Per effettuare una scansione antivirus del sistema da un ambiente sicuro, Microsoft mette a disposizione Windows Defender Offline. Precedentemente conosciuto con il nome di Systen Sweeper, Windows Defender Offline è un prezioso strumento che consente di avviare una scansione antivirus dell’intero sistema prima di accedere in Windows. Il vantaggio derivante dall’utilizzo di Windows Defender Offline consiste proprio nella possibilità di effettuare la scansione antivirus da un ambiente sicuro, certamente esente da malware. Windows Defender Offline, infatti, si basa sul kernel di Windows 7 e permette di creare un supporto avviabile (CD o chiavetta USB) che, una volta lasciato inserito all’accensione del personal computer, permetterà di avviare la scansione antimalware.
Scansione antivirus e rimozione malware con Windows Defender Offline
Per utilizzare Windows Defender Offline e tentare di rimuovere un’infezione particolarmente difficoltosa da eliminare, l’approccio migliore consiste nello scaricare – su un sistema “sano” – la versione a 32 o 64 bit dell’applicazione (è sufficiente fare riferimento, per il download, a questa pagina ed, in particolare, ai pulsanti per il download posti in calce alla stessa).
Windows Defender Offline provvederà a creare un supporto avviabile (CD, DVD o chiavetta USB) dal quale sarà possibile eseguire una scansione del sistema infetto. Una volta creato il supporto di boot, basterà lasciare inserito il supporto creato con Windows Defender Offline all’avvio del sistema ed attendere che sia caricato l’ambiente di lavoro (è indispensabile che nel BIOS del personal computer sia impostata la corretta sequenza di boot: unità CD/DVD o USB prima, hard disk poi).
Compatibile con i sistemi Windows XP SP3, Windows Vista e Windows 7, Windows Defender Offline poggia su di una piattaforma basata sui file che compongono il pacchetto Windows PE, versione “alleggerita” di Windows 7.
Facendo doppio clic, da un sistema “pulito”, sul file mssstool32.exe
(o su mssstool64.exe
, a seconda della versione prelevata), Windows Defender Offline mostrerà una finestra di benvenuto:
Da qui, sarà sufficiente cliccare su Avanti per proseguire.
Windows Defender Offline creerà quindi, nella directory radice dell’unità C:
, una nuova cartella dal nome contenente una lunga serie di caratteri alfanumerici. All’interno di essa saranno salvati alcuni file temporanei necessari per la generazione del supporto di avvio. Tale directory verrà poi automaticamente rimossa (ci si può comunque accertare che ciò avvenga correttamente).
Attraverso la schermata successiva si può indicare se utilizzare, come supporto avviabile, un CD/DVD oppure una chiavetta USB (ci si assicuri, in questo caso, di collegare al sistema una penna che può essere tranquillamente formattata: tutto il suo eventuale contenuto, infatti, andrà perso). La terza opzione consente di memorizzare tutti i file necessari per il funzionamento di Windows Defender Offline all’interno di un file in formato ISO. Tale file potrà poi essere successivamente masterizzato su CD o DVD oppure inserito in una chiavetta USB come quella che abbiamo presentato nell’articolo “YUMI: creare un’unità USB multiboot con i tool migliori
È ovviamente possibile operare la scelta che si ritiene più opportuna tenendo però presente che selezionando la voce “Create standalone System Sweeper on an ISO file (advanced)” si potrà inserire il file ISO in una chiavetta multiboot prodotta ricorrendo al software YUMI. Così facendo, Windows Defender Offline potrà essere salvato, insieme con altri preziosi strumenti per la gestione e la manutenzione del sistema, nella medesima chiavetta USB avviabile.
Nell’unità d’avvio creata con YUMI è possibile integrare anche il file ISO contenente il disco di avvio di Windows Defender Offline.
Dall’interfaccia di YUMI (ved. questo articolo per maggiori informazioni) si dovrà selezionare la voce Windows Vista/7 Installer e specificare (pulsante Browse) il file WDO_Media32.iso
o WDO_Media64.iso
precedentemente generato.
Non appena si sarà aggiunto il file ISO di Windows Defender Offline alla chiavetta generata con YUMI, suggeriamo di editare il file \multiboot\menu\other.cfg
contenuto nello stesso supporto (va bene, allo scopo, un qualunque editor di testo come TextPad o Notepad++) e modificare la riga menu label Install Windows Vista/7
in menu label Windows Defender Offline
. Così facendo, si modificherà l'”etichetta” visualizzata nel menù di avvio dell’unità USB, una volta lasciata connessa al personal computer all’accensione od al reboot della macchina.
Qualora una distribuzione Linux, inserita nell’unità USB, non dovesse risultare avviabile, è possibile risolvere il problema rinominando temporaneamente la cartella SOURCES
presente nella directory radice del supporto di memorizzazione.
I passi seguenti sono banali (scelta del masterizzatore, dell’unità USB o del percorso all’interno del quale salvare il file ISO).
Windows Defender Offline passerà quindi alla generazione del supporto avviabile vero e proprio.
Scegliendo di salvare Windows Defender Offline su una chiavetta USB, ci si dovrà assicurare di aver selezionato la lettera identificativa di unità corretta dal momento che, cliccando su Avanti, tutti i dati in essa presenti saranno completamente eliminati.
Il download dei componenti necessari per il funzionamento di Windows Defender Offline richiederà il prelievo di circa 200-230 MB di dati. L’operazione di download avverrà comunque in maniera del tutto automatica.
Dopo aver creato il supporto di boot si potrà utilizzarlo per avviare il sistema infetto e tentare la rimozione del malware.
Scansione antivirus con Windows Defender Offline
Lasciando inserito il supporto CD/DVD o la chiavetta USB avviabile di Windows Defender Offline, verrà avviato il caricamento del kernel di Windows 7 insieme con gli elementi essenziali della sua interfaccia:
Dopo alcuni secondi di attesa, Windows Defender Offline presenterà la seguente schermata a conferma che la scansione antivirus è già in corso:
Per impostazione predefinita, infatti, Windows Defender Offline effettua una scansione antivirus di tipo veloce: essa si concentra esclusivamente sulle aree del sistema operativo che sono più frequentemente infestate dal software dannoso. In alternativa, è comunque possibile optare per una scansione completa od un’analisi personalizzata (vengono controllati solo i file ed i percorsi esplicitamente indicati dall’utente):
Cliccando sulla scheda Aggiorna quindi sul pulsante omonimo, è possibile scaricare le ultime definizioni antivirus:
Facendo riferimento alla scheda Cronologia, è possibile analizzare quali elementi Windows Defender Offline ha riconosciuto come dannosi e le azioni che il programma ha provveduto ad effettuare su di essi.
Nella scheda Impostazioni si possono specificare file e cartelle da escludere dall’analisi ed indicare se partecipare al programma Active Protection Service (MAPS) di Microsoft. Esprimendo il proprio assenso, Windows Offline Defender trasmetterà a Microsoft le informazioni sui malware eventualmente rilevati sul personal computer con lo scopo di migliorare ulteriormente il comportamento del software di analisi e rimozione virus.
Per chiudere Windows Defender Offline e riavviare il sistema, basterà cliccare sul pulsante “X” posizionato in alto a destra, nella finestra del programma.
Personalizzazione del supporto avviabile di Windows Defender Offline
Gli utenti più smaliziati potrebbero voler provare a personalizzare il funzionamento del supporto avviabile di Windows Defender Offline. In particolare, si potrebbe tentare di integrare anche qualche utilità che sarebbe bene avere a disposizione per le operazioni di manutenzione e ripristino del sistema. La procedura da seguire non è certamente immediata ma, con un po´ di sforzo è possibile giungere al risultato cercato. Ne parleremo in un prossimo nostro articolo.