Come rimuovere manualmente una falsa infezione antivirus

Questo articolo è una guida passo passo che vi aiuterà a eliminare manualmente e rapidamente le infezioni da antivirus contraffatti. Vi aiuteremo anche a capire come funziona un falso antivirus e come identificarlo.

Come riconoscere un falso programma antivirus

I progettisti di software di sicurezza illegali creano finestre pop-up dall'aspetto legittimo che pubblicizzano software di aggiornamento della sicurezza. Tali finestre possono apparire sullo schermo mentre si naviga in rete. Possono apparire come un "messaggio di avviso" visualizzato su una pagina web, che notifica all'utente che il suo sistema è "infetto".

Ecco alcuni esempi di falsi antivirus:

A fake antivirus

Gli "aggiornamenti" o gli "avvisi" nelle finestre pop-up invitano l'utente a compiere una qualche azione, ad esempio a fare clic per installare il software, accettare gli aggiornamenti consigliati o rimuovere virus o spyware indesiderati. Quando si fa clic, il programma di sicurezza illegale viene scaricato sul computer.

La maggior parte di essi contiene un componente di cavallo di Troia, che gli utenti sono indotti a installare con l'inganno. Il Trojan, che è un tipo di malware che danneggia il computer dall'interno, può essere camuffato da:

un plug-in o un'estensione del browser (tipicamente una barra degli strumenti)
un'immagine, uno screensaver o un file di archivio allegato a un messaggio di posta elettronica
Un codec multimediale necessario per riprodurre un determinato video clip
Software condiviso su reti peer-to-peer
Un servizio di scansione malware online gratuito

Tutti questi file appaiono con un'estensione .exe, il che significa che sono file eseguibili. Una volta eseguiti, l'infezione si diffonde automaticamente.

Come rimuovere un falso antivirus

Abbiamo creato una serie di istruzioni chiare per aiutarvi a rimuovere il malware se il vostro computer è stato infettato da un falso antivirus.

1. Riavviare il computer in modalità provvisoria con collegamento in rete.

In questa modalità, Windows caricherà solo i servizi di base e nella maggior parte dei casi il malware non sarà attivo. Tenete presente che si tratta di una modalità diagnostica del sistema operativo, quindi la maggior parte dei programmi non funzionerà, compresa la vostra soluzione di sicurezza.

Come riavviare il sistema in modalità provvisoria con collegamento in rete con Windows 7

Riavviare il computer.
Premete il tasto F8 più volte prima che Microsoft Windows inizi a caricarsi; toccate F8 a intervalli di un secondo fino a visualizzare un menu di testo (le opzioni di avvio avanzate).
Selezionare "Modalità provvisoria con collegamento in rete" come mostrato nell'immagine seguente.

Come riavviare il sistema in modalità provvisoria con collegamento in rete utilizzando Windows 8, 10, 11

Premete il tasto Windows sulla tastiera + il tasto C.
Verrà visualizzato un nuovo menu nella parte destra dello schermo; fare clic su Impostazioni.
Fare clic su Alimentazione, tenere premuto Maiusc sulla tastiera e fare clic su Riavvia.
Fare clic su Risoluzione dei problemi.
Fare clic su Opzioni avanzate.
Fare clic su Impostazioni di avvio.
Fare clic su Riavvia.
Premete 5 sulla tastiera per attivare la modalità provvisoria con collegamento in rete. Windows si avvierà in modalità provvisoria con collegamento in rete.

Per ulteriori dettagli su come riavviare il computer in modalità provvisoria con rete per Windows 10 e 11, seguite il seguente link:
https://support.microsoft.com/en-us/windows/start-your-pc-in-safe-mode-in-windows-92c27cff-db89-8644-1ce4-b3e5e56fe234

Quando viene visualizzata la schermata di accesso, scegliere l'account Amministratore. Verrà visualizzata una finestra informativa con l'opzione di continuare a utilizzare la Modalità provvisoria o il ripristino del sistema. Fare clic su SÌ per continuare in modalità provvisoria con collegamento in rete.

2. Verificare manualmente la presenza del file infetto e rimuoverlo.

Dopo aver effettuato l'accesso all'account utente di Windows, scaricare il seguente programma: Autoruns for Windows - questo strumento consente di individuare il malware sul computer.

Salvare il file ed estrarre il contenuto dell'archivio (fare clic con il pulsante destro del mouse sulla cartella Autoruns.zip e selezionare "Estrai qui", oppure fare semplicemente doppio clic sulla cartella per aprirla).

Nella cartella si trovano due file .exe: Autoruns e Autorunsc. Fare clic con il pulsante destro del mouse sul file denominato Autoruns e selezionare "Esegui come amministratore".

Il programma si aprirà e visualizzerà un elenco di programmi in esecuzione sul sistema, come mostrato nell'immagine seguente.

In Antoruns, individuare e fare clic su Logon, la seconda scheda dall'alto della finestra.

Scorrere la pagina e controllare i nomi dei file nella voce Autoruns. Nella maggior parte dei casi il malware verrà visualizzato con un nome casuale e non avrà alcuna informazione nelle sezioni Descrizione o Editore. Verificare che nella sezione Percorso immagine siano presenti i file nelle seguenti posizioni:

C:\Utenti\
C:\Utenti|"Cartella casuale"
C:\Utenti\"Utente computer" \AppData\Locale\
C:\Users\"Computer User" \AppData\Local\Temp
C:\Utenti\"Utente computer" \AppData\Locale\"Cartella casuale"
C:\Utenti\"Utente computer" \AppData\Roaming\
C:\Users\"Computer User" \AppData\Roaming\"Random Folder" (Cartella casuale)
C:\ProgramData\
C:\ProgramData\"Cartella casuale"

Nella maggior parte dei casi, il malware si trova nella chiave di registro visualizzata in Autoruns come: HKCU\Software\Microsoft\Windows\CurrentVersion\Esecuzione

In Percorso immagine controllare anche l'estensione del file, che sarà una delle seguenti: .exe, .dll, .com, .bat, .dat, .lnk, .js.

Una volta individuato il file sospetto, fare clic con il tasto destro del mouse e selezionare Salta alla cartella. Si aprirà automaticamente una finestra che mostra la posizione del malware sul computer.

Per rimuovere il file, è necessario fare clic con il tasto destro del mouse sul file e selezionare Elimina. Tornare quindi alla finestra Autoruns, fare clic con il pulsante destro del mouse sul file sospetto e selezionare Salta alla voce. In questo modo si aprirà la finestra dell'editor del Registro di sistema e verrà visualizzata la chiave di registro che carica il malware.

La chiave di registro verrà selezionata per impostazione predefinita quando si sceglie di aprire la voce specifica. A questo punto, l'unica cosa che resta da fare è eliminare la chiave di registro semplicemente facendo clic con il pulsante destro del mouse su di essa e selezionando Elimina.

A questo punto è possibile chiudere l'editor di registro, così come Autoruns, e svuotare il Cestino.

3. Eliminare tutti i punti di ripristino

È molto probabile che sia stato creato almeno un punto di ripristino durante il periodo in cui il computer è stato infettato, il che significa che il ripristino del computer a uno stato precedente riporterebbe il malware.

Per rimuovere correttamente tutte le tracce dell'infezione, è necessario cancellare tutti i punti di ripristino.

Per farlo, seguite i passaggi seguenti:

Aprire il Pannello di controllo, selezionare Sistema e sicurezza, quindi fare clic su Sistema.
Sul lato sinistro della finestra Sistema, fare clic su e selezionare Protezione sistema.
Se è richiesta l'autorizzazione di amministratore, fare clic su Sì.
A questo punto si aprirà la finestra Protezione sistema, nella cui parte superiore dovrà essere selezionata la scheda Protezione sistema.
Fare clic sul pulsante Configura nella finestra.
Si aprirà una nuova finestra, con la dicitura Impostazioni di ripristino in alto; nella parte inferiore della finestra, cercate "Elimina tutti i punti di ripristino" e fate clic sul pulsante Elimina accanto ad esso.
Fare clic su Continua per confermare la rimozione, quindi fare clic sul pulsante Chiudi quando richiesto.
Fare clic su OK per chiudere le altre finestre.

A questo punto tutti i punti di ripristino sono stati rimossi, il che significa che è stato eliminato il rischio di riportare il computer a uno stadio precedente in cui era presente l'infezione.