo ogni tanto che non sia riapparso.

Alcuni virus impediscono l’accesso al task manager, chiudendolo inaspettatamente oppure mandandolo in crash. Poco male, avendo per fortuna ancora il DOS a disposizione basta aprire una schermata (Start->Esegui->cmd) e scrivere tasklist per ottenere una lista dei processi in esecuzione (la stessa fornita dal taskmanager), quindi sarà sufficiente scrivere taskkill /IM <nome_dell_ospite> per toglierlo di mezzo… se il processo fosse refrattario al taskkill si può forzare la chisura con un parametro aggiuntivo, specificando taskkill /F /IM <nome_dell_ospite>

Alcuni virus riescono ad installarsi come servizi di sistema, pertanto non vengono elencati tra i processi malevoli. Hijackthis li individuerà e li segnalerà comunqe in rosso come O23. Dagli strumenti di amministrazione (voce Servizi) è possibile spengere tali minacce. La scheda dei servizi però non sono certo sia disponibile in WinXP Home (segnalatemi la cosa in caso, non ho modo di provare per adesso), pertanto si dovrà ricorrere nuovamente al DOS.
Per spegnere un servizio da DOS si possono usare i comandi net start per ottenere una lista e net stop “<nome_del_servizio>” per terminarne l’esecuzione. Eventualmente anche Hijackthis e Spybot possono rimuovere il servizio, ma in questo caso è talvolta necessario un riavvio della macchina prima che la cosa si verifichi effettivamente.

Non è sempre semplicissimo individuare l’ospite nella lista di processi del task manager, a volte il processo malevolo presenta un nome identico ad altri nomi validi (viene aggiunto ad esempio un svchost.exe all’insieme dei 5 o 6 normalmente in esecuzione). Per essere sicuri, si può ricorrere ad un task manager alternativo. Uno gratuito e piuttosto ben fatto (della stessa microsoft) si può reperire qui: Process Explorer for Windows v10.21. Le informazioni sui processi in esecuzione è molto più dettagliata, ed è possibile vedere la posizione dell’eseguibile sull’hard-disk. Confrontando tale dato con ciò che risulta dal log di analisi è uno scherzo spengere il processo con un click destro o con il tasto canc.

Procedura, Fase 3 - Pulizia del registro

In questa fase eviteremo che il malware rientri in esecuzione al prossimo riavvio del sistema. Andare a toccare il registro è un’operazione estremamente delicata. Le modifiche e le cancellazioni non sono recuperabili, per tanto è necessario usare la massima cautela.

Si può accedere al registro tramite Start->Esegui->regedit. Si aprirà una finestra molto simile all’Esplora risorse, con una serie di cartelle in cui si può navigare. Tali cartelle si chiamano chiavi di registro.

Andiamo a ricercare nel registro tutte le voci classificate come malware da O4. Potete notare come le voci in questione riportino in testa HKLM o HKCU. Sono acronimi per HKEY_LOCAL_MACHINE ed HKEY_CURRENT_USER.

In tutti i casi, sia per HKLM che per HKCU, le voci da controllare saranno presenti nella sottochiave Software\Microsoft\Windows\CurrentVersion\Run, RunOnce, RunServices oppure RunServicesOnce. Ci si posiziona quindi nella sottochiave appropriata e controlliamo sulla destra l’insieme di valori presenti.

I valori presenti nella chiave avranno un nome ed un contenuto. Nel contenuto si potrà notare il path di un eseguibile. Nell’esempio precedente magari c’è un valore di nome volumec che punta a C:\WINDOWS\volumec.exe.
Si può eliminare il valore con un click destro->elimina o semplicemente premendo il tasto canc.

Alcuni virus impediscono l’esecuzione del regedit chiudendone il processo non appena viene avviato… poco male, basta procurarsi un qualsiasi altro editor di registro. Uno gratuito e ben fatto viene messo a disposizione dagli stessi autori di Spybot S&D qui: The home of Spybot-S&D! (il funzionamento è esattamente lo stesso del comune regedit di windows)

Procedura, Fase 4 - Pulizia di BHO, DPF ed elementi integrati nel browser

Questa fase può essere svolta in più modi. Le due fasi fondamentali sono terminate e questa può essere portata a termine anche da un antispyware. Eventualmente, una volta individuati gli elementi indesiderati è possibile anche usare hijackthis, spuntando il checkbox dell’elemento che si vuole rimuovere e cliccando su “Fix checked”.

Se si utilizza Spybot S&D è sufficiente passare alla modalità avanzata e controllare la scheda Utilità, sezioni “ActiveX” e “BHO”.

Ultimamente succede sempre più di frequente che l’ospite si infiltri come ActiveX di Internet Explorer. Essendo IE alla base del sistema, questo genere di infezioni possono essere piuttosto delicate da maneggiare, in quanto il virus riesce ad integrarsi con un elemento (l’esplora risorse) che viene caricato automaticamente. Spesso è facile individuarne la posizione su disco ma difficile rimuoverlo. Ho deciso di inserire, pertanto, una piccola sezione aggiuntiva per una risoluzione “artigianale” del problema, che si può adottare anche in linea generale quando si sa bene cosa si sta facendo.

Procedura, Fase 5 - Pulizia finale e rimozione fisica

In quest’ultima fase si provvederà a rimuovere tutto lo sporco che è rimasto sull’hard disk. Le fasi 2 e 3 impediscono agli eseguibili contenenti il virus di essere attivi, ma tali eseguibili sono ancora presenti sull’hard disk ed è bene toglierli di mezzo.

E’ quindi opportuno iniziare con una scansione approfondita di tutte le unità con l’antivirus (spesso la scansione predefinita non controlla tutto). Può richiedere del tempo ma è veramente il caso di farla. Ricordiamoci che l’antivirus deve essere aggiornato prima di fare questa operazione.

Dopo la passata con l’antivirus facciamo anche una scansione con l’antispyware (Spybot o Adaware vanno benissimo, anche in questo caso ricordiamoci di aggiornarli) per ulteriore sicurezza.

Fatto questo dovremmo essere più o meno al sicuro. Giusto per scrupolo ricontrolliamo con hijackthis e ripetiamo l’analisi online del log. Le voci in rosso dovrebbero essere scomparse ed il sistema “pulito”.

E’bene ricordarsi che:

• Per lavorare sul registro e per potere avere la piena capacità di agire, l’account che si utilizza deve avere diritti di amministratore.

• In una macchina in cui sono presenti più utenti l’infezione potrebbe provenire da un account diverso dal proprio. La fase 5 di rimozione fisica dovrebbe comunque evitare una reinfezione, ma è bene, dopo aver pulito il proprio, fare un controllo con antivirus ed antispyware anche sugli account di tutti gli altri utenti.

• I malware possono attaccare l’antivirus o altri prodotti rendendoli inutilizzabili (almeno in un caso mi è successo di notarlo). In questo caso, dopo la pulizia sarà opportuno reinstallare l’antivirus in questione.

• Uno dei principali veicoli di infezioni rimane sempre il client di posta elettronica. Se l’antivirus non è dotato di un sistema di filtraggio (la maggior parte dei prodotti seri lo è, ma se l’antivirus non è aggiornato non è aggiornato nemmeno il modulo che controlla la posta) è bene usare molta cautela nell’apertura di mail ed allegati

• Soprattutto in sistemi windows, è bene mantenere il sistema il più possibile aggiornato. Diversi ospiti sfruttano le falle di SO non aggiornati per infiltrarsi nella macchina. Rimuovere il virus non risolve nulla se rimane una falla aperta.

• Il malware spesso non è costituito da programmi molto intelligenti. Nella grande maggioranza dei casi l’eseguibile infetto viene posto in C:\WINDOWS o in C:\, ovvero in cartelle sicuramente esistenti. Le voci contrassegnate in giallo durante l’analisi, che fanno riferimento a queste cartelle, vanno controllate accuratamente.

• Praticamente nessun programma degno di questo nome partirà mai da C:\TEMP, C:\WINDOWS\TEMP o una qualsiasi cartella dei file temporanei. A meno che l’eseguibile non ce l’abbiate messo voi, è veramente il caso di toglierlo di mezzo visto che si tratterà di un malware nel 99% dei casi. Cancellare periodicamente il contenuto della cartella TEMP è un’ottima forma di prevenzione artigianale… alla chiusura del sistema, almeno teoricamente, dovrebbe sempre essere vuota.

• Il sistema dovrebbe essere utilizzabile, con una certa cautela, già dopo la fase 2. Sarà possibile riavviare la macchina o cambiare utente dopo la fase 3. Sarà possibile navigare dopo la fase 4. Per sicurezza comunque è meglio limitare il più possibile ogni operazione finché non si è terminata tutta la procedura.

La modalità provvisoria con console

Questa la parte per chi ha il pc infetto e non riesce ad entrare nel proprio account.

Usare la modalità provvisoria in console può essere un utile accorgimento se l’ospite dovesse rivelarsi veramente ostinato. E’ necessario conoscere un minimo i comandi DOS (cd, ren) per poterla sfruttare, e sapere con certezza la posizione dell’elemento malevolo (magari individuato durante la fase 1 della procedura).
Per avviare in modalità provvisoria è sufficiente premere F8 durante il boot della macchina.(quando appare la schermata hp invent per windows)

Verranno proposte una serie di scelte, tra le quali la modalità provvisoria con console.

Il vantaggio di quest’ultima rispetto alla modalità provvisoria “normale” è che viene fatto partire un insieme minimo di servizi e vengono caricati un numero limitato di driver, e, cosa più importante di tutte, non viene caricato explorer, con tutto ciò che vi può essere connesso. In sostanza si ha a disposizione il sistema più leggero possibile e con il minor numero di elementi caricati in memoria.

Conoscendo a priori la posizione dell’elemento sgradito, è spesso più che sufficiente rinominarlo per renderlo temporaneamente inoffensivo. Se era un servizio, non verrà fatto partire. Se era un estensione per il browser non verrà caricata. E’ un modo di operare in maniera “inversa” (rinomino il file così non viene caricato) che talvolta può dare i suoi frutti in presenza di ospiti pesantemente integrati con il sistema.

E’ ovvio che rinominare la cosa sbagliata (un servizio di sistema essenziale) può portare più problemi che benefici, pertanto, come per tutto il resto dell’articolo è bene sottolineare quanto sia necessario essere estremamente cauti.

Autore: http://forum.masterdrive.it/microsoft-windows-and-co-10/come-rimuovere-trojan-15659/