Come rimuovere un Trojan Horse

Ho subito l’attacco di un virus di nome Trojan Horse, il mio antivirus Symantec fornisce solo questi indizi e dice che attacca i file con una certa estensione ma non lo rimuove. Francesco Sciascia Trojan Horse, cavallo di troia, è un’etichetta che gli …

Ho subito l'attacco di un virus di nome Trojan Horse, il mio antivirus
Symantec fornisce solo questi indizi e dice che attacca i file con una
certa estensione ma non lo rimuove
.
Francesco Sciascia

Trojan Horse, cavallo di troia, è un'etichetta che gli antivirus
di Symantec assegnano a quei programmi rilevati durante la
scansione che possiedono le caratteristiche di un cavallo di troia ma per i
quali non esiste una specifica definizione nel database.
In generale l'etichetta è assegnata a tutti quei programmi
che non infettano altri file e che non possiedono un meccanismo di distribuzione
.

I programmi di Symantec utilizzano tre tipi di etichettatura generica.
Backdoor.Trojan
è assegnata ai programmi che aprono le porte
di comunicazione del computer e permettono a un utente esterno di assumere il
controllo del sistema.
PWSteal.Trojan indica un tipo di cavallo di troia in grado
di rilevare e spedire alcuni tipi di password.
Infine tutti quei programmi che non possiedono le capacità dei due precedenti
sono etichettati come Trojan Horse. I programmi di questa categoria
svolgono varie attività che vanno dalla cancellazione di file al cambiamento
delle impostazioni dei sistema e all'esecuzione di programmi dannosi.

Per rimuovere un Trojan Horse si deve per prima cosa aggiornare il
database dei virus
, eseguire una completa scansione del disco
assicurandosi che l'antivirus sia programmato per eseguire la scansione
di tutti i tipi di file e rimuovere qualsiasi riferimento che è stato
aggiunto dal cavallo di troja nel registro di Windows e nei file Win.ini
e System.in
i.
Per aggiornare le definizioni dei virus si può ricorrere al programma
Live Update oppure prelevare il file eseguibile di aggiornamento
dal sito di Symantec
e installarlo manualmente.

Avviate il pannello di controllo dell'antivirus cliccando due volte sull'icona
che rappresenta un PC con una croce rossa presente in basso a destra nella barra
degli strumenti. Selezionate Opzioni, assicuratevi che sia selezionata la casella
Scansione completa dei file (consigliata) e premete Ok. Nella pagina iniziale
cliccate su scansione e fate doppio clic su Scansione del computer. Scrivete
il nome e la locazione dei file infetti prima di cancellarli, servirà
per i passi successivi.
Se il programma riporta di non riuscire a cancellare i file spegnete il computer,
aspettate qualche minuto e riavviatelo in modalità provvisoria. Per accedere
alla modalità provvisoria premete più volte il tasto F8 non appena
scompare la schermata iniziale informativa del BIOS.

Il passo successivo è la rimozione dal registro di Windows di tutte
le modifiche apportate dal cavallo di troia. Avviate il registro andando in
Start, Esegui, digitate Regedit nella casella e premete Ok. Cercate la chiave
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run,
controllate nella finestra a destra, sotto le colonne Nome e Data se esiste
un qualsiasi riferimento ai file che la scansione ha indicato come infetti.
Selezionate il riferimento, premete il tasto Canc e rispondete affermativamente
alla richiesta di cancellazione.
Andate poi alla chiave
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices
e ripetete le operazioni descritte sopra. Uscite dal registro.

La rimozione delle modifiche nei file Win.ini e System.ini è necessaria
solo con i sistemi operativi Windows 95, 98, 98SE e Millennium.
Poiché Windows Millennium crea una copia del sistema da usare nel ripristino
è necessario cancellarla per eliminare i file infetti salvati nel backup.

Per rimuovere i punti di ripristino di Millennium si deve andare
in Start, Impostazioni, Pannello di controllo, Sistema, Prestazioni, File system,
Risoluzione dei problemi, attivare la casella Disattiva Ripristino configurazione
di sistema e riavviare il computer. Cliccate su Start, Esegui, digitate edit
c:\windows\win.ini nella casella e premete Ok. Nelle linee Load e Run cancellate
qualsiasi cosa che si trovi alla destra del segno =. Salvate il file e uscite
dal programma. Cliccate su Start, Esegui, digitate edit c:\windows\System.ini
nella casella e premete Ok.
Andate alla sezione [boot] e localizzate la riga shell=explorer.exe. Cancellate
qualsiasi cosa che si trovi dopo Explorer.exe, salvate le modifiche e uscite
dal programma. La rimozione delle parti infette ora è completa, eseguite
una nuova scansione completa dell'antivirus e rimuovete qualsiasi file
che risulti infettato dal cavallo di troia. Spegnete completamente e fate ripartire
il computer, in Windows Millennium riabilitate il ripristino di configurazione
del sistema.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here