Come ripulire il PC…

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

… e vivere felici.
Negli ultimi anni mi è capitato sempre più spesso di dover ripulire le macchine di clienti, conoscenti ed amici. Non da virus, perché fortunatamente quasi tutti hanno capito l’importanza di un antivirus aggiornato, ma da dialer, spyware, adware e malware.
Tali categorie di software sono molto più difficili da individuare e da sradicare, rallentano il sistema e lo rendono molto instabile; tra l’altro può capitare di vedersi apparire pagine web piene di signorine dai facilissi costumi impegnate a fare del bene al prossimo. Questo non sempre è desiderabile, specie se il computer viene usato da minori o persone particolarmente sensibili.
Ecco come fare per eliminare questi programmi parassita.

Come prima cosa vi dovete dotare di tre programmi, gratutiti e reperibili in rete:

  • SpyBot Search and Destroy: un nome aggressivo per un ottimo prodotto.
  • Ad-Aware SE: un classico, nato dal pragmatismo teutonico, poi evolutosi benissimo.
  • CWShredder: un tool di nicchia, non tutti lo conoscono, ma toglie alcuni problemi che altri prodotti ignorano.

L’azione dei primi due programmi non è sovrapponibile, nel senso che, malgrado gli scopi dichiarati, ciascuno dei due toglie cose che sfuggono all’altro.
Diamo per scontato che il sistema sia libero da virus, cosa che avrete preventivamente controllato con una scansione di tutti i files sul computer.
Cancellate tutti i files temporanei di Internet Explorer e tutti i temporanei del sistema. Questi ultimi si trovano in cartelle diverse a seconda del sistema operativo:

  • Se usate Windows 9X li trovate in c:&#092windows&#092stemp
  • Se usate Win2000 o XP li trovate in c:&#092Document and Settings&#092nome utente&#092Impostazioni locali&#092Temp. Dovete però ricordarvi di attivare la visualizzazione dei files e cartelle nascoste, altrimenti non riuscirete a trovarli.

Potrebbe succedere che alcuni di questi files non siano cancellabili: non preoccupatevi e cancellate tutto quello che potete.

Cliccate con il tasto destro sul disco C–>Proprietà–>Generale–>Pulitura disco, e cancellate tutto senza attivare la compressione dei files meno usati.

Cercate il file hosts (attenzione non hosts.sam). Si trova in c:&#092windows (Win9X) o in c:&#092windows&#092system32&#092drivers&#092etc, ed apritelo con il blocco note. Controllate che abbia solo poche righe al suo interno e non ci siano righe con riferimenti a siti chiaramente sospetti, che vanno cancellate. Le righe che iniziano con “#” sono commenti e la riga
127.0.0.1 localhost
la dovete lasciare. Attenzione che le aggiunte “maliziose” non siano inserite molto avanti nel file, che in questo modo, ad un occhio distratto, apparirà a posto.

A questo punto installate SpyBot e lanciatelo. Il programma vi guiderà nell’attività di aggiornamento delle definizioni, vi chiederà se volete “immunizzare” (fatelo), dopodichè potrete lanciare una “scansione” del sistema. Dopo alcuni minuti verranno evidenziati i problemi da correggere, che potrete “curare” premendo il tasto apposito. Dopo il riavvio della macchina c’è la possibilità che venga eseguito un altro passaggio, cosa della quale dovreste essere stati avvertiti.

Stessa cosa per Ad-Aware: installare, lanciare, aggiornare, “scansione”. Ricordate che al termine della scansione, quando apparirà la lista degli oggetti rilevati, dovrete selezionarli tutti: tasto destro–>Select all object. Dopodichè procedete a rimuovere quanto rilevato.
Anche adesso al riavvio potrebbe accadere che il programma giri nuovamente.

Siete pronti per far funzionare CWShredder. Basta lanciarlo e cliccare su “Fix It!”, al resto pensa lui.

Ricordatevi di controllare la pagina di partenza di Internet Explorer, e avete finito.

Attenzione, ci vuole nulla per rimanere nuovamente vittima di spyware e simili, vi consiglio caldamente di abbandonare Internet Explorer e di cominciare ad usare Firefox. Già che ci siete, lasciate perdere anche Outlook e usate Thunderbird, il fratello “postino” di FireFox.
Sono ottimi prodotti, stabili, facili da usare, sicuri e gratuiti.

N.B. Se avete installato programmi che si portano dietro dell’adware, es: Kazaa, siate consci che potrebbero smettere di funzionare, dopo la “cura”. Ma voi non lo avete fatto, VERO?

106 commenti

  1. Wow, gran bella guida… 🙂
    Ora la stampo, ne faccio un manifestino e la distribuisco in ufficio. 😉
    Fortuna che sulle macchine che amministro, con Windows Server 2003, tutte quelle cose non ci sono. 😛
    Il problema arriva con le macchine degli amici o quelle in ufficio che hanno accesso ad Internet.
    Non ancora ho capito come facciano a raccogliere cos tanti dialer, porcate e virus… mah, mistero… 😀

  2. E, tra l’altro a voler essere un po’ paranoici, chi ci dice che dopo aver passato il PC con 3 prodotti diversi, esso sia veramente pulito?

  3. Nessuno te lo pu assicurare, purtroppo. Talvolta pu succedere che qualcosa rimanga. Tuttavia, sulla base delle centinaia di PC che vedo ogni anno, ho una ragionevole sicurezza che il grosso della schifezze sia stato rimosso. Molto dipende dalle abitudini dell’utente e dai siti che frequenta.

  4. Ti ringrazio per questo blog: ho seguito la tua ricetta di pulizia e ho potuto constatare che SpyBot Search and Destroy ha trovato delle cose sfuggite ad Ad-Aware SE (che avevo gi installato). Ci che mi stupisce e mi delude maggiormente che tutto questo avvenga nonostante a monte abbia installato Norton Internet Security (in particolare Norton Firewall) ed io frequenti siti “sicuri”.

  5. Un firewall in grado di analizzare il tipo di traffico, cio il protocollo TCP o UDP. Non in grado di scendere “nel merito” del contenuto, per quello ci vuole un proxy.
    (Queste affermazioni sono semplificate e generiche.)

  6. perche’ per firewall personale non usare Agnitum Outpost? la versione 1 e’ del tutto gratuita e gode di un ottimo tutorial in italiano su web …

    Abbandoniamo Norton 🙂

  7. Se non sbaglio Thunderbird dotato di una funzione di importazione dai pi diffusi client email, e l’importazione viene proposta in fase di installazione, oppure possibile effettuarla successivamente tramite l’apposita voce di menu.

  8. Salve sono Francesco, ho eseguto tutte le operazioni che hai descritto, ma quando uso Ad-Aware e alla fine seleziono tutti i file da eliminare, mi compare la finstra piccola rettangolare che rappresenta l’avanzamento dell’operazione di eliminazione, ma in ultimo mi si blocca, solo quella finestrella per, senza alla fine eliminarmi nulla, come mai??

  9. Pi che un commento faccio una domanda:

    Sul mio mio pc ogni 2/3 minuti si apre la pagina web http://int.x69x.net/casino/traking.htm e in successione si aprono una serie di pagine e maschere di installazione.

    Probabilmente navigando in qualche sito di suonerie si installato qualcosa nel pc.

    Di cosa si tratta? Come posso fare a disinstallare tutto???
    Ho provato a fare una ricerca nel registro di sistema e a cancellare qualche file che fa riferimento a questo sito ma nulla.

    Chiedo aiuto….. Grazie mille, Luigi

  10. Ciao a tutti…

    ho lo stesso problema:
    http://int.x69x.net/casino/traking.htm

    Ho installato questo Certificato per errore:
    CN = CARIMA ENTERPRISES LIMITED
    OU = Digital ID Class 3 – Microsoft Software Validation v2
    O = CARIMA ENTERPRISES LIMITED
    L = London
    S = London
    C = GB

    Facendo l’aggiornamento di RealPlayer.

    Ho provato tutti i programmi di cui sopra senza risultati ( SpyBot, Ad-Aware SE, CWShredder e Microsoft AntiSpyware)

    Qualche Idea?

  11. ragazzi, mi associo al problema del sito

    http://int.x69x.net/traking1.htm

    per sbaglio si installato nel pc il programma passe-partout.exe che mi fa aprire continuamente pagine web con donnine in abiti discinti…e non bello, anche perch ci lavoro! cosa posso fare? l’applicazione passe-partout.exe non si riesce a cancellare…..sono disperata! aiutatemi!!!

  12. Spero di essere utile nel dire che l’ultima definizione delle regole di ricerca di spybot search & destroy riesce a trovare NETVISION (dovrebbe essere in qualche modo collegato al dialer CARIMA)
    Ciao a tutti

  13. Per tutti quelli che hanno segnalato problemi riconducibili a dialer e simili (scusame ma lo leggo solo adesso), che fanno aprire finestre pop-up o dirottano su altre pagine web, provate a “sdradicare tutto” con il programma HiackThis (con Google lo trovate facilmente), io vi segnalo per comodit questo indirizzo da dove lo potete scaricare e leggere una guida descrittiva. Il link questo

    http://www.ilsoftware.it/articoli.asp?ID=1972&pag=6

    Segnalo questo programma perch molto efficace per risolvere il problema dei dialer che si insinuano nel computer e molti non sapendo come eliminarli ricorrono all’intervento di un tecnico che il pi delle volte chiede un prezzo sproporzionato per una operazione che con un po’ di pratica si puo’ fare da soli.
    Al termine della scansione analizzando il log del registro si eliminano senza difficolt i dialer presenti nel computer.
    Per chi non ha pratica, pu incollare il log del registro nella text area di supporto al programma che si trova a questo indirizzo http://www.hijackthis.de/it che lo analizza in automatico e mette in evidenza i punti del registro sospetti che devono essere cancellati per eliminare i dialer.
    Mi scuso se in altre parti del sito gi stato spiegato.

  14. ciao !!
    premetto di non capire molto di pc !!
    cos’ l’id ?, cps’ l’ip?, questi possono essere tenuti nascosti? anche in chat ?
    ehehe troppe domande lo so , per aiutatemiiiii !!
    grazie !!

  15. Ciao Andrea,
    sono un collaboratore del portale indicato. Da qualche tempo chi visita il nostro sito (non tutti gli utenti, ma solo alcuni) si imbatte nell’apertura della finestra di installazione di quello che a quanto pare un dialer: Autorizzazione richiesta da NETVISION, rilasciato da CARIMA enterprises. Ci forse coincide con l’adozione delle statistiche special stat (ma forse ci sbagliamo”. Non vorremmo infatti che oltre alle statistiche venga caricato un file con il dialer in questione. Pensi sia possibile? Grazie per la sicura risposta. Anna

  16. Anna, certamente che possibile, e mi pare di vedere che addirittura viene richiesto un redirect verso un dominio “x69x.com”, che non mi dice nulla di buono. Se hai anche il minimo dubbio ti consiglio di abbandonare il servizio. Continua ad usare ShinyStat. Se ne hai la possibilit installa uno script di statistiche direttamente sul server, che la cosa migliore.
    Comunque la prova migliore togliere lo script sospetto e vedere come si comprta il sito.

  17. Complimenti per l’ottima guida cmq spero di nn avere cancellato qualcosa di importante perche’ ho notato che con il programma spybot search and destroy ho cancellato anche delle chiavi di registro.
    Ti sarei molto grato se potessi darmi delle delucidazioni al riguardo.
    Grazie anticipate

  18. Ciao Andrea, mi chiamo Sara e per caso ho trovato il tuo sito. Volevo sapere come togliere i virus che ti aprono siti di casin ecc…e sapere magari, da dove vengono. In ufficio siamo pieni e noi in quei siti non ci siamo mai andati! grazie Ciao ciao

  19. Ciao, ho trovato questa pagina mediante google e i riferimenti a CARIMA. Temo che lo abbbiano rinnovato, i vecchi criteri per togliere gli insistenti avvisi di protezione non servono più, Spy boot risulta inutile , lo stesso HijackThis, non so Adaware, che per togliere guai seri è a pagamento.
    Non sono esperto di questo genere di cose. CARIMA compare su certi siti, ma non credo che infesti i server, piuttosto penso che il codice di certi siti attivi CLSID o ActiveX sul nostro pc… non so, cmq è dura e nn trovo in giro info utili
    scusa la lunghezza del post grazie
    ciao
    Jo

  20. Complimenti per la guida, ottima, mi ha risolto un paio di problemini…sfortunatamente uno è rimasto li al suo posto!
    Le ho anche scritto un e-mail inerente a ciò, però Le spiego anche qui qual’è il mio problema!
    Ogni volta che clicco sull’icona Internet Explorer, mi si apre, oltre alla mia pagina iniziale, un sito a pagamento nn gradito. Controllando le impostazioni di internet mi sono reso conto che quel sito si è inserito da solo nella lista si siti attendibili, e pur eliminandolo dalla lista ad ogni riavvio esso mi ricompare. Come devo fare per risolvere il mio problema???Se nn le crea fastidi, la prego mi aiuti

    La ringrazio dell’attenzione

    Mario

  21. Buongiorno,
    recentemente ho erroneamente installato nel mio pc un dialer (netvision) che avvia una connessione verso FASTTRAK cliccando sull’opzione “sempre” che mi era stata presentata dal firewall di windows
    Ho eseguito tutte le procedure per rimuoverlo però ogni volta che torno sul sito dove era presente la richiesta di installazione a cui ho risposto “sempre” automaticamente mi si reinstalla e mi modifica l’homepage con un indirizzo http://www.3000.ws Poichè quel sito è per me importante non posso far a meno di usarlo. Come posso fare per evitare tale problema? Esiste un opzionme che permetta al firewall di richiedemi nuovamente se voglio installarlo,renderlo attendibile ecc..
    GRAZIE

  22. Ciao a tutti, mi unisco al coro delle vittime Fastrack e dei siti che apre.

    io devo riavviare, ma forse ho trovato qualcosa di utile.

    Per sopperire alla connessione coatta (a me staccava alice e connetteva sto fastrack, aprendo poi in automatico i siti che sapete….in pratica quei siti si aprono perché c’è QUELLA connessione)

    Eliminando la connessione si reinstalla in 10 secondi quindi io all’inizio NON l’ho eliminata, ma ho cambiato tutti i parametro (nuovo tentativo dopo 24 ore, ho modificato il numero di telefono mettendo +++ ecc…)

    Ho tolto la bestia (Fastrack) dal menù avvio facendo:
    start>esegui: mscongig > Hkey_local_machine >software >microsoft>Windows> current version> run

    Ho poi trovato il suo eseguibile, che si chiama passpartout.exe, sta in c:\windows e in qualche altra cartella, tra cui i files temporanei.

    ho pulito i files temporanei, i cookies e poi ho tolto la conessione.

    Devo ancora riavviare, non so se ho debellato tutto, chi scopra qualcosa in più o sa correggermi, si faccia avanti.

  23. ciao io ho fatto tutto quello che dici per ripulire il mio pc ma ogni volta che riaccendo il pc mi apre la catrella system32 per il resto ho risolto sia la pagina iniziale che le varie finestre cosa posso fare per quella cartella che si apre?

  24. ciao a tutti purtroppo ho un problema che non riesco a risolvere.Praticamente ogni tanto a caso, la connessione che uso cade e si avvia automaticamente una connessione di nome “internet” che però non riesce a connettersi perchè ho disattivato tramite il 187 le chiamate verso tutti i numeri ad elevato costo,come posso fare per elimenare questo problema??? grazie a tutti ps FORZA ITALIA!!!

  25. ho un hp che da qualche tempo pare più lento all’avvio, inoltre aprendo le cartelle molte volte appaiono bianche con una torcia che cerca dopo compaiono le icone. Ho provato diversi anti virus ( ho tolto il norton) ora ho l’AVg ma il firewall non è attivo e allo stesso tempo non posso aprire le impostazioni da pannello di controllo. Che problema ho? Come posso risolverlo?

  26. Ho dei problema. Nel pannello di controllo in installazioni applicazioni non mi fa rimuovere programmi. Inoltre il Pc non me li fa installare e si blocca a metà installazione. Poi ala chiusura di explorer mi esce una finestra di iexplore.exe – errore di applicazione con scritto – L’istruzione a “0x01ad3795” ha fatto riferimento alla memoria a “0x013df238”. La memoria non poteva essere “read”. Fare click su ok per terminare l’applicazione.
    Come posso risolvere questi problemi?

  27. Ho il problema dell'”AVVISO DI PROTEZIONE FAST TRACK…”.
    Ho seguito i tuoi suggerimenti. Effettivamente cwshredder le toglie per un pò, ma dopo alcuni minuti riappare.
    CWSHREDDER si può aggiornare gratuitamente?
    Grazie. Ciao

  28. Passepartout e fasttrack sono diventati la mia battaglia quotidiana da una settimana. Su un PC di un conoscente. Purtroppo ha windows 98 (e neanche second edition!)
    Ho fatto praticamente tutto quanto viene consigliato in questo forum ed in altri. Ho passato piu volte Spybot Adaware Lavasoft ed altri vari. Ho ovviamente fatto scansioni con antivirus (Trend micro on line scan, Panda antivirus 2007) Il tutto sia con avvio normale sia con avvio in modalità provvisoria.
    Il problema rimane: basta aprire internet explorer e nel giro di 2 secondi si aprono tonnellate di finestre “Fasttrack”.

    Il mio dubbio piu grosso però è questo:
    ho provveduto a seguire la procedura di rimozione manuale del dialler in questione che pare essere il “Trafficadvance” (le finestre che si aprono da me sono esattamente quelle descritte per questo melefico!), cosi come dettagliatamente descritto sul sito di Symantec e di altri siti di supporto ma ……….. nessuna delle molte voci e chiavi e files che dovrei trovare nel registro ed altrove , è stata da me trovata, come ad esempio le seguenti:

    files nella cartella di windows:
    Adulti.exe
    Meteo.exe.
    Diari di viaggio.exe
    Passe-partout.exe
    Patente.exe
    Trucchi e videogiochi.exe
    Passepartout.exe
    Software.exe
    Downloaded Program Files\1004908.exe

    chiavi nel registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Apple Computer, Inc.
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\[RANDOM CLSID]
    \Toolbor\Bitmap32
    HKEY_CURRENT_USER\S-15-21-329068152-3082236825-839522115
    \Software\Microsoft\IEAK
    HKEY_CURRENT_USER\S-15-21-329068152-3082236825-839522115\Software
    \Microsoft\Internet Connection Wizard
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{FFFF0003-0001-101A-A3C9-08002B2F49FB}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext
    \Stats\{FFFF0003-0001-101A-A3C9-08002B2F49FB}
    HKEY_CURRENT_USER\Software\NETVISION

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

    In the right pane, delete the following:

    “” = “C:\Programs Files\Internet Explorer\Connection Wizard\icwhelp.dll, 1”
    “” = “ISmartStart”
    “” = “IUserInfo”
    “” = “IICWSystemConfig”
    “” = “ICWhelp 1.0 Type Library”

    eccetera eccetera (non voglio tediarvi con tutte le altre voci di registro che dovrei trovare con questo dialler ma non trovo!

    C’agge a fa? A questo punto non so neanche contro cosa devo “combattere”!!!

    qualcuno mi dirà: non usare ie, ma usa firefox. ma questo lo so, il problema è che firefox non va bene sempre in particolare con certi activex, scansioni on line e moltri altri casi.
    E poi…… perché rassegnarsi?
    Ciao

  29. Pingback: SBONTOLO
  30. Salve a tutti, ciao Andrea,
    complimenti per il sito: bello,sobrio e utile.
    Avrei un po’ di cose da chiederti circa la pulizia del pc, dopo aver subito un attacco massiccio di dialer, spyware, adware e malware vari -e dopo aver ripulito- il pc è rimasto un po’ grippato (diciamo offeso) e rallentato ed ho riscontrato i seguenti problemi:
    -appare spesso il messaggio di windows (2000) che dice che la memoria è insufficiente e tenta di aumentarla, per ovviare ho aumentato manualmente la quantità di memoria per singola operazione, ma non ha sortito nessun effetto.
    Penso che se anche aumentassi la ram fisica succederebbe lo stesso.
    – Firefox (1.5.0.7) è piuttosto instabile, ha problemi con il lettore shockwave/flash e spesso appare il messaggio che si chiuderà con la creazione del registro errori.
    Ho provato a installare/disinstallare sia firefox che il lettore shockwave/flash, con la persistenza dei problemi. Cosa altro posso fare?
    Saluti,

    Claudio

  31. Carissimo Andrea ti scrivo per esporti un grosso problema con cui ho ormai imparato a convivere purtroppo!Ho preso il worms helkern che giornalmente kaspersky mi rileva e nn so veramente cosa fare per riuscire a toglierlo ed eliminarlo,scusami se ti rubo un po di tempo per un consiglio,saluti.

  32. perfettamente d’accordo nell’utilizzo dei suddetti programmi.
    non ho ancora trovato di meglio.
    Aggiungerei Hijackthis che spesso aiuta

  33. mi permetto di rispondere al messaggio di
    alberto — Il 07/10/2006 alle 15:58

    ti suggerisco di effettuare una scansione del sistema in modalità provvisoria.
    avvia il pc e nella schermata del boot di avvio premi F8 e scegli la modalità provvisoria.Qui effettua una scansione con il tuo antivirus, dovresti riuscire a rimuovere il maledetto virus.
    CIAO

  34. ciao all’improvviso mi si apre la finestra di internet explore ke mi si vuole collegare su un sito porno,sia quando sono collegato ke quando no, come posso fare per eliminare questo messaggio???grazie mille!!

  35. Ciao Ragazzi. Ho un grosso problema e spero che qualcuno riesca a trovarne la soluzione!
    Ho ripulito il mio pc da un virus un certo Antiviruswin2006pro.. Solo che ora il mio pc non naviga più in determinate pagine web. Che sono i siti di Hijackthis.de e aggornamenti Spybot.. e aggiornamenti firewall di Windows…
    Qualcuno ha gia avuto a che fare con problemi simili?.. ne conosce la soluzione?.
    Grazie

  36. ma come mai nel mio pc manca il file hosts?
    cercato anche in quelli di sistema ma niente… e mi son preso un virus micidiale (w32.Myzor.fk@yf) boh ora metto su firefox

I commenti sono chiusi.