Rimozione dei programmi virus che prendono in ostaggio il pc
Aggiornato il:
Guida e tool per la rimozione dei virus RogueWare o Ransomware (come Cryptolocker) che prendono in ostaggio il computer e criptano i file

Mio padre, per nulla esperto di informatica ma neanche troppo sprovveduto, un giorno ha acceso il computer ed ha avuto una brutta sorpresa.
Lo schermo del desktop era diventato tutto nero, le icone quasi tutte sparite, il menu start mezzo vuoto, la cartella documenti anche era vuota.
Sul desktop compare la finestra inquietante con un messaggio molto chiaro: tutti i file nei documenti sono stati crittografati e per leggerli di nuovo devo pagare 500 Euro e ricevere la chiave di decriptazione.
Questo è il virus Cryptolocker, che blocca e prende in ostaggio i file del PC.
La guida che segue sicuramente va a rimuovere questo virus e vale anche per altri famosi malware che prendono in ostaggio il PC e i file al suo interno come quelli della Polizia Postale, Cryptolocker o antivirus finti o programmi come S.M.A.R.T Check HDD Data Recovery.
LEGGI ANCHE: Disattivare blocco file exe di Microsoft Smartscreen
Questi Malware Ransomware hanno un effetto dirompente, almeno al primo impatto: sul pc sparisce tutto e quasi non si può fare nulla se non navigare su internet; peccato che la navigazione viene sempre reindirizzata verso siti palesemente dannosi.
Questo è il tipico programma fake che prende in ostaggio la macchina e che ha come scopo quello di far pagare l'acquisto del software.
Questo è un esempio di virus Rougueware, spiegato nella guida sui tipi di malware e le differenze tra Trojan, Worms e Virus, che può presentarsi come falso antivirus o come tool di ottimizzazione e riparazione del computer p dell'hard disk.
Nessuno dei problemi segnalati è reale, essi sono utilizzati solo per spaventare l'utente e portarlo ad acquistare l'antivirus SMART, rubando cosi i dati della carta di credito.
Il normale antivirus installato nel computer tenta di ripulire la macchina dalle infezioni ma non ci riesce.
La pulizia infatti fallisce nel momento in cui si riavvio Windows perchè il rootkit ricrea automaticamente tutti i file che l'antivirus aveva eliminato.
Siccome non esiste un tool di rimozione specifico per quasi nessuno di questi malware e sicuramente non c'è per il virus SMART, consiglio di leggere o conservare questa guida che riporta i link per scaricare diversi tool fondamentali per liberare il pc da questo ma anche da tanti altri tipi di malware che sembrano essere immuni alle scansioni dei normali antivirus.
Per rimuovere un virus di questo tipo, che si basa su un programma visibile, ci sono tre operazioni da fare:
- Fermare il programma dannoso ed ogni processo legato ad esso;
- Fare la scansione con un antimalware
- Rimuovere gli effetti del virus (non sempre è possibile).
Prima di tutto, bisogna tranquillizzarsi un attimo: in nessun caso occorre comprare questo finto antivirus che tiene in ostaggio il pc e, soprattutto, nessun file è stato cancellato.
I file non sono più visibili perchè sono stati nascosti dal virus.
I passaggi di rimozione del virus SMART, oltre a risolvere il problema in modo pulito, sono molto interessanti anche per imparare a ragionare con i malware.
1) Rimuovere tutti i dischi floppy, CD e DVD, e riavviare il computer in modalità provvisoria con rete premendo F8 nella schermata nera iniziale, prima che appaia il logo di Windows.
Nella schermata di opzioni del menu di avvio, utilizzare i tasti freccia per evidenziare la modalità provvisoria con rete e quindi premere INVIO.
Accedere poi a Windows con un account utente amministratore.
2) Rimuovere (se c'è) lo SMART server proxy.
Il Virus SMART può aggiungere un server proxy che impedisce all'utente di accedere a Internet oppure di navigare senza reindirizzamenti.
Per rimuovere il proxy, aprire Internet Explorer, entrare nelle opzioni internet (Iin IE9 dall'icona dell'ingranaggio in alto a destra) e, nella scheda connessioni, premere il tasto Impostazioni LAN.
Dove è scritto Server Proxy, controllare che non sia flaggato il quadratino e cancellare qualsiasi cosa sia scritta nel campo indirizzo.
3) Fermare il virus ossia chiudere ogni processo legato al malware o a Cryptolocker.
Per stoppare l'esecusione del malware, andare su internet dalla modalità provvisoria con rete e scaricare un tool chiamato RKill di Bleeping Computer.
RKill è un programma che tenta di terminare tutti i processi maligni che l'antivirus non riesce a fermare.
Questo importante strumento vale per ogni tipo di infezione ed è come un task manager automatico che riconosce automaticamente ogni processo dannoso o quantomeno dubbio e non legato a Windows, per terminarlo.
Con RKill si può stare sicuri che il virus non è più in esecuzione (esso è ancora nel computer quindi non bisogna riavviare il pc adesso).
Per usare RKill basta cliccare due volte sull'icona del file eseguibile.
Se SMART Checker dovesse visualizzare un errore legato a RKill, ignorarlo lasciando l'avviso sullo schermo ed eseguire RKill nuovamente.
Se non si riesce ad eseguire RKill perchè viene bloccato dal virus, si può scaricare un'altra versione con nome diverso, dalla pagina di download di bleeping Computer.
Quando RKill ha completato il suo compito, viene visualizzato un file di testo che indica il successo dell'operazione.
4) Senza riavviare il pc e rimanendo con la modalità provvisoria, si può riaprire il browser e scaricare Malware Bytes Antimalware versione gratuita.
Seguire la procedura di installazione e di aggiornamento dell'antimalware senza fare modifiche, rifiutando il periodo di prova della versione completa e senza riavviare mai il pc, nemmeno se richiesto.
Da Malware Bytes, nella scheda dello SCanner, eseguire la scansione completa del computer (non quella veloce).
Attendere quindi che termini la scansione, premere OK assicurarsi che ogni virus trovato sia selezionato con la crocetta e rimuovere tutto.
Malwarebytes Anti-Malware chiederà ora di riavviare il pc per pulire le infezione e, questa volta, acconsentire alla richiesta.
5) Il computer adesso può essere usato in modalità normale e dovrebbe essere libero dal virus anche se le icone ed i file ancora non sono visibili.
E' vivamente consigliato, però, di fare una verifica e controllare se davvero il pc è libero dallo SMART VIrus, scaricando l'antivirus Hitman Pro.
Hitman Pro può ha la capacità di poter essere avviato in modalità forzata (Force Breach) che termina tutti i processi attivi, compresi quelli eventuali del malware.
Lanciare quindi la scansione sul disco e, se venissero trovati altri virus, rimuoverli attivando la licenza gratuita da 30 giorni e riavviando il pc se richiesto.
6) Riportare alla luce file e cartelle che erano scomparse.
Il Virus SMART modifica il file system in modo tale che tutti i file e le cartelle siano nascoste.
Per ripristinare le impostazioni predefinite di Windows, ed eliminare gli effetti del virus, ci sono due piccoli strumenti alternativi.
Si può scaricare Unhide oppure Tweaking.com Unhide Non System Files per far tornare visibili tutti i file e le cartelle.
Se il primo non dovesse scoprire tutti i file, lanciare anche il secondo.
Questi strumenti sono semplici ed automatici, l'unica cosa da fare e lanciarli.
Per quanto riguarda Cryptolocker invece i file resi illeggibili non potranno più essere recuperati.
Fare riferimento a questo articolo su come recuperare i file bloccati da Cryptolocker senza pagare il riscatto.
7) Ripristinare i collegamenti e rimuovere eventuali residui di chiavi di registro create dal virus.
Il Virus SMART ha spostato i file dei collegamenti nella cartella temporanea di Internet inoltre ha aggiunto alcune chiavi di registro dannose per l'installazione di Windows ed ha cambiato lo sfondo del desktop.
Per ripristinare i file e per far tornare tutto come prima, bisogna finalmente scaricare RogueKiller, il programma migliore per eliminare i falsi antivirus.
Anche con RogueKiller, avviare la scansione e poi eliminare le chiavi di registro dannose che vengono trovate, ripristinare i collegamenti (Shortcuts Fix) ed eseguire tutte le altre azioni di pulizia.
Se lo schermo del desktop di Windows rimanesse nero, andare nelle impostazioni dello schermo dal Pannello di Controllo e selezionare il tema predefinito o un altro a propria scelta.
8) Ripristinare i collegamenti bloccati sulla barra delle applicazioni e altre icone mancanti.
Questo terribile virus SMART ha spostato gli elementi della barra delle applicazioni ed altre icone e collegamenti del menu Start in una cartella temporanea chiamata 'smtmp'.
Per riportarli nella posizione originale, (cosi da ritrovare tutti i programmi) scaricare ed eseguire il tool Repair Missing Start Menu Icons Removed By Infections.
Questo è tutto quindi, ricapitolando: Modalità provvisoria -> Rimuovere Proxy -> Rkill per fermare il virus -> Malware Bytes per fare la scansione e la pulizia -> Hitman Pro per un controllo di conferma ->Unhide per far ricomparire i file e le cartelle di Windows -> RogueKiller per eliminare i residui e ripristinare collegamenti e desktop -> Repair Missing Icons per far tornare i programmi visibili nel menu Start.
Sperando non debba mai servirvi, consiglio di salvarvi questa guida cosi da essere sempre pronti all'occorrenza.
Posta un commento
Per commentare, si può usare un account Google / Gmail. Se vi piace e volete ringraziare, condividete! (senza commento). Selezionare su "Inviami notifiche" per ricevere via email le risposte Info sulla Privacy