Questa guida vi aiuterà ad eliminare manualmente le infezioni da falsi antivirus in modo rapido. Ti aiuteremo anche a capire come funzionano i falsi antivirus e come identificarli.
Come riconoscere i falsi antivirus
I progettisti di software di sicurezza fasulli creano finestre pop-up dall'aspetto legittimo che pubblicizzano software di aggiornamento della sicurezza. Queste finestre potrebbero apparire sul tuo schermo mentre navighi sul web. Possono apparire come un "messaggio di avvertimento" visualizzato su una pagina web, notificando all'utente che il suo sistema è "infetto".
Ecco alcuni esempi di falsi antivirus:
Gli "aggiornamenti" o "avvisi" nelle finestre pop-up ti chiedono di intraprendere qualche tipo di azione, come cliccare per installare il software, accettare gli aggiornamenti consigliati o rimuovere virus o spyware indesiderati. Quando clicchi, il programma di sicurezza canaglia si scarica sul tuo computer.
La maggior parte ha un componente Trojan horse, che gli utenti sono indotti con l'inganno a installare. Il Trojan, che è un tipo di malware che danneggia il tuo computer dall'interno, può essere mascherato da:
-
- Un plug-in o un'estensione del browser (tipicamente una barra degli strumenti)
- Un'immagine, uno screensaver o un file di archivio allegato a un messaggio di posta elettronica
- Un codec multimediale necessario per riprodurre un certo video clip
- Software condiviso su reti peer-to-peer
- Un servizio di scansione malware online gratuito
Tutti questi file appariranno con un'estensione .exe, il che significa che sono file eseguibili. Una volta eseguiti, l'infezione viene distribuita automaticamente.
Abbiamo creato una serie precisa di istruzioni che ti aiuteranno a rimuovere il malware dal computer nel caso in cui sia stato infettato da un falso antivirus.
Passo 1: Riavviare il computer in modalità provvisoria con Networking
In questa modalità, Windows caricherà solo i servizi di base e nella maggior parte dei casi il malware non sarà attivo. Tieni presente che questa è una modalità diagnostica del sistema operativo, quindi la maggior parte dei programmi non funzionerà, compresa la tua soluzione di sicurezza.
Come riavviare il sistema in modalità provvisoria con rete utilizzando Windows 7
-
- Riavvia il computer.
- Premi il tasto F8 diverse volte prima che Microsoft Windows cominci a caricarsi; tocca F8 a intervalli di un secondo fino a quando viene visualizzato un menu di testo (le opzioni di avvio avanzate).
- Seleziona "Safe Mode with Networking" come mostrato nell'immagine qui sotto.
Come riavviare il sistema in modalità provvisoria con rete usando Windows 8, 10, 11
-
- Premi il tasto Windows
dalla tua tastiera + il tasto C. - Verrà visualizzato un nuovo menu nella parte destra dello schermo; clicca su Impostazioni.
- Clicca su Power, tieni premuto Shift sulla tastiera e clicca su Restart.
- Fai clic su Risoluzione dei problemi.
- Fai clic su Opzioni avanzate.
- Fai clic su Impostazioni di avvio.
- Fai clic su Riavvia.
- Premi 5 sulla tua tastiera per attivare la modalità provvisoria con rete. Windows si avvierà ora in modalità provvisoria con Networking.
- Premi il tasto Windows
dalla tua tastiera + il tasto C.
Per maggiori dettagli su come riavviare il computer in modalità provvisoria con Networking per Windows 10 e 11, segui il link qui sotto:
https://support.microsoft.com/it-it/windows/avviare-il-pc-in-modalit%C3%A0-provvisoria-in-windows-92c27cff-db89-8644-1ce4-b3e5e56fe234
Quando ti viene presentata la schermata di accesso, scegli l'account di amministratore. Apparirà una finestra informativa che ti darà l'opzione di continuare a usare la modalità provvisoria o di usare il ripristino del sistema. Fai clic su SÌ per continuare in modalità provvisoria con Networking.
2. Controlla manualmente il file infetto e rimuovilo
Dopo aver effettuato correttamente l'accesso al tuo account utente di Windows, scarica il seguente programma: Autoruns per Windows - questo strumento ti aiuterà a localizzare il malware sul computer.
Salva il file e poi estrai il contenuto dell'archivio (clicca con il tasto destro sulla cartella Autoruns.zip e seleziona 'Estrai qui', o semplicemente fai doppio clic sulla cartella per aprirla).
Nella cartella troverete due file .exe: Autoruns e Autorunsc. Clicca con il tasto destro sul file chiamato Autoruns e seleziona 'Esegui come amministratore'.
Il programma si aprirà e mostrerà un elenco di programmi che sono in esecuzione sul tuo sistema, come si vede nell'immagine qui sotto.
In Antoruns, individua e clicca su Logon, la seconda scheda dall'alto della finestra.
Scorri la pagina e controlla nella voce Autoruns i nomi dei file. Il malware verrà visualizzato con un nome casuale nella maggior parte dei casi e non avrà alcuna informazione nelle sezioni Descrizione o Editore. Verificate nella sezione Image Path i file che si trovano nelle seguenti posizioni:
-
- C:\Users\
- C:\Utenti|"Cartella casuale"
- C:\Users\"Utente computer" \AppData\Local\
- C:\User "Utente computer" \AppData\Local\Temp
- C:\User "Utente computer" \AppData\Local\"Cartella casuale"
- C:\User "Utente computer" \AppData\Roaming\
- C:\Users\"Computer User" \AppData\Roaming\"Random Folder"
- C:\ProgrammaData\
- C:\ProgramData\"Cartella casuale"
Nella maggior parte dei casi, il malware si trova sotto la chiave di registro visualizzata in Autoruns come: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Sotto Image Path controlla anche l'estensione del file, che sarà una delle seguenti: .exe, .dll, .com, .bat, .dat, .lnk, .js.
Una volta individuato il file sospetto, cliccate con il tasto destro su di esso e selezionate Jump to Folder. Si aprirà automaticamente una finestra che mostra la posizione del malware sul vostro computer.
Per rimuovere il file, dovete prima fare clic con il tasto destro sul file e selezionare Elimina. Poi tornate alla finestra Autoruns, cliccate con il tasto destro sul file sospetto e selezionate Jump to Entry. Questo aprirà la finestra dell'editor di registro e mostrerà la chiave di registro che carica il malware.
La chiave di registro sarà selezionata di default quando sceglierete di aprire la voce specifica. A questo punto, l'unica cosa che rimane da fare è eliminare la chiave di registro semplicemente cliccando con il tasto destro del mouse e selezionando Elimina.
Ora puoi chiudere l'editor di registro, così come Autoruns, e svuotare il tuo Cestino.
3. Cancella tutti i punti di ripristino
È molto probabile che almeno un punto di ripristino possa essere stato creato durante il periodo in cui il computer è stato infettato, il che significa che il ripristino del computer a uno stato precedente riporterebbe il malware.
Al fine di rimuovere correttamente tutte le tracce di infezione, è necessario cancellare tutti i punti di ripristino.
Per fare questo, seguite i seguenti passi:
-
- Apri il Pannello di controllo, seleziona Sistema e sicurezza, quindi clicca su Sistema.
- Sul lato sinistro della finestra Sistema, clicca e seleziona Protezione sistema.
- Se è richiesto il permesso di amministratore, clicca su Sì.
- La finestra Protezione del sistema sarà ora aperta e dovrai avere la scheda Protezione del sistema nella parte superiore della finestra selezionata.
- Clicca sul pulsante Configura nella finestra.
- Questo aprirà una nuova finestra, con Restore Settings in alto - in fondo alla finestra, cerca "Delete all restore points" e clicca sul pulsante Delete accanto ad esso.
- Clicca su Continua per confermare la rimozione, poi clicca sul pulsante Chiudi quando richiesto.
- Fai clic su OK per chiudere le altre finestre.
A questo punto tutti i punti di ripristino sono stati rimossi, il che significa che hai eliminato il rischio di riportare il computer a uno stadio precedente quando l'infezione era presente.
4. Riavvia il computer in modalità normale
Accedi al tuo account utente e osserva il comportamento del sistema. A questo punto l'infezione da Falsi Antivirus dovrebbe essere stata completamente rimossa.