GMER

"GMER è attualmente uno degli scanner più utilizzati per l'individuazione e la rimozione di rootkit dai sistemi Windows. È spesso necessario effettuare scansioni antirootkit con software quali GMER perché gran parte degli attuali software antivirus non include tecnologie per l'individuazione di questa particolare minaccia, molto differente dalle classiche infezioni da worm, trojan, backdoor o gli ormai defunti virus. GMER risulta essere a volte un tool complesso … fornisce molti strumenti, alcuni avanzati ma in molti casi non sono necessari per l'utente che vuole semplicemente fare un check del sistema.

… Lanciamo gmer.exe. Ci apparirà una schermata del programma e per alcuni secondi il programma risulterà bloccato. In realtà sta effettuando una scansione preliminare del sistema alla ricerca di possibili rootkit nelle zone più delicate del sistema. Nel 90% dei casi se è presente un rootkit l'utente verrà avvertito già a questa prima scansione…

Quando GMER indica in rosso una riga e con la dicitura (*** hidden ***) in fondo al nome del file vuol dire che quello specifico file è nascosto agli occhi dell'utente e del sistema, cioè sta avvalendosi di particolari tecniche che permettono di poter agire indisturbato senza che l'utente sappia della sua esistenza … Oltre alle righe in rosso, l'utente si può trovare di fronte ad altre informazioni scritte in normale carattere color nero. In effetti GMER non elenca esclusivamente ciò che risulta nascosto nel sistema ma anche tutte le modifiche che vengono rilevate in alcuni punti cruciali del sistema ... L'utente meno esperto si dovrebbe curare particolarmente della presenza delle voci in rosso, poiché le voci in nero possono essere sì sintomo di un infezione ma andrebbero controllare con maggior dettaglio.

… Scansione completa del sistema. Sul lato destro del programma vediamo un elenco di voci da poter spuntare (sono tutte abilitate di default): sono le locazioni del sistema che GMER andrà a controllare. Per fare una scansione approfondita del sistema è consigliabile lasciarle tutte abilitate - compresa l'opzione ADS per controllare la presenza di eventuali file nascosti negli Alternate Data Stream del file system NTFS. Per prima cosa troviamo le voci in rosso, se ci sono, e ci clicchiamo sopra su ognuna con il tasto destro del mouse. Scegliamo l'opzione apposita per l'eliminazione - spesso solo un'opzione è utilizzabile per cui l'utente difficilmente si potrà sbagliare. Eliminate tutte le voci in rosso (può succedere che qualche voce in rosso non sia eliminabile immediatamente a causa dell'esecuzione del file, ma l'importante è che tutte le voci rosse che si potevano eliminare siano state eliminate. Riavviando poi il sistema e ri-effettuando una scansione sarà poi possibile eliminare ciò che prima non era eliminabile).

Se clicchiamo il pulsante in alto a fianco di Rootkit denominato ">>>" avremo accesso alle funzionalità avanzate di GMER. Tra le varie opzioni quelle che possono interessarci di più sono SERVICES e AUTOSTART. La voce SERVICES ci elenca tutti i servizi che partono all'avvio di Windows. Come sopra, possiamo controllare manualmente che non ci siano voci in rosso. Se ne vediamo alcune possiamo come al solito cliccarci sopra con il tasto destro ed eliminarle. La voce AUTOSTART invece ci dà una panoramica molto dettagliata di tutto ciò che parte all'avvio del sistema - servizi di Windows esclusi ovviamente … Infine, GMER fornisce anche un'ottima funzionalità di LOG, attraverso il pulsante COPY che è possibile trovare solitamente vicino al pulsante SCAN".