Navigaweb.net logo

Rimuovere Rootkit e Malware invisibili con strumenti gratuiti

Aggiornato il: Scritto Da: - @pomhey
Guida ai tool di pulizia profonda per scovare minacce nascoste. Scopri come eliminare virus che sfuggono agli antivirus standard senza formattare
trovare e eliminare i virus rootkit

Il computer rallenta senza motivo apparente, la connessione internet si comporta in modo anomalo o compaiono processi sconosciuti che spariscono appena si apre il Task Manager. Questi sono segnali tipici di un'infezione che ha superato le difese di superficie. I software di sicurezza tradizionali lavorano interrogando il sistema operativo sui file presenti; se un malware sofisticato riesce a ingannare il nucleo di Windows, l'antivirus riceverà un rapporto falsificato in cui tutto appare normale. Si tratta di minacce che si annidano nel kernel o nel settore di avvio, caricandosi prima ancora che l'interfaccia utente sia visibile.

Per stanare questi ospiti indesiderati serve un approccio diverso: non bisogna chiedere a Windows cosa c'è sul disco, ma analizzare fisicamente i dati grezzi saltando i filtri del sistema operativo. Esistono strumenti specifici, definiti "Rootkit Remover", progettati proprio per scendere a questo livello di profondità.

LEGGI ANCHE: Come Proteggere Windows da Rootkit e Malware Nascosti

Strumenti di scansione diretta da Windows

Prima di passare a metodi complessi, si possono utilizzare utility aggressive che funzionano ancora all'interno del sistema operativo, forzando la lettura dei file bloccati o nascosti. È imperativo eseguire questi software come amministratore e disattivare temporaneamente la connessione internet per evitare che il malware scarichi aggiornamenti difensivi.

Norton Power Eraser (NPE)

Spesso ignorato perché si associa Norton a suite pesanti a pagamento, Norton Power Eraser è invece un piccolo eseguibile gratuito e portatile che adotta una strategia di "terra bruciata". A differenza degli antivirus classici che sono prudenti, NPE è estremamente aggressivo e segnala tutto ciò che ha un comportamento non standard.

È eccellente per rimuovere i "Crimeware" che si camuffano da programmi legittimi. Attenzione però: essendo molto sensibile, potrebbe segnalare come sospetti anche vecchi driver o utility di sistema non firmate. Include una funzione per analizzare il record di avvio multiplo, spesso bersaglio dei rootkit moderni.

Malwarebytes (Modalità Anti-Rootkit)

In passato esisteva un tool beta separato, ma oggi la tecnologia migliore è integrata direttamente nella versione standard di Malwarebytes. Molti utenti però non la sfruttano a pieno perché è disattivata di default per risparmiare tempo.

Per attivare la scansione profonda, bisogna andare nelle Impostazioni, poi nella scheda Sicurezza e spuntare la voce "Cerca rootkit". Questo costringe il motore di scansione a verificare i driver caricati in memoria e i settori fisici del disco. Sebbene la scansione impiegherà molto più tempo, l'efficacia nel rilevare trojan nascosti aumenta drasticamente.

Sophos Scan & Clean

Questo strumento è l'evoluzione del famoso HitmanPro ed è una delle soluzioni più avanzate per la "seconda opinione". Sophos Scan & Clean non richiede installazione e non va in conflitto con l'antivirus già presente.

La sua particolarità è l'uso dell'intelligenza collettiva in cloud: invece di scaricare enormi database di firme sul PC, invia le "impronte" dei file sospetti ai server Sophos per un riscontro immediato. Se un rootkit tenta di nascondere un processo, Sophos lo rileva analizzando le discrepanze tra le chiamate al sistema e l'attività reale della CPU.

GMER (Solo per esperti)

Menzioniamo GMER per completezza storica e potenza tecnica, ma va usato con estrema cautela su Windows 10 e 11. È uno strumento grezzo che elenca processi, driver, librerie DLL e chiavi di registro, evidenziando in rosso le modifiche al sistema.

Non è automatico: GMER vi dice cosa è stato modificato, ma sta all'utente capire se quella modifica è un virus o un driver della scheda video. Cancellare la voce sbagliata qui significa dover reinstallare Windows. Usatelo solo se sapete interpretare i driver di sistema o per salvare un log da mostrare a un tecnico.

Scansione all'avvio: L'approccio Live USB

Se il rootkit è particolarmente resistente, potrebbe bloccarsi in memoria impedendo l'avvio dei tool sopra citati. In questo scenario, l'unica soluzione è attaccare il nemico mentre dorme, avviando il PC da una chiavetta USB esterna con un sistema operativo pulito. Seguendo la rotta di Navigaweb verso una bonifica completa, questo metodo garantisce che il malware non sia attivo durante l'analisi.

Kaspersky Rescue Disk

Rimane uno standard di riferimento per la pulizia di sistemi compromessi. Kaspersky Rescue Disk è una distribuzione Linux con interfaccia grafica che include potenti strumenti di rimozione.

Dopo aver creato la chiavetta avviabile (usando software come Rufus), si avvia il PC dal USB. Il vantaggio principale è il "Registry Editor" integrato che permette di riparare le chiavi di registro di Windows danneggiate dal malware prima ancora di tentare il riavvio del sistema operativo principale.

ESET SysRescue Live

Un'ottima alternativa basata sulla solidità del motore NOD32 è ESET SysRescue Live. Anche in questo caso si crea un supporto avviabile che scavalca Windows.

La scansione di ESET è nota per essere meticolosa e, a volte, lenta, ma è tra le migliori nel distinguere falsi positivi da minacce reali. Offre opzioni avanzate per scansionare anche archivi compressi e settori di avvio, ed è spesso in grado di rimuovere infezioni che bloccano l'accesso ai file ("Access Denied") sotto Windows.

Consigli per una disinfezione sicura

Eliminare un rootkit è un'operazione chirurgica che lascia cicatrici. Spesso il malware sostituisce file di sistema vitali con le proprie copie infette; rimuovendoli, Windows potrebbe perdere funzionalità.

  • Schermata blu all'avvio: Se dopo la pulizia Windows non parte, è probabile che il Boot Record sia stato cancellato. Bisogna usare il disco di installazione di Windows e gli strumenti di riparazione automatica dell'avvio.
  • Internet bloccato: Molti rootkit alterano lo stack TCP/IP. Se la connessione è assente dopo la scansione, aprite il prompt dei comandi come amministratore e digitate netsh winsock reset seguito da riavvio.
  • File di sistema corrotti: È buona norma, a fine procedura, eseguire il comando sfc /scannow nel terminale di Windows per forzare il controllo e il ripristino dei file originali Microsoft.
  • Limitazioni dei tool gratuiti: Alcuni rootkit moderni (UEFI Bootkits) si scrivono nel chip della scheda madre. In questi casi rarissimi, nessuno strumento software può intervenire e l'unica via è riflashare il BIOS/UEFI.
  • Cambio password: Considerate ogni password digitata sul PC infetto come compromessa. Cambiatele tutte, ma fatelo da un altro dispositivo sicuro (come lo smartphone) finché non siete certi della pulizia.

LEGGI ANCHE: Analisi manuale Windows: scovare virus e connessioni sospette





Posta un commento


0%