Rimuovere i Virus dal MBR

Se leggete questa guida deduco che sappiate cosa sia il MBR e a cosa serva. I virus che lo infettano rientrano in quella categoria di malware anche nota come RootKit, ovvero programmi malevoli che modificano parti sensibilissime di un sistema operativo per rendersi invisibili e fare quello che vogliono. Individuarli e rimuoverli è uno tra i compiti più difficili di un antivirus e non sempre può riuscirci e questa guida va a colmare un eventuale lacuna.

Inutile buttare l’acqua fuori dalla barca se questa è bucata, prima ripariamo il buco.

Con questo concetto voglio spiegare come funziona un rootkit che colpisce il MBR. Avete preso il virus e si è installato nel sistema. Successivamente modifica e si copia, secondo gli ordini del suo padrone, nel MBR. In realtà quindi, il virus lo avete sia nel MBR che dentro al sistema operativo. Tutte le volte che avviate il computer la copia del virus che sta nel MBR guarda se c’è la sua copia nel sistema e se manca, eliminato magari da un antivirus, ce la rimette. Cosa analoga fa la copia del virus dentro al sistema controllando che egli esista ancora nel MBR perché altrimenti ci si rimette. Inutile eliminare il virus solo da una parte. La cosa più semplice sarebbe quella di FORMATTARE tutto e cancellare anche il Master Boot Record tramite un Fdisk. Nel caso non si voglia usare mezzi così estremi allora bisogna andare un po con i piedi di piombo e continuare comunque con la paura che qualcosa sia scappato.

1. Innanzi tutto vediamo se effettivamente c’è un virus nel MBR. Scarichiamo MBR rootkit detector dal sito, faccio tasto destro su questo collegamento e scegliamo l’opzione “Salva destinazione con nome” e mettiamo il file mbr.exe proprio nel C:\
2. Andiamo su Start > Esegui e scriviamo cmd e premiamo invia. Scriviamo
   c:\mbr
   se non appare una scritta rassicurante come questa sottostante allora effettivamente c’è qualcosa.
   
3. Disattivazione del sistema di ripristino: per evitare che il virus si nasconda in posti non accessibili anche per l’antivirus o a noi utenti è il caso di disattivare il ripristino del computer. Tasto destro su risorse del computer > Proprietà > Ripristino configurazione di sistema > Selezionate l’opzione e premete OK.
   
4. Assicuriamoci di non aver rootkit nel sistema quindi utilizziamo Gmer che troviamo qui. Effettuiamo la scansione e attendiamo un responso. Proprio come l’antivivirus, anche l’antirootkit può dare un falso positivo quindi in caso di scansione positiva facciamoci una rapida ricerca su internet e capiamo di cosa si tratta e magari qualcuno prima di noi è riuscito a trovare i giusti passi per rimuovere il nostro specifico virus. In caso contrario muniamoci di un buon antivirus, facciamo una scansione molto approfondita ed eliminiamolo.
5. Sicuri che non esista più una versione attiva nel sistema, riavviamo il computer in modalità provvisoria premendo all’avvio F8. Quando il sistema è attivo andiamo ancora su Start > Esegui e riscriviamo cmd. Questa volta però scriviamo
   c:\mbr –f
   attendiamo che finisca e riavviamo in maniera normale. Rieseguiamo il punto 2 e controlliamo che sia ancora tutto pulito.

Queste a somme righe sono i passi da fare. Ogni virus può differire per specifiche e file infettati. Tuttavia, è mio suggerimento procedere con la cancellazione totale del sistema e della tabella delle partizioni. Seguire questa procedura non è semplice e veloce, me ne rendo conto e i soldi spesi, magari da un professionista, potrebbero essere buttati via se non fosse fatto tutto alla perfezione.