114140 Letture

Guida alla rimozione dei malware

Se avete il sospetto che il vostro sistema sia infetto da virus o malware, è bene procedere immediatamente ad una verifica che consenta di stabilire con certezza se siano presenti componenti software ostili.
Spesso capita di ascoltare le lamentele di utenti che, purtroppo, ospitano uno o più malware sui propri sistemi pur utilizzando un software antivirus od una suite di sicurezza. Se infatti ci si espone a comportamenti rischiosi e non si seguono semplici quanto importanti regole che permettono di evitare di esporre il fianco alla stragrande maggioranza delle minacce (aggiornamento del sistema e delle applicazioni impiegate mediante l'installazione di tutte le patch di sicurezza) è molto elevata la probabilità di incorrere, prima o poi, in spiacevoli problematiche.
Gli antivirus che poggiano prevalentemente il loro funzionamento sull'uso degli archivi delle firme virali e non integrano anche efficaci moduli di analisi comportamentale potrebbero non essere in grado di riconoscere tempestivamente e bloccare i malware più evoluti.

Vi presentiamo, di seguito, una procedura passo-passo che permette di identificare e rimuovere la maggior parte dei malware che dovessero essersi malaguratamente insiediati sul vostro sistema.


L'eliminazione di un malware dai propri sistemi è un passo che va compiuto nel più breve tempo possibile. I malware vengono oggi sempre più spesso creati a fini di lucro per estorcere o sottrarre denaro. Alcuni di essi, infatti, integrano trojan e funzionalità di keylogging, capaci di rubare e trasmettere a terzi le credenziali di accesso, ad esempio, a servizi di online banking. Certi malware, inoltre, sono in grado di "aprire" il sistema dell'utente agli accessi dall'esterno rendendone possibile l'utilizzo per scopi illeciti e ciò a totale insaputa del malcapitato. In caso di accertamenti da parte degli organi di polizia, nel caso in cui sul proprio sistema infetto sia riuscito ad insediarsi un malware in grado di trasformare il personal computer in "testa di ponte" utilizzabile da malintenzionati, in modalità remota, per sferrare attacchi, per inviare spam, per distribuire contenuti pedopornografici, si potrebbe essere chiamati a rispondere di accuse piuttosto pesanti.
La Rete deve essere utilizzata in modo responsabile: anche un singolo sistema infetto può contribuire alla diffusione di posta indesiderata o ad alimentare operazioni illecite.

Scansione con PrevX CSI

Uno dei punti di forza di PrevX consiste nell'aver messo da parte il tradizionale approccio per il riconoscimento dei malware basato sull'utilizzo delle firme virali. Sino a qualche tempo fa l'unica arma generalmente utilizzata da parte dei vari software antivirus nella lotta contro i malware consisteva nell'impiego delle cosiddette firme virali: ogni file ed ogni codice in esecuzione sulla macchina veniva confrontato con le informazioni contenute all'interno dell'archivio delle definizioni antivirus. Tale archivio raccoglie le "impronte" dei malware al momento conosciuti e classificati da parte del produttore della specifica soluzione antivirus in uso.
Al ritmo forsennato con cui nuovi malware compaiono giornalmente in Rete, non si può più tenere testa rilasciando aggiornamenti per le firme virali. Ogni singolo campione di malware pervenuto ai laboratori di ciascun produttore di soluzioni antivirus, necessiterebbe infatti di essere dettagliatamente analizzato dal personale impiegando tecniche di reverse engineering, procedure che prevedono l'analisi dei file in formato binario nel tentativo di risalire ad una rappresentazione il più possibile vicina al codice sorgente originario.

La tecnologia integrata da PrevX nei suoi software è stata battezzata Community Intrusion Prevention (CIP) e si incarica di identificare codici maligni sulla base del comportamento tenuto. In questo modo, è possibile svincolarsi dalle definizioni antivirus e riconoscere tempestivamente anche le minacce appena comparse in Rete.

PrevX CSI è un programma "pronto all'uso" che si incarica di esaminare il sistema alla ricerca di eventuali componenti dannosi. Qualunque utente può effettuare gratuitamente una scansione del personal computer: chi desiderasse però eliminare i malware eventualmente rilevati deve necessariamente acquistare una licenza a pagamento.
Ad ogni modo, anche chi non volesse acquistare il software, può servirsi delle sue ottime abilità in fase di scansione per raccogliere preziose informazioni sugli elementi nocivi, eventualmente presenti sul sistema, che debbono essere eliminati.

PrevX CSI è scaricabile cliccando qui. Una volta avviato facendo doppio clic sul suo eseguibile, si dovranno accettare i termini della licenza d'uso (spuntare la casella I accept the terms and conditions...) e premere il pulsante Continue: partirà quindi, automaticamente, la fase di scansione del sistema.
Quest'operazione richiede pochi minuti per essere completata grazie al particolare approccio impiegato da PrevX CSI Diversamente da altri software per la sicurezza, infatti, PrevX CSI va specificamente alla ricerca di tutti quei programmi che risultino attivi oppure che possano essere eseguiti sul sistema in uso. Limitando il suo raggio d'azione alle aree del sistema operativo maggiormente vulnerabili e più utilizzate dai malware per insediarsi sul sistema o per garantirsi l'esecuzione automatica ad ogni avvio di Windows, PrevX CSI è in grado di scoprire la maggior parte delle infezioni in un lasso di tempo molto contenuto.

Nel caso in cui il sistema esaminato presenti una o più infezioni, PrevX CSI ne mostrerà l'elenco completo.

Cliccando su Options quindi su Save a log file, PrevX CSI produrrà un file di registro in formato testuale. All'interno di esso (è possibile aprirlo con un qualsiasi editor di testo, come il Blocco Note di Windows o TextPad), vengono elencati tutti gli elementi software analizzati dal programma.


Accanto a ciascun file vengono riportate alcune indicazioni:
[B] Bad (Malware)
[BP] Bad program (Malware)
[G] Good (Benigno)
[GP] Good program (Benigno)
[U] Sconosciuto
[UP] Programma sconosciuto

Molto interessante il resoconto finale, riportato in calce al file di log. Ecco un esempio:

C:\WINDOWS\system32\pmnmMfda.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\ssqQgGxY.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\ohakcn.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\uptmfxju.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\dxomvolx.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\llalap.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\oehkrdit.dll - [B] >> Fraudulent Security Program
C:\WINDOWS\system32\tmaxilfs.dll - [B] >> Cloaked Malware
C:\WINDOWS\system32\vjofkj.dll - [B] >> Fraudulent Security Program
C:\Documents and Settings\NomeUtente\Impostazioni locali\Temporary Internet Files\Content.IE5\Y86FBP02\AV2009Install_77052201[1].exe - [B] >> Fraudulent Security Program


L'ultimo elemento è, come si vede dal commento aggiunto da PrevX CSI, un falso software di sicurezza che l'utente ha scaricato dalla Rete. Oltreoceano hanno battezzato questo tipo di minacce "Rogue software", applicazioni maligne che tentano di insediarsi sul sistema dell'utente presentandosi, paradossalmente, come programmi antivirus, antimalware od antispyware. Per approfondire l'argomento, suggeriamo di fare riferimento a questo nostro articolo.

A questo punto sappiamo se e quali infezioni sono presenti sul sistema oggetto d'esame.

Come ultima considerazione su PrevX CSI, ci pare opportuno evidenziare che qualora il programma venisse automaticamente eseguito ad ogni avvio di Windows è possibile agevolmente modificare questo comportamento, basta accedere alla finestra delle opzioni del programma quindi disattivare le caselle Use default configuration e Load PrevX CSI at bootup (l'impostazione deve essere memorizzata cliccando sul pulsante Save changes).


Utilizzando la versione freeware del software è consentito anche effettuare una scansione programmata del sistema (finestra Options, Scheduler).


  1. Avatar
    lucaluca
    10/01/2010 16:02:47
    Versioni in lingua italiana nel sito ufficiale a questo link: http://info.prevx.com/downloadcsi.asp sono presenti anche le versioni in italiano sia a 32bit che a 64bit.
  2. Avatar
    jacopo
    06/11/2009 09:37:13
    Citazione: ok, Prevx mi ha aiutata ad individuarlo, ma ora che c'è questo processo (sqlzbfnz.exe) identificato come cloaked malware (e lasciato libero dal mio avast) come faccio a liberarmene? help!
    ...Hai letto solo la prima pagina ? :wink:
  3. Avatar
    supernova29
    05/11/2009 19:30:36
    questo articolo si intitola "guida alla rimozione dei malware"...ok, Prevx mi ha aiutata ad individuarlo, ma ora che c'è questo processo (sqlzbfnz.exe) identificato come cloaked malware (e lasciato libero dal mio avast) come faccio a liberarmene? help!
  4. Avatar
    miciotta
    30/04/2009 12:00:15
    manca antimalwarebyte's ...anche se ultimamente ha tantissimi falsi/positivi !!! ottimo articolo
  5. Avatar
    asyscom
    21/04/2009 23:42:24
    avg 7.5 causa quel problema. puoi scaricare la soluzione (iso avviabile autoriparante) gratuitamente dal sito di avg
  6. Avatar
    gegnottolin
    10/11/2008 13:01:46
    Citazione: Salve a tutti...Ieri mattina mentre navigavo in internet sulla barra veloce mi è arrivato un avviso di aggiornamento di Acrobat, ma appena scaricato si è rivelato un trojan. Difatti mi è arrivato un avviso da AVG che mi avvisava del pericolo. Ho cercato di ricollegarmi a internet per aggiornare AVG per poi lanciare lo scan, ma siccome non riuscivo a collegarmi ho spento e riacceso...L'avessi mai fatto!! Non si è più riacceso e appare una schermata blu che dice: STOP: C0000135 {impossibile individuare un componente}. Impossibile avviare l'applicazione specificata. USER32.dll non è stato trovato. Una nuova installazione dell'applicazione potrebbe risolvere il problema. Un amico mi ha suggerito di utilizzare Norman Malware Cleaner, ma non è sicuro..Voi che fareste?

    dai un'occhiata qui
  7. Avatar
    sugar
    10/11/2008 12:23:30
    Salve a tutti...Ieri mattina mentre navigavo in internet sulla barra veloce mi è arrivato un avviso di aggiornamento di Acrobat, ma appena scaricato si è rivelato un trojan. Difatti mi è arrivato un avviso da AVG che mi avvisava del pericolo. Ho cercato di ricollegarmi a internet per aggiornare AVG per poi lanciare lo scan, ma siccome non riuscivo a collegarmi ho spento e riacceso...L'avessi mai fatto!! Non si è più riacceso e appare una schermata blu che dice:

    STOP: C0000135 {impossibile individuare un componente}. Impossibile avviare l'applicazione specificata. USER32.dll non è stato trovato. Una nuova installazione dell'applicazione potrebbe risolvere il problema.
    Un amico mi ha suggerito di utilizzare Norman Malware Cleaner, ma non è sicuro..Voi che fareste?
  8. Avatar
    Michele Nasi
    06/08/2008 11:17:40
    Il motivo è il seguente. La prima versione di PrevX CSI in effetti non necessitava di installazione quindi poteva essere eseguito anche da una semplice chiavetta USB. Con il rilascio della seconda release del software, per le funzionalità che sono state aggiunte, risulta indispensabile l'installazione.
    La svista prontamente segnalata da gegnottolin derivava dal fatto che una frase dell'articolo era stata ripresa da un vecchio servizio pubblicato sempre su IlSoftware.it ed incentrato sulla prima versione di PrevX CSI.
  9. Avatar
    Lamantino Pazzo
    06/08/2008 10:40:53
    Lo avevo visto anch'io avevo trovato quel programma su il CD di una nota rivista e anche loro dicevano che non si installava ma alla fine l'ho trovato nel menu start con tanto di 'shortcut' per rimuoverlo. La cosa che mi lasciato li è che era comunque reclamizzato, anche sulla copertina della rivista, come programma gratuito completo, quando nella poi è lo stesso che si può scaricare dal sito del produttore.
  10. Avatar
    Michele Nasi
    01/08/2008 10:50:23
    Ho provveduto a correggere. L'imprecisione derivava da un mio precedente articolo dedicato a PrevX CSI (la precedente versione del software, infatti, non necessitava di installazione). Grazie per la segnalazione!
Guida alla rimozione dei malware - IlSoftware.it