How to kill malicious processes

 

Solitamente, le applicazioni antivirus e antimalware (come spyhunter) eliminano automaticamente i processi malevoli non appena li rilevano. Questo metodo è da preferire, poiché questi tool sono in grado di riconoscere con esattezza i processi malevoli. Tuttavia, in alcune circostanze, i processi dovranno essere eliminati prima di effettuare la scansione:

  1. Nel caso in cui volessi rimuovere il malware manualmente;
  2. Nel caso in cui i processi dei malware blocchino l’esecuzione o l’aggiornamento del database dei remover;
  3. Non fossi in grado di scaricare tool anti-malware;
  4. I tool per i malware non avessero ancora nel loro database una particolare versione del parassita e non fossero ancora in grado di rilevarlo.

E’ importante sapere che, questo primo step bloccherà soltanto i sintomi per il reboot conseguente, dovrai in seguito procedere con gli step per la rimozione per ripulire completamente il PC.

Nel caso non ti fosse possibile lanciare spyhunter o qualsiasi altro programma, prova a cliccare con il destro e ad eseguirli come amministratore (su windows 7 o Vista).

Utilizzando la Modalità Provvisoria

La maggior parte dei processi malevoli sono inattivi quando il PC opera in modalità provvisoria con rete. Per avviare in modalità provvisoria con rete, fai la seguente:

  1. Riavvia;
  2. Premi immediatamente F8 (potrai premere F8 un paio di volte);
  3. Scegli dal menu Modalità Provvisoria con rete (preferibilmente) o modalità provvisoria;
  4. A questo punto non dovresti vedere nessuno di quegli avvisi che ti danno problemi durante l’esecuzione in modalità normale, prosegui con i prossimi step per la rimozione del malware. 

Questo metodo non funzionerà se il processo malevolo viene lanciato utilizzando driver, master boot record o (in modalità provvisoria con rete) avviato insieme al browser. Inoltre, la modalità provvisoria potrebbe essere disabilitata.  

Eliminare processi utilizzando il task manager

Il beneficio dell’usare il task manager consiste nel non dover scaricare nulla. Il task manager è presente in tutti I computer windows, sebbene possa essere disabilitato e fornire poco controllo.

taskmanager

Apri il task manager premendo contemporaneamente ctrl+shift+esc o ctrl+alt+del e scegli dal menu. Per risultati migliori, cerca di farlo subito dopo il login di Windows, mentre gli altri programmi stanno ancora caricando. Se non riuscissi, vai su Start->Esegui e digita taskmgr. Se il tentativo non andasse a buon fine, vai su C:WindowsSystem32, copia taskmgr e rinominalo con 1.scr, 1.com o altri nomi casuali. Lancia quindi il file. Puoi anche provare ad avviarlo cliccando con il destro e scegliendo di eseguirlo come amministratore su Windows Vista o Windows 7. Scegli la SCHEDA processi e scegli se vedere i processi di tutti gli utenti (opzionale). Scegli dall’elenco i processi malevoli, clicca con il destro su essi. Premi termina il processo. A questo punto gli avvisi dei processi malevoli dovrebbero scomparire, permettendoti di proseguire con i prossimi step per la rimozione dei malware.

In alcuni casi il task manager potrebbe essere stato disabilitato dal malware.  Una soluzione potrebbe essere quella di andare su C:WindowsSystem32, Fare una copia di taskmgr.exe e rinominarlo come 1.exe o iexplore.exe. Lanciare così il file.

Se ricevessi un messaggio circa la disabilitazione del task manager a causa delle politiche di gruppo, leggi questa guida su come riabilitare task manager. 

Eliminare i processi utilizzando il processo explorer

Il processo explorer fornisce più informazioni su come sono stati lanciati i processi. Inoltre non viene bloccato insieme al Task Manager. Nel caso in cui venisse bloccata la sua esecuzione, cerca di salvarlo come 1.scr, 1.com o iexplore.exe prima di eseguirlo nuovamente.

  1. Scarica il processo explorer da qui : http://download.sysinternals.com/Files/ProcessExplorer.zip e aprilo.
  2. Lancia il processo explorer (procexp.exe).
  3. Seleziona il processo malevolo e premi DEL.
  4. A questo punto gli avvisi dei processi malevoli dovrebbero scomparire, permettendoti di proseguire con i prossimi step per la rimozione dei malware.

Eliminare I processi malevoli con taskkill

Taskkill è una linea di comando disponibile per gli utenti Windows. Questo tool funziona solo se è noto il nome del malware e il task manager è disabilitato.
processexplorer

  1. Per usare task kill, lancialo andando su Start->esegui.
  2. Inserisci taskkill /f /im [malwareprocessname].
  3. Premi invio.

Questo approccio funziona molto bene contro I rogue che utilizzano lo stesso nome e alcuni Trojan.

Utilizzare processi di rimozione automatici presenti nei programmi anti- malware

Alcuni installer di Anti-malware come SpyHunter e Stopzilla eliminano automaticamente tutti I processi sospetti durante l’installazione. E’ un approccio aggressivo, non molto differente da quello utilizzato da rkills. Funziona molto bene contro alcuni di questi rogue che bloccano l’esecuzione e l’installazione.

Eliminare processi malevoli con RKILL

Rkill è un’ utility di proprietà della bleepingcomputer.com . Elimina tutti i processi che vengono eseguiti dalla cartella utente (dove si trovano la maggior parte dei malware) e da alcune altre posizioni. Tuttavia, non è in grado di fermare tutti i processi malevoli e di rimuovere i malware. Può essere scaricata qui: http://download.bleepingcomputer.com/grinler/rkill.com.

  1. Scarica rkill.
  2. Esegui Rkill, apri il log salvato e guarda quali processi dono stati fermata.
  3. A questo punto gli avvisi dei processi malevoli dovrebbero scomparire, permettendoti di proseguire con i prossimi step per la rimozione dei malware.

L’aspetto negativo di questo programma è che potrebbe lasciare processi nel sistema di windows o lasciare in esecuzione programmi, anche se sono malevoli.  

E ADESSO?

L’arresto dei processi comporterà la scomparsa degli avvisi, pubblicità, e altri sintomi causati dal malware solo per questo riavvio. Se decidessi di riavviarlo nuovamente, il sistema ritornerà allo stato precedente, prima dell’eliminazione dei processi, quindi non riavviarlo finché non hai ripulito completamente il tuo PC o finché non ti verrà esplicitamente richiesto in altre guide.

Se non fossi riuscito ad installare ed eseguire un tool Anti-Malware prima dell’eliminazione dei processi, o questi fossero andati in crash, questo è il momento giusto per riprovare. Potrebbero rilevare processi che ti sono sfuggiti. Inoltre, non dimenticarti di aggiornarli! spyhunter potrebbe aiutarti ad identificare I file, dll e le voci di registro che dovrai rimuovere o modificare nei passaggi successivi. Le infezioni non sono andate via, sono state semplicemente bloccate per questo avvio. Se non riuscissi a connetterti ad alcun sito web, segui questa guida su come riparare i reindirizzamenti e i problemi alla connessione Internet, è importante che non riavvii.

Il prossimo passo logico da fare è quello di eliminare i DDL malevoli e riparare lo startup di sistema. Questo dovrà essere fatto prima di cancellare i file infetti, poiché potrebbe danneggiare alcune funzioni di sistema controllate dai parassiti malevoli.

NOTA

Ti consigliamo di commentare e fare domande sul parassita specifico che ti crea problemi. Queste istruzioni sono generiche, potrebbero esserci suggerimenti specifici per quella particolare tipologia di malware.

di Giedrius Majauskas