Usa Autoruns per pulire manualmente un PC infetto

Jul 23, 2025
Privacy e sicurezza
CONTENUTO UNCACHED

Esistono molti programmi anti-malware che ripuliranno il tuo sistema dai cattivi, ma cosa succede se non sei in grado di utilizzare un programma del genere? Autoruns, di SysInternals (recentemente acquisito da Microsoft), è indispensabile quando si rimuove manualmente il malware.

Esistono alcuni motivi per cui potrebbe essere necessario rimuovere manualmente virus e spyware:

  • Forse non riesci a sopportare di eseguire programmi anti-malware invasivi e affamati di risorse sul tuo PC
  • Potrebbe essere necessario pulire il computer di tua madre (o qualcun altro che non capisce che un grande cartello lampeggiante su un sito web che dice "Il tuo computer è infetto da un virus - fai clic QUI per rimuoverlo" non è un messaggio che può necessariamente essere di fiducia)
  • Il malware è così aggressivo che resiste a tutti i tentativi di rimuoverlo automaticamente o non ti consente nemmeno di installare software anti-malware
  • Parte del tuo credo geek è la convinzione che le utilità anti-spyware siano per i wimps

Autoruns è un'aggiunta inestimabile al toolkit software di qualsiasi geek. Ti consente di monitorare e controllare tutti i programmi (e componenti del programma) che si avviano automaticamente con Windows (o con Internet Explorer). Praticamente tutto il malware è progettato per avviarsi automaticamente, quindi c'è una forte possibilità che possa essere rilevato e rimosso con l'aiuto di Autoruns.

Abbiamo spiegato come utilizzare Autoruns in un precedente articolo , che dovresti leggere se devi prima familiarizzare con il programma.

Autoruns è un'utilità standalone che non deve essere installata sul tuo computer. Può essere semplicemente scaricato, decompresso ed eseguito (collegamento sotto). Questo lo rende ideale per l'aggiunta alla tua raccolta di utilità portatili sull'unità flash.

Quando avvii Autoruns per la prima volta su un computer, ti viene presentato il contratto di licenza:

Dopo aver accettato i termini, si apre la finestra principale di Autoruns, che mostra l'elenco completo di tutti i software che verranno eseguiti all'avvio del computer, all'accesso o all'apertura di Internet Explorer:

Per disabilitare temporaneamente l'avvio di un programma, deseleziona la casella accanto alla sua voce. Nota: questo sì non terminare il programma se è in esecuzione in quel momento - ne impedisce semplicemente l'avvio Il prossimo tempo. Per impedire in modo permanente l'avvio di un programma, eliminare completamente la voce (utilizzare l'estensione Elimina oppure fai clic con il pulsante destro del mouse e scegli Elimina dal menu contestuale)). Nota: questo sì non rimuovere il programma dal computer - per rimuoverlo completamente è necessario disinstallare il programma (o altrimenti eliminarlo dal disco rigido).

Software sospetto

Può richiedere un bel po 'di esperienza (leggi "tentativi ed errori") per diventare abile nell'identificare cosa è malware e cosa non lo è. La maggior parte delle voci presentate in Autoruns sono programmi legittimi, anche se i loro nomi non ti sono familiari. Ecco alcuni suggerimenti per aiutarti a differenziare il malware dal software legittimo:

  • Se una voce è firmata digitalmente da un editore di software (cioè c'è una voce nel file Editore colonna) o ha una "Descrizione", quindi ci sono buone probabilità che sia legittimo
  • Se riconosci il nome del software, di solito va bene. Tieni presente che occasionalmente il malware "impersonerà" software legittimo, ma adotterà un nome identico o simile al software che conosci (ad esempio "AcrobatLauncher" o "PhotoshopBrowser"). Inoltre, tieni presente che molti programmi malware adottano nomi generici o dal suono innocuo, come "Diskfix" o "SearchHelper" (entrambi menzionati di seguito).
  • Le voci di malware di solito vengono visualizzate nel file Accedere scheda di Autoruns (ma non sempre!)
  • Se apri la cartella che contiene il file EXE o DLL (più su questo sotto), esamina la data di "ultima modifica", le date sono spesso degli ultimi giorni (supponendo che la tua infezione sia abbastanza recente)
  • Il malware si trova spesso nella cartella C: \ Windows o nella cartella C: \ Windows \ System32
  • Il malware spesso ha solo un'icona generica (a sinistra del nome della voce)

In caso di dubbio, fare clic con il pulsante destro del mouse sulla voce e selezionare Cerca in linea ...

L'elenco seguente mostra due voci dall'aspetto sospetto: Diskfix e SearchHelper

Queste voci, evidenziate sopra, sono abbastanza tipiche delle infezioni da malware:

  • Non hanno né descrizioni né editori
  • Hanno nomi generici
  • I file si trovano in C: \ Windows \ System32
  • Hanno icone generiche
  • I nomi dei file sono stringhe casuali di caratteri
  • Se guardi nella cartella C: \ Windows \ System32 e individua i file, vedrai che sono alcuni dei file modificati più di recente nella cartella (vedi sotto)

Fare doppio clic sugli elementi ti porterà alle chiavi di registro corrispondenti:

Rimozione del malware

Dopo aver identificato le voci che ritieni sospette, devi ora decidere cosa farne. Le tue scelte includono:

  • Disabilita temporaneamente la voce di esecuzione automatica
  • Elimina definitivamente la voce di esecuzione automatica
  • Individua il processo in esecuzione (utilizzando Task Manager o simile) e terminalo
  • Elimina il file EXE o DLL dal disco (o almeno spostalo in una cartella in cui non verrà avviato automaticamente)

o tutto quanto sopra, a seconda di quanto sei sicuro che il programma sia malware.

Per vedere se le modifiche sono riuscite, sarà necessario riavviare il computer e controllare uno o tutti i seguenti:

  • Autoruns - per vedere se la voce è stata restituita
  • Task Manager (o simile) - per vedere se il programma è stato riavviato dopo il riavvio
  • Controlla il comportamento che ti ha portato a credere che il tuo PC fosse infetto in primo luogo. Se non succede più, è probabile che il tuo PC sia ora pulito

Conclusione

Questa soluzione non è per tutti ed è molto probabilmente pensata per utenti avanzati. Di solito l'utilizzo di un'applicazione antivirus di qualità fa il trucco, ma in caso contrario Autoruns è uno strumento prezioso nel tuo kit anti-malware.

Tieni presente che alcuni malware sono più difficili da rimuovere rispetto ad altri. A volte sono necessarie diverse iterazioni dei passaggi precedenti, con ogni iterazione che richiede di guardare più attentamente ogni voce di esecuzione automatica. A volte, nell'istante in cui rimuovi la voce di esecuzione automatica, il malware in esecuzione sostituisce la voce. Quando ciò accade, dobbiamo diventare più aggressivi nell'assassinio del malware, inclusi i programmi di chiusura (anche programmi legittimi come Explorer.exe) infettati da DLL malware.

A breve pubblicheremo un articolo su come identificare, individuare e terminare i processi che rappresentano programmi legittimi ma che eseguono DLL infette, in modo che tali DLL possano essere eliminate dal sistema.

Scarica Autoruns da SysInternals

Privacy e sicurezza - Articoli più popolari

Come disattivare la modalità con restrizioni di YouTube sul tuo programma Echo (così i video non mancano dai risultati di ricerca)

Privacy e sicurezza Jul 3, 2025

CONTENUTO UNCACHED L'Echo Show consente a chiunque di iniziare a riprodurre i video di YouTube sul suo piccolo display. Se hai dei bambini in casa, potresti non volerlo guardare ..

Come impostare l'autenticazione a due fattori per il tuo ID Apple

Privacy e sicurezza Jun 8, 2025

Autenticazione a due fattori fornisce un ulteriore livello di sicurezza per i tuoi account online. Molti servizi online offrono l'autenticazione a due fattori ..

Come aggirare "Questa app è stata bloccata per la tua protezione" per installare app in Windows 10

Privacy e sicurezza Jul 5, 2025

Le protezioni dell'utente in Windows 10 sono piuttosto aggressive, il che, per la maggior parte, è una buona cosa che protegge le persone da software dannoso. Ogni tanto, tuttavia,..

Come riutilizzare il vecchio router Wi-Fi come switch di rete

Privacy e sicurezza Jul 5, 2025

Solo perché il tuo vecchio router Wi-Fi è stato sostituito da un modello più recente non significa che debba raccogliere polvere nell'armadio. Continua a leggere mentre ti mostri..

Come utilizzare i contatti fidati di Facebook per ottenere l'accesso al tuo account bloccato

Privacy e sicurezza Jun 4, 2025

I servizi in linea stanno diventando sempre più interessati alla sicurezza, con autenticazione a due fattori ora è il sapore della giornata. La sicurezza extra all'..

Dalla casella dei suggerimenti: interruzione dell'esecuzione automatica, presa multipla di Android e cancellazione sicura del DVD

Privacy e sicurezza Mar 3, 2025

CONTENUTO UNCACHED Questa settimana lanceremo una nuova serie qui su How-To Geek incentrata su fantastici suggerimenti per i lettori. Questa settimana esploreremo le scorciatoie d..

Scansiona i file per i virus prima di scaricarli con Dr.Web

Privacy e sicurezza Apr 13, 2025

CONTENUTO UNCACHED Se scarichi spesso file da siti sospetti, probabilmente vale la pena controllare la presenza di virus prima del download, invece di aspettare di vedere se il tuo normale ..

Nascondi unità dal computer in Windows 7 o Vista

Privacy e sicurezza Mar 8, 2025

CONTENUTO UNCACHED Se in Risorse del computer sono presenti unità a cui non si accede mai, ad esempio un'unità flash USB che si utilizza esclusivamente per ReadyBoost, un'unità floppy o ..

Categorie