Risolvere i problemi di windows che rimangono dopo la rimozione di virus e spyware
Ecco la mia (triste) situazione: mi ritrovo a navigare con il portatile di mia moglie, scarico un file eseguibile dal p2p, finito di scaricare, effettuo la scansione con il nod32 (aggiornato), non rileva nulla. “Ok, il file è sicuro” mi dico, e lo faccio partire. Non accade nulla. Dopo alcuni secondi viene cambiato il desktop del pc, appare al suo posto una schermata rossa con il simbolo di pericolo biologico e un link cliccabile che invita a scaricare un software antivirus, gli orari di sistema appaiono con la scritta “VIRUS ALERT!” sia nella taskbar, che in esplora risorse, task manager e regedit disattivati, il pannello di controllo non è più visibile e non mi appaiono gli hard disk in esplora risorse. Ovviamente il pc rallenta di brutto e periodicamente appare la classica finestrella bastarda tipica degli spyware che ti dice che il sistema è infetto e cliccando su ok puoi scaricare un antivirus.
Per prima cosa stacco l’hard disk dal portatile, lo collego al mio pc tramite un adattatore e faccio fare da li una scansione con il mio buon vecchio norton, che rileva un casino di virus e spyware. Ripulito il tutto, rimonto l’hard disk, è tutto ok, ma mi sono rimasti i problemi di cui parlavo prima (task manager e regedit disattivati ecc). Trattasi infatti di modifiche al registro di sistema, che gli antivirus ovviamente non possono riparare. In questi casi bisogna procedere manualmente, entrando nel registro ed effettuando alcune modifiche. Il problema è: se regedit è disattivato, nel registro non ci si può entrare! E non funziona nemmeno la registrazione manuale dei files .reg.
In questi casi si può ricorrere alla creazione manuale di script in VBS, la cosa è molto semplice: con notepad si crea un file di testo vuoto, e si possono inserire le seguenti righe:
CreateObject("WScript.Shell").RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD" |
si salva il file con estensione .VBS, si fa doppio click e lo script viene eseguito. Questa riga non fa altro che modificare una chiave di registro, precisamente quella che blocca il regedit (che normalmente non è presente nel registro, ma viene creata da vari malware).
Una volta riattivato il registro, possiamo risistemare tutte le cosucce rimaste danneggiate:
Il Task manager disattivato: la chiave, da impostare a 0, si trova in:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\System\DisableTaskMgr
in alternativa si può aggiungere la riga:
CreateObject("WScript.Shell").RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD" |
al file vbs di prima in maniera da prendere due piccioni con una fava, se di piccioni ne vogliamo prendere 3, allora aggiungiamo pure la riga:
CreateObject("WScript.Shell").RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel",0,"REG_DWORD" |
che riabilita il pannello di controllo.
Di problemi da riparare ce ne sono ancora alcuni e smanettare nel registro non è cosa facile, per questo motivo ho scritto un piccolo software che effettua queste ed altre modifiche al registro tutte in un sol colpo e automaticamente: Gargaroz