- Rimuovere virus che chiudono programmi automaticamente -
 
TUTORIAL
Utilizzare i comandi tasklist e taskkill senza il prompt dei comandi

Finestra esegui con il comando tasklist

Finestra esegui con il comando tasklist
 
Finestra esegui con il comando taskkill

Finestra esegui con il comando taskkill


Problema
Come si può rimuovere un virus che chiude la maggior parte dei programmi, compresi antivirus e anti-malware?

Risposta
In circolazione vi sono alcuni virus (come Antimalware Doctor) che permettono solo ad un limitato numero di applicazioni note di essere eseguite, come Messenger, il browser, Skype e alcune altre. Ovviamente programmi di rimozione virus e malware non vengono eseguiti, o meglio si avviano per alcuni secondi, e poi vengono chiusi dal virus.
Sarebbe semplice utilizzare il Task Manager per individuare il virus e terminarlo in modo da poter eseguire una scansione con un anti-virus ma purtroppo Gestione Attività (o Task Manager) è tra le applicazioni bloccate. La stessa cosa vale per il Prompt dei comandi, dal quale tramite tasklist, che lista i processi in esecuzione, e taskkill, che permette di terminarne uno, potremmo liberarci temporaneamente del virus. Tuttavia quest'ultima soluzione può esserci comunque d'aiuto, semplicemente non dobbiamo avviare il Prompt dei comandi per un lungo periodo di tempo.
In sostanza quello che si può provare a fare è trasferire il risultato di tasklist su un file di testo su un supporto rimovibile (come una chiavetta USB), collegarla ad un altro PC ed aprirlo dato che anche Blocco Note è uno dei programmi bloccati. Quindi si può provare a terminare vari processi sospetti con taskkill.
Per eseguire questi comandi useremo il comando Esegui così da non dover aprire il Prompt dei comandi. Premere il tasto di Windows e R (Win + R) per aprire la finestra esegui e digitare quanto segue:

cmd /c tasklist > G:\lista_processi.txt

Questo comando in sostanza avvia il Prompt dei comandi (cmd), gli indica di eseguire tasklist, di redirezionarne il risultato sul file "G:\lista_processi.txt" e di chiudersi (parametro /c) una volta completata l'operazione.
La lettera (nell'esempio G:) corrisponde al disco rimovibile e varia di volta in volta, può essere individuata tramite Risorse del Computer (Start, Computer). Una volta verificato tramite Esplora Risorse (programma permesso) che il file lista_processi.txt esista realmente sulla chiavetta, scollegare la chiavetta, portarla su un'altra macchina ed aprire il file: si troverà una lunga lista di nomi di programmi, tentate di individuare quei programmi con nomi sospetti, o sconosciuti del tipo "cmxvznxpfdq.exe" o "aeoipacve.exe", privi di significato e mai visti.
A questo punto, una volta che si è sicuri di essere in una situazione "senza nulla da perdere", ovvero senza avere aperti programmi con dati non salvati, si può provare a terminare questi processi sospetti: dalla finestra Esegui (Win + R) digitare:

taskkill /f /im:cmxvznxpfdq.exe

Ripetere l'operazione con tutti i processi che si considerano sospetti, e vedere di volta in volta se è possibile tenere aperti programmi che prima venivano chiusi. Si consiglia di tenere per ultimi i seguenti processi che in genere sono sicuri e critici per il sistema: smss.exe, csrss.exe, wininit.exe, lsass.exe, winlogon.exe, explorer.exe. Tutti i processi con nomi simili a questi ma non esattamente uguali sono invece tra i maggiori sospettati.
A questo punto è possibile eseguire uno o più antivirus e anti-malware per liberarsi dell'infezione.

 

<< INDIETRO