Risolvere i problemi di windows che rimangono dopo la rimozione di virus e spyware

Giovanni Bernardo | July 24th, 2008
Categories: Settorezero - Security - Free software - Visual Basic - Windows

Ecco la mia (triste) situazione: mi ritrovo a navigare con il portatile di mia moglie, scarico un file eseguibile dal p2p, finito di scaricare, effettuo la scansione con il nod32 (aggiornato), non rileva nulla. “Ok, il file è sicuro” mi dico, e lo faccio partire. Non accade nulla. Dopo alcuni secondi viene cambiato il desktop del pc, appare al suo posto una schermata rossa con il simbolo di pericolo biologico e un link cliccabile che invita a scaricare un software antivirus, gli orari di sistema appaiono con la scritta “VIRUS ALERT!” sia nella taskbar, che in esplora risorse, task manager e regedit disattivati, il pannello di controllo non è più visibile e non mi appaiono gli hard disk in esplora risorse. Ovviamente il pc rallenta di brutto e periodicamente appare la classica finestrella bastarda tipica degli spyware che ti dice che il sistema è infetto e cliccando su ok puoi scaricare un antivirus.

Per prima cosa stacco l’hard disk dal portatile, lo collego al mio pc tramite un adattatore e faccio fare da li una scansione con il mio buon vecchio norton, che rileva un casino di virus e spyware. Ripulito il tutto, rimonto l’hard disk, è tutto ok, ma mi sono rimasti i problemi di cui parlavo prima (task manager e regedit disattivati ecc). Trattasi infatti di modifiche al registro di sistema, che gli antivirus ovviamente non possono riparare. In questi casi bisogna procedere manualmente, entrando nel registro ed effettuando alcune modifiche. Il problema è: se regedit è disattivato, nel registro non ci si può entrare! E non funziona nemmeno la registrazione manuale dei files .reg.

In questi casi si può ricorrere alla creazione manuale di script in VBS, la cosa è molto semplice: con notepad si crea un file di testo vuoto, e si possono inserire le seguenti righe:

CreateObject("WScript.Shell").RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",0,"REG_DWORD"

si salva il file con estensione .VBS, si fa doppio click e lo script viene eseguito. Questa riga non fa altro che modificare una chiave di registro, precisamente quella che blocca il regedit (che normalmente non è presente nel registro, ma viene creata da vari malware).

Una volta riattivato il registro, possiamo risistemare tutte le cosucce rimaste danneggiate:

Il Task manager disattivato: la chiave, da impostare a 0, si trova in:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\System\DisableTaskMgr

in alternativa si può aggiungere la riga:

CreateObject("WScript.Shell").RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",0,"REG_DWORD"

al file vbs di prima in maniera da prendere due piccioni con una fava, se di piccioni ne vogliamo prendere 3, allora aggiungiamo pure la riga:

CreateObject("WScript.Shell").RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel",0,"REG_DWORD"

che riabilita il pannello di controllo.

Di problemi da riparare ce ne sono ancora alcuni e smanettare nel registro non è cosa facile, per questo motivo ho scritto un piccolo software che effettua queste ed altre modifiche al registro tutte in un sol colpo e automaticamente: Gargaroz



Questo articolo ti è stato utile? Ti ha permesso di risolvere un problema o di migliorare le tue applicazioni? Ci lavori? Ti ha permesso di scrivere la tua tesina? Ti ha semplicemente fatto spendere un po' del tuo tempo in maniera costruttiva? Allora clicca il banner qui sotto:


Settorezero.com è un blog personale di Giovanni Bernardo aperto dal 25 Ottobre 2007. Non è una testata giornalistica né un sito a carattere commerciale.
Settorezero.com, il logo Zroid™ e la tagline "Play embedded electronics™" sono copyright ©2007÷2019 Giovanni Bernardo.
La navigazione su settorezero.com e la fruizione dei contenuti ivi presenti sono soggette ai seguenti Termini di utilizzo - Informativa sulla privacy - Utilizzo dei Cookie.
Il tema di questo sito è basato sul tema Fusion per wordpress, realizzato originariamente da digitalnature e fa uso del plugin Wassup per il computo delle statistiche.
Per poter contattare il gestore del sito potete utilizzare la sezione contatti o inviare una email a gianni[at]settorezero[dot]com.
Per seguire gli aggiornamenti del blog Settorezero, oltre al feed RSS, puoi anche seguire la pagina Facebook o iscriverti al canale Telegram.
Su Twitter, invece, pubblico un po' di tutto e, quando mi va, uso anche Tumblr - Google+ - Blogspot - Youtube.