Guida a GMER
Uno dei migliori programmi in circolazione per individuare i malware/rootkit presenti nei sistemi Windows č proprio GMER. Questo tool ha molte funzioni ma all'utente normale non serviranno, quindi riassumero solo i passaggi fondamentali che servono per poter individuare minacce invisibili ad altri soft di sicurezza (anche quelli piu blasonati) .Dopo averlo scaricato e decompresso avviate il file gmer.exe (Non necessita di installazione)
Verrą visualizzate una schermata bianca che per qualche attimo risulterą bloccata, in pratica il tool esegue una scansione preleminare alla ricerca di rootkit in zone sensibili, per poi mostrarci un reseconto della situazione .
Download
Compatibile NT/W2K/XP/VISTA
Qualora venisse rilevato qualcosa di nascosto (***Hidden***),la schermata mostrerą delle voci in rosso e verrą visualizzato un avviso come da esempio;
L'avviso ci avverte della presenza di un file nascosto e ci chiede se vogliamo eseguire uno scan dell'intero sistema.
ATTENZIONE__Non č detto che tutti i file segnalati in rosso siano dei Rootkit come in questo caso, alcune volte possono essere anche dei file leggittimi,mentre dei file segnalati in nero, possono esserlo,quindi assicuratevi sempre di cosa si tratta o chiedete aiuto ad un esperto prima di procedere all'eliminazione.
Andiamo avanti con la scansione completa del sistema come richiestoci dal programma.
Sul lato destro possiamo notare che il programma di defaut abilita tutte le locazioni disponibili in cui GMER andrą a controllare.
La scansione durerą abbastanza e alla fine vi ritroverete con una schermata del genere;
Come potete vedere vengono visualizzate una marea di informazioni che per alcuni potrebbero essere di difficile comprensione.... Per rendere le cose un po piu facili GMER segnerą in rosso le voci infette, quindi la prima cosa da fare e selezionarle con il destro del mouse e scegliere l'opzione per eliminarle (delete file) / (delete service)
Qualche volta quando andrete ad eseguire la scansione completa cliccando su SI il sistema potrebbe crashare e visualizzare una scheramata blu per poi riavviarsi... Potrebbe essere un bug del programma che si verifica in presenza di rootkit,quindi per cercare di rimediare, al riavvio cliccate su NO invece che SI ed eliminate l’eventuale rootkit visualizzato in rosso cliccandoci sopra con il tasto destro e scegliendo la voce selezionabile ( KILL PROCESS se trattasi di un processo , DELETE SERVICE se trattasi di un servizio etc...). Nel primo caso,dopo aver terminato il processo pero, dovrete anche eliminare la chiave di avvio nel registro di sistema, per evitare che al riavvio del pc, riparta anche il rootkit stesso. Per farlo rifatevi alle spiegazioni che seguiranno sulle funzioni avanzate.
Funzioni avanzate
Per accedervi cliccate sul bottone come da figura ;
Una volta cliccato sul bottone in questione vedrete apparirvi il resto dei tab che vi permetteranno di accedere a tutte le funzioni del programma..(vedi esempio)
Andiamo ad elencarle;
Nel primo tab "processes" saranno visualizzati tutti i processi in esecuzione sul vostro pc. Nel momento in cui andrete a selezionarne uno si affisceranno tutte le librerie e tutti i servizi a cui il processo č legato, che potrete in seguito trattare in base alle vostre esigenze,per esempio "Kill Process" per terminarlo,"Run" per riavviarlo,e "Kill All" per terminarli tutti.
Il tab seguente e cioé "Modules" elencherą tutti i driver di sistema ma sui quali,al contrario dei processi in esecuzione, non avrete alcuna possibilitą di modifica.
In seguito avete il tab "Services" dove sono elencati per l'appunto i servizi presenti nel vostro sistema e tra i quali potrebbero camuffarsi dei servizi infetti.Nel caso fosse cosi, vi basterą selezionarlo con il destro del mouse e scegliere "Delete" per poterlo eliminare. Passiamo adesso ai tab seguenti "Autostart" e "Rootkit" che oltre ad essere i piu usati sono anche i piu efficaci.
Nel tab "autostart" come potete notare avete un tasto con la scritta "Scan" che serve naturalmente a fare una scansione che fornirą la lista di tutti i processi che vengono caricati all'avvio del sistema, e dove molto spesso vanno ad annidarsi i malware per assicurarsi di essere eseguiti automaticamente.(vedi esempio)
Una volta finito lo scan,visto che le voci da analizzare sono tante, mediante il tasto copy, c'č la possibilitą di creare un file di log per poi poterlo analizzare con calma....
In pratica basta cliccare sul tasto copy,e poi aprire una pagina vuota del bloc notes dove riportare il tutto mediante la voce "incolla" del tasto destro del mouse.
Il tab Rootkit invece, non č altro che quanto gią visto all'inizio della guida, se avete fatto la scansione richiesta da GMER dopo l'analisi preliminare . Se cosi non fosse, spuntate la casella "Show All" e cliccate su scan.
Alla fine visto che i dati da analizzare saranno numerosi, ripetete l'operazione sopra descritta per salvare il file di log in modo da poter analizzare il tutto con calma e attenzione.
Gli ultimi due tab rappresentano rispettivamente;
CMD che č una sorta di DOS dove poter inserire i comandi necessari all'eliminazione di file o chiavi di registro avviando il tutto mediante il tasto RUN
Nell'ultima sezione "Settings" anche se le opzioni sono tante, vi consiglio di usare soltanto la funzione per poter eseguire uno scan online senza dover passare per il browser, evitando quindi ogni sorta di blocco che il malware/rootkit potrebbe attuare.
Per farlo selezionate con la spunta la voce relativa allo scanner come da esempio;
Dopo quest'operazione, ai tab andrą ad aggiungersi anche il tab AV Skaner
Selezionatelo e seguite le indicazioni compreso l'installazione dei controlli activex per far si che la scansione possa iniziare.
A questo punto la guida č giunta al termine, ma vi ricordo che per qualsiasi dubbio o chiarimento potrete rivolgervi senza esitare nel forum amico www.wininizio.it
Come rimuovere il Master Boot Record Rootkit