Eliminare del tutto un virus da Windows: cosa fare e dove cercare l'infezione e suoi file

Rimuovere completamente virus e malware da Windows cercando nelle giuste aree e utilizzando gli opportuni programmi

In svariati casi anche se il computer è stato infettato da un virus o da altro malware, si ha la possibilità di usare il sistema operativo ed effettuare, magari seppur con qualche difficoltà, le normali operazioni.

Se così fosse è allora possibile tentare, con maggiori probabilità di successo, la rimozione completa dell'infezione, scovandola in alcune sensibili aree del sistema operativo, e utilizzando appositi programmi per la disinfezione.

A seguire andiamo dunque a vedere dove cercare e quali programmi usare per eliminare completamente un virus e malware dal PC Windows.

LEGGI ANCHE: Sintomi per capire se il computer ha un virus

I fase: Dove cercare l'infezione
La prima cosa da fare è disconnettere il computer da internet in maniera tale che il malware in questione termini eventuali attività come il download di ulteriori file dannosi che vanno ad aggravare l'infezione e dunque la situazione.

1. Utilità di pianificazione
Anche se dal Task Manager si provvedesse a terminare i processi in esecuzione legati al virus, questi verranno eseguiti nuovamente e automaticamente subito dopo e tutte le volte, in quanto l'infezione solitamente va ad aggiungersi come operazione pianificata auto-eseguendosi ogni tot tempo e/o a certe condizioni.

Dunque il primo posto dove controllare è Utilità di pianificazione alla quale si accede aprendo il menu Start, digitando la parola pianificazione e dunque cliccando il risultato "Utilità di pianificazione".
Utilità pianificazione Windows 10
Come nell'esempio sopra in figura, nella colonna a sinistra selezionare la sezione "Libreria Utilità di pianificazione" per visualizzare nella colonna centrale le operazioni pianificate attivate sul computer.

Qua si devono individuare quelle sconosciute e/o sospette legate all'infezione, che si possono riconoscere anche aiutandosi con la colonna "Data di creazione": ad esempio se il virus è comparso oggi, tutte le operazioni pianificate create nella data odierna sono con molta probabilità legate all'infezione.

Individuate le operazioni pianificate colpevoli, procedendo una alla volta farci sopra un clic destro di mouse, nel menu contestuale cliccare l'opzione "Disattiva" per disabilitarla nell'immediato, quindi farci sopra un altro clic di mouse e nel menu contestuale questa volta cliccare l'opzione "Eliminazione" e confermarne la rimozione.

2. Avvio automatico I
Altra comune peculiarità dell'infezione è di andare a piazzarsi nell'avvio automatico di Windows, attraverso il registro di sistema.
Editor Registro di sistema Windows 10
Con la combinazione dei due tasti Windows+R richiamare la finestra di dialogo "Esegui" e qui digitare e inviare il comando regedit per aprire l'Editor del registro di sistema. Nell'Editor del registro di sistema portarsi, una alla volta, nelle due chiavi:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
e qui individuare la presenza di eventuali stringhe sospette, farci sopra un clic destro di mouse e nel menu contestuale cliccare l'opzione "Elimina" e confermare la cancellazione.

3. Avvio automatico II
Il passo successivo è controllare e rimuovere l'eventuale presenza di programmi sospetti nella procedura di avvio di Windows, in quanto, qualora si riavviasse il PC, verrebbero eseguiti nuovamente con il sistema operativo.
Gestione attività scheda Avvio Windows 10
In tal senso, come nell'esempio sopra in figura, in Windows 8 e 10 ci si può servire del Task Manager (che si apre con la combinazione dei tre tasti Ctrl+Shift+Esc) portandosi nella scheda "Avvio", qui individuare i software sospetti, farci sopra un clic destro di mouse e nel menu contestuale cliccare l'opzione "Disabilita".

NOTA: Su Windows 7 e SO precedenti, software di terze parti esclusi, per vedere e disattivare i programmi di terze parti è necessario intervenire dalla scheda "Avvio" dello strumento "Configurazione di sistema" che si richiama inviando il comando msconfig nella finestra di dialogo Esegui.

4. Avvio automatico III
Infine, per vedere nel dettaglio qualsiasi cosa che si avvia con Windows, il miglior strumento è l'ottimo programma gratis e portatile Autoruns eseguito con privilegi amministrativi (fare un clic destro d mouse sul suo file eseguibile e nel menu contestuale cliccare l'opzione "Esegui come amministratore").
Autoruns interfaccia grafica
Come si può vedere nell'esempio sopra in figura, nella scheda "Everything" è mostrato tutto ciò che ha a che fare con l'avvio automatico del sistema operativo.

Gli elementi sospetti e/o che richiedono attenzione, solitamente sono evidenziati in giallo (attenzione però perché vengono evidenziati anche alcuni elementi legittimi del sistema), ma in caso contrario si possono individuare più facilmente quelli legati alle infezioni facendo riferimento alla colonna "Timestamp" (data e ora di esecuzione), al nome sospetto riportato nella colonna "Autorun Entry" e/o alle informazioni riportate nella finestra delle proprietà che si richiama facendo un clic destro di mouse sull'elemento e nel menu contestuale cliccando l'opzione "Properties".

Individuato l'elemento sospetto, per prima cosa deselezionare la sua casella di selezione per rimuoverlo dall'avvio automatico, dunque fare un clic destro di mouse sull'elemento e nel menu contestuale cliccare l'opzione "Delete" per eliminarlo.

5. Processi in esecuzione
Per vedere quali processi sono in esecuzione, in condizioni normali va bene il Task Manager di Windows, ma dato che in tale circostanza è necessario individuare virus e malware, ci si deve affidare a un prodotto più completo come l'ottimo, gratuito e portatile Process Explorer.
Process Explorer interfaccia grafica
Come si ha modo di constatare nell'esempio sopra in figura, con Process Explorer (che va eseguito come amministratore) è possibile ottenere maggiori informazioni circa i processi in esecuzione; ma la vera utilità di questo programma è che facendo un clic destro di mouse su un processo (quello malevolo) e nel menu contestuale cliccando la voce "Properties", si aprirà la finestra delle proprietà nella quale nel campo "Path" è riportato il percorso su disco dove risiede il file eseguibile del processo malevolo in questione, raggiungibile al volo cliccando il pulsante "Explore"; e nel campo "Autostart Location" eventualmente viene anche riportata la chiave del registro di sistema di avvio automatico (vista in precedenza al passo 2) dove quel file malevolo è andato a posizionarsi, raggiungibile al volo cliccando il pulsante "Explore".

La stringa nel registro e il file del processo malevolo in questione, una volta raggiunti cliccando il pulsante "Explore" potranno essere eliminati facendoci sopra un clic destro di mouse e nel menu contestuale cliccando l'opzione "Elimina".

Molto probabilmente per eliminare alcuni file malevoli verrà fatto notare che non è possibile procedere in quanto il rispettivo processo è in esecuzione; in tal caso terminare prima il corrispondente processo (facendoci sopra un clic destro di mouse e nel menu cliccando poi l'opzione "Kill Process Tree"), dopodiché eliminare il file.

In alcuni casi certi file non potranno essere comunque eliminati n quanto il virus o malware in questione si è auto-concesso particolari privilegi amministrativi. Ecco perché bisogna procedere (comunque) con la seconda fase, ovvero con la scansione antivirus dell'intero sistema operativo.

II fase: Rimozione dell'infezione con programmi antivirus e malware
In tal senso bisogna armarsi di tanta pazienza, in quanto ci vorrà qualche ora di tempo. Procedere in ordine come segue e utilizzando i programmi gratis sotto indicati e già proposti (con annesso link di download e istruzioni) nella guida, alla quale rimando: Pulire il PC da virus e malware con questi 4 programmi gratis.

  1. Avviare la scansione completa del computer utilizzando l'antivirus installato (se è un programma affidabile, altrimenti passare al punto 2). Rimuovere le eventuali minacce trovate e riavviare il PC.
  2. Fare la scansione del sistema con Malwarebytes AdwCleaner, per trovare ed eliminare PUP, adware, toolbar e browser hijacker dai sistemi operativi Windows. Rimuovere le eventuali minacce trovate e, come richiesto, riavviare il PC.
  3. Fare la scansione completa del computer con Malwarebytes Free, fra i migliori programmi gratis per trovare ed eliminare virus e malware vari dal computer Windows, rimuovere le eventuali minacce trovate e riavviare il PC.
  4. Fare la scansione completa del computer con Kaspersky Virus Removal Tool (KVRT), per ripulire il computer Windows da virus, trojan, malware, adware e altri contenuti malevoli, quindi rimuovere le eventuali minacce trovate e riavviare il PC.
  5. Fare la scansione al boot del computer con Kaspersky Rescue Disk, per individuare i malware più ostici che non possono essere trovati ed eliminati quando Windows è in esecuzione, quindi rimuovere le eventuali minacce trovate e riavviare il PC.

Fatto ciò, se tutto è andato per il verso giusto, l'infezione dovrebbe essere stata rimossa in modo completo dal sistema. Magari per ulteriore conferma di ciò si può effettuare un'ultima scansione con Malwarebytes Free, e controllare nuovamente eventuali presenze sospette in Utilità di pianificazione, Avvio automatico, Processi in esecuzione.

LEGGI ANCHE: Sapere se un file ha virus prima di scaricarlo da internet con Chrome, Firefox

5 commenti

Ciao, a proposito di sicurezza volevo chiederti cosa ne pensi delle licenze ESD vendute a prezzi molto bassi. Ci potrebbe essere il rischio che l'antivirus faccia finta di aggiornarsi e quindi non funzioni correttamente? Come si puo' verificare se la licenza acquistata è ORIGINALE e non una copia FALSA? Spero mi darai una risposta chiara come hai sempre fatto. Grazie

Rispondi

L'antivirus non centra. L'unico problema, e questo dipende dalla serietà del venditore, è che puoi incorrere in product key non più validi o disattivati da Microsoft e che il venditore perciò non ti risarcisce. Comunque ti puoi fidare dei siti che vendono tali licenze e che fanno pagare qualche euro in più per l'assicurazione (rimborso o nuova product key in caso non funzionasse quella acquistata) e/o che emettono regolare fattura.

Rispondi

Grazie per la risposta. Non ho capito perché Microsoft dovrebbe disattivare un product key di un antivirus. Io lo acquisterei da ebay e ho visto che il venditore ha molte recensioni positive. Quindi l'unico dubbio è chissà si tratta di un codice falso che però il software antivirus accetta senza avvisare di tale problema facendo finta di aggiornare il database quindi la protezione sarebbe solo apparente. Ci potrebbe essere questo caso o il software riconosce il codice se è falso o valido e di conseguenza si blocca o funziona regolarmente? Spero di essere stato chiaro e ti ringrazio nuovamente.

Rispondi

No, non ti preoccupare dei finti aggiornamenti del database, eventualmente non dipenderebbero dal product key ma dal software dell'antivirus stesso qualora fosse stato manomesso appositamente da qualche malintenzionato (ma se lo scarichi dai canali ufficiali e sicuri il rischio non si corre). Qua l'unico rischio che corri è di ricevere un product key non funzionante; però se il venditore ha un'alta percentuale di feedback positivi, ti potresti fidare. Magari lo puoi contattare preventivamente e chiedergli ulteriori garanzie (tipo il rimborso o l'invio di un nuovo product key funzionante).

Rispondi

Ok, grazie.

Rispondi

Posta un commento

I commenti prima di essere pubblicati verranno moderati dall'amministratore