PScanner++ Website

File scanner scansiona il disco rigido o parte di esso, classificando i file eseguibili in Packed, Hidden, Suspect e Locked. Di default controlla anche la presenza degli ADS.

Dopo una scansione di questo tipo, la classica domanda che l'utente si pone è: "ora, cosa devo eliminare?"
La risposta purtroppo non è altrettanto scontata. Vediamo intanto di dare qualche nozione di base che ci aiuterà a spulciare le liste.

• generalmente i malware, prima di essere introdotti nel web, vengono compressi per almeno due buoni motivi: 1) il loro peso si dimezza rendendo più agevole e veloce la trasmissione dello stesso; 2) il loro corpo diventa cifrato/criptato e questo complica non poco il loro studio. ATTENZIONE: se è vero che un malware è quasi sempre compresso è altrettanto vero che un file compresso non è necessariamente un malware.
• una tecnica banale usata dagli sviluppatori di malware, è quella si nascondere il loro file usando l'attributo h, cioè hidden (nascosto). Ricordiamo che ogni file ha almeno quattro attributi: a = archive; h = hidden; s = system; r = read only. L'attivazione dell'attributo h o s comporta la mancata visualizzazione del file su esplora risorse, a meno che non venga attivata manualmente la loro visualizzazione.
• i malware devono potersi insidiare nella quasi totalità dei sistemi (anche eterogenei) e per far questo hanno bisogno di trovare uno scenario standard, cioè una struttura di cartelle quanto più possibile univoca e familiare. E' per questo motivo che moltissime infezioni hanno luogo nella cartella \Windows\System32, ed in poche altre cartelle ricavabili dinamicamente dalle variabili d'ambiente.
• un'altra tecnica utilizzata è quella di confondere il malware con un processo di sistema. Uno per tutti svchost.exe. Alzi la mano chi non ha mai rimosso un file dal nome simile. Poichè il vero svchost.exe si trova nella cartella system32, i trucchi usati sono due: 1) utilizzare la cartella system32 cambiando una lettera nel nome del malware, ad es. svch0st.exe; 2) mantenere il nome cambiando la cartella, ad es. \Windows\svchost.exe invece di \Windows\system32\svchost.exe
• solitamente un malware viene compilato senza informazioni sul produttore o con produttore Microsoft Corporation, giusto per ingannare l'utente ma anche alcuni software
• spesso e volentieri i nomi dei malware sono random, cioè generati casulamente al momento. Questo stratagemma può ingannare alcuni antimalware, ma nel nostro caso può solo farci comodo.

Detto questo, il primo consiglio pratico da dare per spulciare la lista generata dalla scansione è quello di LEGGERE il percorso. Devo cioè sapere dove si trova il file. Questo consiglio, pur essendo banalissimo, è di fondamentale importanza per questo modulo e per l' Hijacker.

Nell'esempio riportato in figura sono stati trovati 458 file compressi, apparentemente tanti ma praticamente analizzabili in pochi secondi. Dallo scorcio di lista in figura vediamo dapprima la cartella System Volume Information. In questa fase questa cartella può essere tralasciata, poichè la cancelleremo completamente più avanti. Poi troviamo una cartella Util con altre sottocartelle. Anche stavolta possiamo tralasciarla trattandosi di una cartella personale :) A seguire troviamo \Windows\Installer. Qui cominciamo ad entrare in un a zona delicata trattandosi della cartella del sistema operativo, quindi massima attenzione! Se non conoscete la funzione di questa cartella, cercatela su google e vedrete che è meglio non toccarla. Cancellandone il contenuto non sarete più in grado di disinstallare molti dei vostri programmi. Ignoriamola! \Windows\Lhsp\Voice è una cartella creata dal software L&H Power Translator, niente paura quindi. Approdiamo alla system32 e ad una serie di dll, in parte riconoscibili dal nome, altre dal produttori, altre grazie a google.

In questo caso, su 458 file compressi nessuno risulta di tipo maligno, ciò a dimostrazione di quanto detto prima e cioè che un file compresso non è necessariamente un malware!

Se non vi sentite in grado di interpretare questo modulo, tralasciatelo pure... non è fondamentale alla rimozione dei malware "attivi". Il suo fine è quello di eliminare file inutili ex componenti di ospiti indesiderati.

PS: usando il tasto destro del mouse accederete ad importanti funzioni...