Alcune categorie di virus, in particolare quelli ransomware, hanno il brutto vizio di bloccare l’accesso al vostro computer inserendo nel registro di configurazione delle chiavi di registro che permettono l’avvio automatico del malware, con la partenza del sistema operativo, oppure vanno a disattivare alcune funzioni di Windows per impedirvi di scoprirlo e eliminarlo. Una persona corre così il rischio di trovarsi con il computer bloccato all’avvio, magari con una bella richiesta di riscatto da parte dei truffatori che vi hanno infettato il sistema operativo.

Ci può venire in aiuto Kaspersky Rescue Disk e una sua funzione WindowsUnlocker che analizza il registro di configurazione di Windows alla ricerca di chiavi di registro sospette create da un malware.

Download e creazione supporti

Cominciamo con il download dell’immagine ISO di Kaspersky Rescue Disk da questo indirizzo, l’immagine va poi masterizzata su un CD-Rom, oppure trasferita in una pendrive con Kaspersky USB Rescue Disk Maker. Una volta creato un supporto avviabile bisogna inserirlo nel computer e fare il boot nel giusto ordine.

Guida anti-malware/anti-ransomware: come ripulire Registro sistema "offline" ed avviare nuovamente PC

Funzionamento

All’avvio del di Kaspersky Rescue Disk ci sarà un conto alla rovescia e poi dovrete scegliere la lingua del sistema, non è presente l’italiano

Guida anti-malware/anti-ransomware: come ripulire Registro sistema "offline" ed avviare nuovamente PC

Premete 1 e accettate le condizioni della licenza d’uso.

Guida anti-malware/anti-ransomware: come ripulire Registro sistema "offline" ed avviare nuovamente PC

Provate ora ad avviare il tutto con la prima voce, in caso di problemi (mancanza di qualche driver) provate il Text Mode.

Guida anti-malware/anti-ransomware: come ripulire Registro sistema "offline" ed avviare nuovamente PC

WindowsUnlocker

Per utilizzare WindowsUnlocker aprite una sessione del Terminal.

Guida anti-malware/anti-ransomware: come ripulire Registro sistema "offline" ed avviare nuovamente PC

Scrivete al suo interno il comando windowsunlocker e confermate con Invio.

Guida anti-malware/anti-ransomware: come ripulire Registro sistema "offline" ed avviare nuovamente PC

Digitate ora 1, sempre seguito da Invio.

Guida anti-malware/anti-ransomware: come ripulire Registro sistema "offline" ed avviare nuovamente PC

Attendete qualche momento che si completi la ricerca e controllate i risultati.

Guida anti-malware/anti-ransomware: come ripulire Registro sistema "offline" ed avviare nuovamente PC

Se Windowsunlocker non è riuscito a trovare il malware che ha invaso il vostro computer, potete cercarlo voi, manualmente, tramite il Kaspersky Registry Editor.

Guida anti-malware/anti-ransomware: come ripulire Registro sistema "offline" ed avviare nuovamente PC

Avrete così accesso alle principali aree del registro di configurazione per poter togliere un malware, o un qualsiasi altro programma, dall’esecuzione automatica, o cercare la riga di quel driver che impedisce l’avvio del computer e non sapete come togliere.

Guida anti-malware/anti-ransomware: come ripulire Registro sistema "offline" ed avviare nuovamente PC

Conclusioni

Non conoscevo la funzione windowsunlocker, nonostante sia disponibile da alcuni anni, sembra anche che il suo sviluppo di sia fermato al 2013, nonostante tutto ha riconosciuto, e rimosso, la chiave di registro del virus cryptolocker che stavo utilizzando per le prove.

In ogni caso con il Kaspersky Registry Editor siete in grado di manipolare il registro di configurazione di Windows presente nel computer e, se siete abbastanza esperti, dovreste riuscire a trovare il problema che vi affligge.