Spyware e Malware: chi ci spia? – "Fix Rapido"
Da Vincenzo Di Russo - MVP Windows – Internet Explorer & Security Expert
Lo spyware e altri tipi di software ingannevole eseguono alcune attività nei computer all'insaputa degli utenti e, ovviamente, senza avere ottenuto la loro autorizzazione. Fra queste attività vi sono la visualizzazione di annunci pubblicitari, la modifica delle impostazioni del browser e la raccolta di dati personali. Alcuni di questi programmi sono fastidiosi ma non pericolosi, mentre altri possono compromettere le prestazioni del computer o violare la privacy dell'utente.
Se il computer non funziona correttamente o presenta i sintomi elencati di seguito, è possibile che sullo stesso siano presenti spyware o altro software indesiderato.
-
Sono visualizzati in continuazione annunci a comparsa.
-
Le impostazioni sono state modificate ed è impossibile ripristinare quelle originali.
-
Il browser Web contiene componenti aggiuntivi che non si ricorda di aver scaricato.
-
Il computer è lento.
• Tutto quello che c'è da sapere sullo spyware
Chi sono i Microsoft MVP – Most Valuable Professionals?
http://mvp.support.microsoft.com
http://www.microsoft.com/italy/technet/community/mvp/default.mspx
http://italy.mvps.org/Gladiators.mvp
Protocollo di individuazione e “Fix Rapido” di Spy/malware/adware
Operazioni preliminari
Riavvia il computer in Modalità provvisoria: premi il tasto funzione F8 subito dopo le prime schermate del BIOS).
1) Chiudi tutte le applicazioni, compresi Internet Explorer ed Outlook Express.
• Vai in Pannello di controllo->Opzioni internet -> scheda “Generale”
- elimina tutti i file temporanei Internet, anche non in linea
- Cancella Cronologia
- Elimina Cookies.
- Opzioni internet->Impostazioni: imposta la cache dei File Temporanei Internet a 50/60 mb
- Opzioni internet ->Contenuto->Completamento automatico: “Cancella moduli” + “Cancella password”.
• Pannello di controllo->Opzioni internet -> premi il pulsante “Impostazioni” -> quindi “Visualizza oggetti” (In IE7: Cronologia esplorazioni -> Impostazioni -> Visualizza oggetti):
- rimuovi tutti gli oggetti (applet, controlli ActiveX, ecc.) che riconosci di non avere installato, verificandone le “Proprietà” (clic destro -> Proprietà).
Pulisci completamente la cache dei File Temporanei Internet di IE7.
Eliminare la cronologia delle pagine Web
(vedi: “Eliminare tutte le informazioni”)
Segui i punti 1, 2 e 3 del seguente Blog Post: Troubleshooting Windows Internet Explorer 7
2) Elimina tutti i file e le cartelle contenuti nella cartella "Temp" di Windows e tutti i file con estensione .tmp e .temp presenti sul disco rigido (Usa il comando Cerca o Trova di Windows).
• Ora svuota il Cestino.
• Pannello di controllo -> Aggiungi o Rimuovi Programmi / Installazione applicazioni -> Rimuovi tutte le applicazioni che riconosci di non avere volontariamente installato.
3) Scegli Opzioni cartella dal menu Strumenti in Risorse del computer o Esplora risorse. Fai clic sulla scheda Visualizza, clic su “Visualizza cartelle e file nascosti”e deseleziona la casella di controllo “Nascondi i file protetti di sistema (consigliato)”.
Scegli Sì alla richiesta di conferma della modifica e quindi scegli Ok.
Nota importante: una volta terminate le verifiche e le operazioni di rimozione di spy/malware è necessario ripristinare le impostazioni di default in Opzioni cartella.
4) Start->Trova (Cerca) il file Hosts (non ha estensione, non Hosts.sam) e rinominalo in oldhosts.
5) Riavvia Windows in Modalità Normale.
6) Installa ed usa CCleaner , un ottimo “pulitore” freeware, con modulo della lingua italiana.
http://www.ccleaner.com/download/
http://www.majorgeeks.com/download4191.html
Inizio pagina
1° Passo: test e scansioni antivirus/worm on-line
A - "Strumento di rimozione malware per Microsoft Windows"
(Sistemi operativi supportati: Windows 2000, Windows Server 2003, Windows XP).
Esegui il Download dello strumento.
Istruzioni
- Scegliere il pulsante Download in questa pagina per avviare il download.
Effettuare una delle operazioni seguenti:
- Per avviare immediatamente l'installazione, scegliere Esegui.
- Per copiare i file del download sul computer e avviare l'installazione in un secondo momento, scegliere Salva.
Qui trovi tutte le informazioni sullo strumento di rimozione malware
B – Controlli antivirus On-line
• Free Online Virus Scanners
Quasi tutti i produttori di software antivirus rendono disponibile una pagina web per eseguire le scansioni on-line. Nel mio Blog post ne trovi un elenco aggiornato.
• Free Antivirus Removal Tools
Un elenco di strumenti di rimozione antivirus/worm ed Anti-Rootkit.
Strumenti per il ripristino della connessione internet
Attenzione: - Prima di utilizzare i programmi per la ricerca e rimozione del malware è necessario scaricare LSPFix, un’applicazione che ripristina la connessione Internet rimossa o danneggiata da alcuni spy/malware, a questo link: http://www.cexx.org/lspfix.htm
Ed anche Winsockxpfix (solo per Windows XP).
In Windows Xp Service Pack 2 è possibile riparare Winsock nel seguente modo:
Start -> Esegui -> digita “cmd” (senza virgolette) -> OK.
Al prompt dei comandi digitare quanto segue, quindi premere il tasto [INVIO]:
netsh Winsock reset
Al termine del programma verrà visualizzato il seguente messaggio:
“Reimpostazione catalogo Winsock completata. È necessario riavviare il computer.”
• Reset dello stack tcp/ip: Start->Esegui -> digita “cmd” (senza virgolette) -> OK
Al prompt dei comandi digitare quanto segue, quindi premere il tasto [INVIO]:
netsh int ip reset reset.log
Entrambi i comandi vanno lanciati previa chiusura di tutte le applicazioni.
Inizio pagina
2° Passo - Strumenti per la pulizia
- Ad-Aware 2007, SpyBot Search & Destroy e Microsoft Windows Defender
Premessa importante!
1 – Prima di proseguire con le operazioni di disinfezione fai un backup dei dati e conservali in un posto sicuro.
2 - Esegui anche un backup del Registro di sistema:
Windows Xp - Windows 2000 - Windows 95, Windows 98 e WinME - Windows NT 4.0
3 - Qui di seguito viene consigliata l’installazione e l’esecuzione di alcuni tra i più noti ed efficaci strumenti di pulizia:
A - Procedi con l’installazione e l’utilizzo di un programma per volta, sino alla soluzione del problema.
B - Una volta impiegate le applicazioni indicate e pulito per bene il computer, è necessario non tenere installati tutti i programmi (causa l’insorgere di rallentamenti del sistema e/o di conflittualità tra di essi, in special modo per quanto in relazione ai rispettivi moduli di protezione in real-time, come Ad-Watch di Ad-Aware, TeaTimer di SpyBot S&D, la Protezione in tempo reale di Windows Defender, etc.).
E’ quindi consigliabile mantenere un solo buon programma antispy/malware attivo insieme all’antivirus.
• Ad-Aware 2007 Free (New)
Ad-Aware 2007
Freeware (per uso personale), Ad-Aware 2007 è un’ottima applicazione per l'individuazione e rimozione di spy/malware.
Informazioni e Download qui
Esegui una scansione completa del computer, riavvia Windows ed esegui di nuovo una scansione.
• SpyBot Search & Destroy di Patrick M. Kolla
Download
• http://www.majorgeeks.com/downloads31.html
• http://aumha.org/a/quickfix.php
• Leggi le FAQ's
• Aggiorna le firme antispy/malware
• Corso accelerato
Esegui una scansione completa del computer, riavvia Windows ed esegui di nuovo una scansione.
Attenzione!
• Un'operazione necessaria, prima di eseguire la scansione del computer, è l'aggiornamento delle firme antispy/malware (proprio come per l'antivirus!) dei programmi.
Solo con un database aggiornato, contenente tutti i riferimenti a programmi spy, malware e dialer anche recenti, si è sicuri che l'esito della verifica e della pulizia siano efficaci.
Sia in SpyBot S&D che in Ad-Aware esiste un apposito pulsante per l'update delle firme.
Istruzioni per il corretto uso di SpyBot S&D e Ad-Aware:
E' buona regola analizzare il sistema con tutti e due i programmi, eseguendoli uno dopo l'altro, per aumentare le probabilità di individuazione e conseguente rimozione del software maligno.
Effettuata la prima scansione con i due software è necessario riavviare il computer e lanciare di nuovo la verifica con entrambi.
• Microsoft Windows Defender
Windows Defender è un programma gratuito che consente di proteggere il computer dai nuovi rischi, da finestre popup e da rallentamenti delle prestazioni causati da spyware o da altri software indesiderati.
Download
Risposte alle domande frequenti
Informazioni sul prodotto
Importante: dopo aver eseguito le scansioni con Ad-Aware 2007, Windows Defender e SpyBot S&D vai in Pannello di controllo Opzioni internet Programmi e premi il pulsante “Ripristina impostazioni Web”.
: Reimpostare Internet Explorer
Inizio pagina
3° Passo – CWShredder e AVG Anti-Spyware
Se SpyBot Search & Destroy, Ad-Aware 2007 e Microsoft Windows Defender, nonché gli altri strumenti consigliati, non riescono nel loro compito di individuazione ed eliminazione delle applicazioni maligne è necessario utilizzare anche CWShredder e AVG Anti-Spyware.
Trend Micro™ CWShredder™
CWShredder è un programma specifico per la rimozione di un parassita piuttosto diffuso e difficile da estirpare, “CoolWebSearch” (CWS) e le sue migliaia (!) di varianti.
• Download:
http://www.intermute.com/spysubtract/cwshredder_download.html
http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe
http://www.majorgeeks.com/download3019.html
Tutorial:
• Guida in italiano
• Guida in inglese
Riavvia il computer in Modalità provvisoria, scompatta il file .zip, chiudi tutti i programmi, compreso l’antivirus, ed esegui CWShredder.exe (scegli “Fix”, non “Scan”!).
• AVG Anti-Spyware
(Compatibile solo con Windows 2000, Windows XP e Windows Vista )
Download
Il setup contiene le versioni free e a pagamento di AVG Anti-Spyware.
Dopo l’installazione verrà attivata una versione di test valida per 30 giorni, contenente tutte le estensioni della versione “full”. Al termine della fase di test, le estensioni della versione “full” verranno disattivate e la versione freeware potrà essere utilizzata per un tempo illimitato.
E’ disponibile il modulo della lingua italiana.
Guida in italiano
Esegui una scansione completa del computer, riavvia Windows ed esegui di nuovo una scansione.
Inizio pagina
4° Passo
Operazioni finali
Se si utilizzano i sistemi operativi Windows Xp o Windows Millenium Edition, una volta ripulito per bene il computer, è necessario eliminare tutti i punti di ripristino del sistema, che possono essere infettati dallo spy/malware appena rimosso.
5) Disattivare il Ripristino configurazione di sistema, come descritto qui di seguito:
• Come disattivare o attivare Ripristino configurazione di sistema in Windows XP
• Come disattivare o attivare Ripristino configurazione di sistema in Windows Me
Proprietà Sistema di Windows Xp
Creazione manuale di un nuovo Punto di ripristino
Ora che il sistema è perfettamente pulito, è possibile, e consigliabile, creare un nuovo Punto di ripristino.
Da Start, selezionare Tutti i programmi ->Accessori ->Utilità di sistema ->Ripristino configurazione di sistema e, nella finestra che appare, scegliere “Crea un punto di ripristino” fare clic su “Avanti”, immettere una descrizione del Punto di ripristino e fare clic su “Crea”.
Inizio pagina
5° Passo. Ripristino delle condizioni predefinite di Internet Explorer
Pulizia effettuata? Ora, se necessario, è possibile ristabilire un po' d'ordine nelle barre degli strumenti e ripulire Internet Explorer da pulsanti e menu aggiuntivi, lasciati in eredità da spy/malware e hijackers. Gli script ed i file .reg sotto indicati ripristinano le schede originarie nelle Opzioni Internet e rimuovono menu, barre aggiuntive ed altre voci installati dai parassiti.
: Reimpostare Internet Explorer
Versioni precedenti di Internet Explorer:
• Configurazione delle impostazioni del browser Internet Explorer dopo la rimozione di software dannoso dal computer
Ripristino delle Schede e rimozione delle restrizioni in Opzioni Internet.
• http://www.kellys-korner-xp.com/regs_edits/iegentabs.reg
Autosearch hijacking fix (ripristina il motore di ricerca predefinito di IE)
• http://www.spywareinfo.com/downloads/tools/IEFIX.reg
• http://www.kellys-korner-xp.com/regs_edits/RestoreSearch2.REG
Repairs the corrupted or altered (spyware) HTTP prefixes
• http://mvps.org/winhelp2002/RepairDefaultPrefix.reg
Toolbarcop: Rimozione voci menu, pulsanti e barre aggiuntive.
• Using ToolbarCop to remove the unwanted Toolbands, Toolbar icons and BHO
• http://mvps.org/winhelp2002/unwanted.htm – Removing
Barre strumenti bloccate, nascoste o scomparse:
"Troubleshooting: Barre degli Strumenti di Internet Explorer".
• http://www.dougknox.com/xp/utils/xp_toolbarfix.htm
• http://windowsxp.mvps.org/ie/lockedbars.htm
• http://windowsxp.mvps.org/reg/IE_reset_restrictions.reg
Se siete giunti sin qui ed il problema è stato risolto, complimenti!
Se invece il vostro computer manifesta ancora sintomi di infezione è necessario procedere con un protocollo più complesso ed articolato, che è possibile trovare qui:
“ Spyware e Malware: chi ci spia? ” Release 8.
Se non hai ancora trovato una soluzione o hai semplicemente necessità di una mano … chiedi aiuto agli MVP (Most Valuable Professionals) e agli utilizzatori dei prodotti Microsoft per risolvere i tuoi problemi nei Newsgroup Italiani Microsoft!
Vincenzo Di Russo
Microsoft MVP - Most Valuable Professional & Security Expert
Windows - Internet Explorer since 2003
MVP Site: http://mvp.support.microsoft.com/
My Home: http://support.microsoft.com/newsgroups
My Blog: http://blogs.dotnethell.it/vincent/
My MVP Profile: https://mvp.support.microsoft.com/profile/Vincenzo
Release 3: 30 Giugno 2007