Tu sei qui: Home / Guide / Windows / Pulizia Infezioni - varie

Pulizia Infezioni - varie

Varie cartelle / impostazioni / programmi / voci di registro da controllare in caso di infezione, ed eventualmente da pulire

Cartelle / file temporanei

  • Cache Java
  • Cache Flash

Percorsi in cui cercare residui di programmi malevoli:

C:\Program Files
C:\Program Files(x86)
C:\ProgramData
C:\Users\<utente>\AppData\Local
C:\Users\<utente>\AppData\Roaming

Esecuzione automatica (Menu Start):

C:\Users\<utente>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Programmi malevoli / potenzialmente pericolosi

Per "potenzialmente" si intendono quei programmi che pur non essendo malevoli per conto loro, spesso sono veicolo di programmi malevoli. Da disinstallare subito, ed eventuali cartelle che si trovano in giro sono da eliminare.

  • Babylon
  • BonanzaDeals
  • Conduit
  • DealPly
  • Iminent
  • OfferBox
  • PriceGong
  • SweetIM
  • Wajam
  • Qualsiasi Toolbar

Impostazioni

Internet Explorer

  • Opzioni Internet -> Avanzate -> Reimposta... -> Reimposta

Java

  • Generale -> Impostazioni... -> Dimensione cache 200 MB

Google Chrome

  • Menu -> Impostazioni -> Pagina iniziale

 

Tutti i browser: Alcuni programmi malevoli aggiungono la URL al collegamento nel menu start/desktop. In questo modo anche reimpostando correttamente la pagina iniziale, il browser apre comunque una pagina maligna.
Per pulire i collegamenti, cliccarci sopra con il tasto destro -> Proprietà e in "Destinazione" cancellare la URL lasciando solo il percorso dell'eseguibile del browser.

Operazioni pianificate: vari malware impostati per l'Esecuzione automatica si "nascondono" nelle Operazioni pianificate. Cercarli ed eliminarli (XP: Operazioni pianificate - Vista/7/8: Utilità di pianificazione).

Registro

Programmi malevoli che non si riescono a cancellare perché "bloccati" da wininit:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs

Programmi malevoli che si sostituiscono alla shell predefinita (explorer):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell"="explorer.exe"

Chiavi modificate solitamente da ransomware (virus polizia):

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winmgmt\Parameters
"ServiceDll"="%SystemRoot%\system32\wbem\WMIsvc.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters
"ServiceDll"="%SystemRoot%\system32\wbem\WMIsvc.dll"

Programmi in esecuzione automatica per tutti gli utenti:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Programmi in esecuzione automatica per tutti gli utenti (solo Windows 64 bit):

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx

Programmi in esecuzione automatica per l'utente corrente:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

---