Talvolta pur avendo provveduto ad eliminare un malware da un sistema di un conoscente o di un cliente, può accadere che vengano comunque lamentati alcuni malfunzionamenti in Windows. Molti malware, purtroppo, lasciano infatti tracce della loro infezione sul sistema, anche dopo la rimozione dei file nocivi.
Nei seguenti due articoli abbiamo presentato, per l’eliminazione di tutte le minacce più diffuse, lo strumento gratuito Malwarebytes’ Anti-Malware. Il software è capace non solo di rimuovere le infezioni ma anche di ripristinare la corretta configurazione di molte aree del sistema operativo.
A corollario del primo articolo e nel secondo pezzo sono riportate alcune indicazioni per assumere nuovamente il controllo su aree e componenti del sistema operativo che dovessero essere state in qualche modo bloccati dall’azione del malware.
Anche dopo aver rimosso un malware, può capitare infatti di non riuscire più ad accedere alle proprietà del sistema, alla finestra “Risorse del computer”, all’Editor del registro di sistema, al task manager e così via.
Virus Effect Remover è un software gratuito che consente di risolvere rapidamente questo tipo di problemi ripristinando la configurazione predefinita di Windows. Prima di procedere all’installazione della versione più recente di Virus Effect Remover, è indispensabile rimuovere dal sistema in uso qualunque release precedente del programma. Si tratta di un passo indispensabile che, come ricordato dallo stesso autore del software, consente di prevenire ogni possibile conflitto, durante l’installazione o l’utilizzo dell’applicazione.
Per poter installare e, successivamente, utilizzare Virus Effect Remover, è necessario essere loggati al sistema con un account di tipo amministrativo. Un ulteriore requisito consiste nella presenza, sul sistema in uso, del framework .Net 2.0 di Microsoft.
Prima di effettuare qualunque operazione, suggeriamo di creare una copia di backup di alcune aree chiave del registro di sistema. Virus Effect Remover permette di accedere rapidamente a questa possibilità facendo riferimento al menù Edit, Make registry backup.
Il software non effettuerà un backup completo dell’intero contenuto del registro di Windows ma solamente di alcune chiavi importanti (Policies, Run, RunOnce e RunOnceEx): si può verificarlo aprendo con un normale editor di testo il file RegBackUpSelected.reg
(in alternativa è possibile cliccarvi con il tasto destro del mouse e scegliere la voce Modifica: si aprirà così il Blocco Note di Windows).
Il pulsante One click registry heal si fa carico di riapplicare tutte le modifiche necessarie al registro di Windows che consentano di riabilitare l’impiego dei vari strumenti che compongono il sistema operativo. Questo strumento consente di tornare ad avere accesso ai componenti di Windows il cui impiego era stato precedentemente bloccato dal malware.
Oltre alla sua vocazione principale ossia il ripristino di tutti gli strumenti del sistema, Virus Effect Remover racchiude alcuni tool accessori per la prevenzione e la rimozione delle minacce. Autorun.inf e USB/CD Autoplay consentono di disattivare l’esecuzione automatica di file presenti, ad esempio, in un’unità disco rimovibile o su un supporto CD ROM. La diffusione di malware attraverso la funzionalità “autoplay” è infatti tornata molto “di moda” negli ultimi tempi: per questo Virus Effect Remover suggerisce di disattivare sia Autorun.inf (esecuzione automatica nel momento in cui, da Risorse del computer, si fa doppio clic su un’unità contenente, nella directory radice, il file autorun.inf) che USB/CD Autoplay.
Il pulsante Protect drive from autorun è un semplice espediente che può essere usato per prevenire l’infezione, ad esempio, di un supporto rimovibile. Cliccando sul pulsante, Virus Effect Remover creerà una cartella denominata autorun.inf
in ogni unità collegata al sistema assegnando la proprietà sola lettura. Un eventuale malware che tentasse di scrivere, nella directory radice di un’unità, il proprio file autorun.inf
si vedrebbe rispondere picche. Si tratta di un espediente che va comunque preso con le molle: esso non sostituisce infatti l’impiego di un valido software antimalware.
La scheda Autorun details consente di verificare il contenuto dei file autorun.inf eventualmente presenti in qualunque delle unità di memorizzazione collegate al sistema. I file possono essere esaminati ed eventualmente rimossi.
Sempre nella finestra principale di Virus Effect Remover, i due pulsanti System File Checker e Show suspicious files consentono, rispettivamente, di avviare l’utilità SFC di Windows per il ripristino di file di sistema eventualmente danneggiati (è necessario tenere a portata di mano il CD d’installazione del sistema operativo) e di mostrare l’elenco di file sospetti. A tal proposito è bene fare un’importante considerazione: è bene non prendere per oro colato ciò che riporta Virus Effect Remover. Il programma, infatti, visualizza in elenco tutti i file che dispongono degli attributi “nascosto” e “di sistema”. Nella lista, quindi, vengono mostrati file di Windows assolutamente benigni ed anzi indispensabili per il corretto funzionamento del sistema operativo (citiamo, ad esempio, boot.ini, IO.SYS, MSDOS.SYS, NTDETECT.COM, pagefile.sys, ntldr, bootfont.bin
oltre alle directory RECYCLER
e System Volum Information
. Tali file e cartelle non debbono essere assolutamente eliminati.
Anche nelle cartelle c:\windows
e c:\windows\system32
possono essere presenti file, dotati degli attributi “di sistema” e “nascosto” del tutto legittimi. E’ il caso, per esempio, di winnt.bmp, winnt256.bmp
e delle cartelle Installer
e dllcache
.
E’ sempre agire con estrema cautela, quindi. Purtuttavia, ad esempio, oltre ai file citati, su Windows XP non dovrebbero esserci altri elementi “nascosti” e dotati dell’attributo “di sistema” nella cartella c:\windows\system32
. A tal proposito Virus Effect Remover consente di individuare, a colpo d’occhio, la presenza di eventuali file sospetti.
La scheda Process details consente di ottenere informazioni circa tutti i processi in esecuzione sul sistema mentre il pulsante Generate process list permette di richiedere a Virus Effect Remover la preparazione di un file di testo contenente le stesse informazioni.
Il pulsante Scan services dà modo di controllare i servizi di sistema presenti ed il relativo stato. Ogni servizio può essere avviato o fermato facendo clic con il tasto destro su di esso e selezionando l’apposita voce. Eguale opportunità è offerta dal pulsante Scan startup che permette di controllare quali applicazioni sono automaticamente eseguite ad ogni avvio di Windows. Ciascuna di esse può essere rimossa dall’avvio facendo clic con il tasto destro del mouse e scegliendo Remove selected entry, Remove entry only. Per eliminare definitivamente anche il file associato, basta scegliere Remove entry and associated file.