Bloccare i malware e ripristinare il sistema con RKill

Con l’adozione della tecnologia Chameleon da parte di Malwarebytes Anti-Malware, uno dei più noti, apprezzati ed efficaci strumenti software per la rimozione dei malware, si riteneva che un’applicazione altrettanto gratuita come RKill, basata su riga di comando, potesse ormai essere superata. In realtà, gli autori di RKill hanno proseguito ad aggiornare il loro software facendolo divenire sempre più abile nei “trattamenti d’urto” di quei sistemi che risultano ormai pesantemente infetti.

Molti malware, una volta insediatisi sul sistema, sono soliti interferire negativamente col funzionamento delle principali suite per la sicurezza. Sempre più di frequente, gli stessi componenti dannosi controllano se l’utente cerchi di avviare un’utilità per il rilevamento e la rimozione delle minacce. Risultato? Il software non risulta avviabile e l’infezione sembra irrimovibile.

Era il caso di Malwarebytes Anti-Malware che, fino a qualche tempo fa, allorquando sul sistema fosse già presente una minaccia piuttosto ostica, non riusciva ad avviarsi correttamente.

Per risolvere brillantemente questo genere di situazioni, gli sviluppatori di Malwarebytes hanno introdotto la funzionalità Chameleon. Il nome – traducibile in italiano con il termine “camaleonte” – non è stato scelto a caso: il software antimalware, infatti, “si trasforma” mascherando la sua reale identità ed apparendo così “agli occhi” del malware già insediatosi sul sistema, come un’applicazione ben diversa da un programma per la rimozione di virus, spyware e “rogue”.

Nell’articolo Disattivare i processi collegati all’azione dei malware con Malwarebytes’ Anti-Malware e nel successivo “Rogue software”: cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce, abbiamo spiegato come ricorrere alla modalità Chameleon quando Malwarebytes Anti-Malware non riuscisse ad avviarsi.

Nonostante l’ottimo comportamento di Chameleon, anche RKill si conferma un ottimo apripista per l’esecuzione non solo di Malwarebytes Anti-Malware ma anche di qualunque altro software per il rilevamento e la rimozione dei malware.

RKill, infatti, permette di terminare automaticamente tutti quei processi che potrebbero essere correlati all’azione di componenti pericolosi, esattamente come fa Chameleon di Malwarebytes. Non è improbabile che RKill arresti anche dei processi in esecuzione associati all’azione di software benigni: dal momento, tuttavia, che nessun file viene eliminato, quest’eventualità non deve in alcun modo preoccupare. I processi collegati al funzionamento di Windows o delle applicazioni installate torneranno ad essere eseguiti regolarmente al successivo riavvio del personal computer. Fermando contemporaneamente, invece, quei processi che possono essere connessi all’attività di eventuali componenti malware presenti sul sistema, si potrà poi procedere alla loro rimozione.

Le versioni più aggiornate di RKill, inoltre, provvedono a ripristinare – nel registro di Windows – le corrette associazioni legate ai file .EXE, .COM e .BAT (di frequente vengono alterate da parte dei malware) e si assicurano che il file HOSTS sia liberamente modificabile in modo che l’utente possa eliminare manualmente oppure utilizzando un software “ad hoc” eventuali riferimenti lasciati dal malware all’interno di tale file (vedere, nell’articolo Come impedire la visita di siti web specifici in Windows la parte dedicata al file HOSTS). RKill, inoltre, provvede ad eliminare le restrizioni che impediscono l’utilizzo dell’Editor del registro di sistema (REGEDIT), del task manager, la visualizzazione delle icone sul desktop e le chiavi utilizzate dai malware per “autoproteggersi”.

Dopo una “passata” con RKill, sulla macchina che dovesse risultare infetta, dovrebbe essere nuovamente possibile eseguire, senza problemi, i vari software antivirus ed antimalware. Il funzionamento dei programmi per la sicurezza non dovrebbe essere quindi più influenzato dai processi in esecuzione legati a rootkit e malware in generale.

RKill è scaricabile facendo riferimento ad uno dei link riportati in questa pagina. Come si vede, l’utilità viene distribuita con nomi differenti (RKill.com, Rkill.exe, Rkill.scr, eXplorer.exe, iExplore.exe, uSeRiNiT.exe e WiNlOgOn.exe). Questo espediente viene utilizzato per cercare di fare in modo che il download passi inosservato ad un eventuale malware presente sul sistema.

Il software RKill è assolutamente sicuro: eventuali segnalazioni esposte da applicazioni antivirus possono essere ignorate.

Per avviare il programma, è sufficiente fare doppio clic sul suo eseguibile ed attendere la comparsa della finestra seguente:

Al termine dell’elaborazione, RKill mostrerà un messaggio finale spiegando che il resoconto in formato testuale con l’indicazione delle operazioni compiute e dei processi arrestati è stato memorizzato sul desktop col nome Rkill.txt.

Completata l’operazione, il nostro consiglio è quello di provvedere al download, all’installazione ed all’esecuzione di un valido software antimalware (è possibile cominciare con Malwarebytes Anti-Malware).

Qualora non fosse possibile procedere in alcun modo al download di RKill, suggeriamo di avviare il personal computer dalla modalità provvisoria (tasto F8 all’avvio del personal computer) accertandosi di selezionare la modalità con supporto di rete. Avviato Windows in modalità provvisoria, è possibile tentare subito il prelievo di RKill salvandolo in una cartella di propria scelta (ad esempio, c:\temp). A download terminato, si potrà riavviare il sistema in modalità normale ed eseguire RKill dalla directory nella quale è stato scaricato.