Come sapere se sei infetto da un virus

4

Hai notato un notevole rallentamento del tuo pc e anche di internet?

E’ molto probabile che tu sia infetto da un malware e,di conseguenza,i tuoi dati e la tua privacy sono in serio pericolo!
Probabilmente penserai..

Ma io ho un Antivirus!..

Beh in molte circostanze gli Antivirus sono poco utili, diffida chi ti dice “Avendo un antivirus sei al sicuro!” :  purtroppo al giorno d’oggi non è così.
Ovviamente usando un buon antivirus hai maggiori possibilità di rilevare malware UNFUD.

“Unfud?Di che cosa stai parlando?”
I termini UNFUD e FUD sono spesso utilizzati da malintenzionati (hacker/cracker) per classificare quanto un loro Malware è (o non è) rilevabile da uno o più antivirus.
Quindi chiariamo questi due punti essenziali :

FUD:  un malware si dice FUD quando non è rilevabile da alcun antivirus.
In parole povere, il malware entrerà in funzione sui vari pc vittima “bypassando” ogni antivirus.

UNFUD:  un malware si dice UNFUD quando uno o più antivirus riescono a rilevarlo.
Per intenderci : gli antivirus riescono a rilevare e “bloccare” i malware non molto recenti o generati da qualche inesperto.

Come posso sapere se sono infetto senza l’aiuto di un antivirus?

Per prima cosa apriamo il Task Manager (Ctrl+Alt+Canc)
Andiamo sulla scheda “Processi”, nel menù in alto, e premiamo “Visualizza” (View), “Seleziona colonne” (Select Columns) e infine spuntiamo sulla checkbox ” PID (Process Identifier)”

Task Manger PID Virus

Se hai seguito tutti passaggi bene, nel tuo Task Manager visualizzerai una nuova colonna chiamata “PID”

PID Virus

Adesso dobbiamo andare su “Start”, scriviamo  “Esegui” e scriviamo “CMD”

CMD Virus

Digitiamo “Netstat -ANO” e premiamo INVIO.
A primo impatto probabilmente ti chiederai “Ma che diavolo è!”
Niente paura.. In questo modo riusciremo a vedere quali programmi stanno stabilendo una connessione esterna nel nostro pc.
Come noterai , saranno presenti cinque colonne:
Proto (Protocollo), Indirizzo Locale, Indirizzo Esterno, Stato e PID (Process ID).

Nel nostro caso prenderemo in considerazione solo le ultime tre colonne (Indirizzo esterno, Stato e PID).

Indirizzo Esterno, in questa colonna visualizzeremo  l’ip (Internet Protocol) con cui stiamo stabilendo una connessione dall’esterno.
Stato, questa colonna è molto importante: grazie ad essa riusciremo a capire se la connessione è stabilita o  in ascolto.
Ciò che ci interessa e quello che riguarda la parola “ESTABLISHED”
PID, è il numero che identifica un processo (ES: PID: 101010 è il processo Skype)

Mettiamoci a lavoro!

Inanzitutto (come già detto) dobbiamo prendere in considerazione tutto ciò che è seguito dalla parola “ESTABLISHED” nella colonna “Stato”

Io prenderò come esempio questi dati:

Dati cmd

Adesso vediamo di analizzarli insieme:
Come possiamo notare  L’IP 157.55.46.245 sta stabilendo una connessione con il PID 3836 sulla porta 443,
la stessa cosa vale per L’IP 65.55.183.183.
Quindi.. per prima cosa dobbiamo capire quale sia il programma che stabilisce una connessione esterna..
Ecco che scende in campo il nostro Task Manager!..

Riapriamo il task manager e andiamo sulla scheda “Processi” : cerchiamo dunque , sulla colonna PID, il numero 3836.
(NOTA BENE: Tutto questo è  solo un esempio: il PID e gli IP variano da pc a pc. Questo esempio è solo per farti capire come tracciare un programma)

Bingo!

Windows Live Mail Virus

Nel mio caso è evidente che non è un malware ma stiamo parlando semplicemente del programma “Windows Live Mail”.

Come avrai capito , seguendo queste operazioni,riuscirai a tracciare ogni programma che stabilisce una connessione esterna nel nostro pc,

Dunque nel mio caso dovrò analizzare altri PID ed escludere 3836 in quanto non è un malware.

Risoluzione dei problemi

Se nelle tue operazioni di tracciatura dei PID  ti sei imbattuto su un PID che fa riferimento ad un programma sconosciuto (Per esempio chiamato “trahsstaru.exe”)
non aver paura.
Per prima cosa copia il nome dell’eseguibile (trahsstaru.exe), collegati su questo sito e incolla il nome del programma sospetto (compreso .exe)
Questo servizio valuterà se il nome programma è malware oppure no.
Oltre a questo metodo consiglio vivamente di incollare il nome del programma sospetto sulla ricerca di google e quindi vi restituirà numerosi risultati molto interessanti a riguardo del “famoso” nome sospetto.

Questo è solo uno dei tanti metodi, ce ne sono altri che spiegherò nei prossimi articoli.

Sono infetto da un malware, come posso rimuoverlo?

Per rimuovere un virus (malware) ti consiglio l’utilizzo di questi programmi:

– Avira Antivirus : è consigliato in quanto , nella maggior parte dei casi, riesce a rilevare i malware, anche se recenti.

– Malwarebytes : Uno dei E’il migliore “Anti-Malware”,  è ottima anche la versione gratuita!

– Comodo Firewall è uno tra i migliori Firewall (Inutile dire che il firewall di Windows dev’essere disabilitato in favore di Comodo)

Clicca qui per leggere il mio articolo su “come mantenere un pc sicuro”

Una volta che hai installato questi programmi molto probabilmente riuscirai a risolvere il tuo problema.
Ovviamente dovrai eseguire una scansione completa con tutti e tre i programmi sovra elencati.
(Nota bene: NON eseguire più di una scansione contemporaneamente!).

Se il problema persiste ti consiglio di isolare il tuo computer da internet (togliendo la connessione), riavviare il pc ed entrare in “Modalità sicura” (Safe Mode).
(Come entrare in modalità sicura?)
Dunque avviare nuovamente la scansione.

Se purtroppo non riesci a risolvere neanche così leggi il mio articolo su come rimuovere un malware senza l’aiuto di un antivirus (presto disponibile).
In ogni caso puoi commentare questo articolo per avere chiarimenti, domande o aiuti.

Spero di esservi stato di aiuto.
A presto! 🙂

4 COMMENTS

  1. A questo passo (Digitiamo “Netstat -ANO” e premiamo INVIO) compare Dos, ho la videata istantanea e ma poi scopare. Potete aiutarmi nella sintassi?
    grazie

  2. Adesso che sono senza protezione Antirus come faccio a sapere se sono a rischio attacco?

  3. Io non trovo alcuni Pid sul task manager che però sono presenti in Netstat-Ano
    per esmpio il 124 ed il 2020 entrambi risultano established.

    • anche io ho lo stesso problema di stefano. sul task manager non è presente l’1616. come faccio a sapere cos’è?

Comments are closed.