Nella prima parte di questa guida abbiamo visto come controllare "manualmente" le posizioni da cui si avviano in modo automatico programmi e servizi al boot dei sistemi operativi Windows. Si tratta di cartelle di esecuzione automatica, chiavi di Registro (chiavi Run) e servizi di sistema. Per avere una visione di insieme dei programmi in avvio automatico e semplificarne la gestione, si possono usare alcuni tool progettati appositamente. Faremo inoltre alcune considerazioni sul potenziale avvio automatico di vecchie applicazioni a 16 bit all'interno di Windows XP.
msconfig
In tutte le versioni di Windows a partire da Windows 98 (ad eccezione di Windows 2000), è incluso il programma di utilità msconfig, nato per supportare la diagnosi degli errori di configurazione del sistema e la risoluzione di eventuali problemi in avvio (gli utenti di Windows 2000 possono usare il tool incluso in Windows XP copiandolo da un altro computer oppure scaricandolo da Internet). Questo software si chiama formalmente Utilità Configurazione di Sistema nei sistemi Windows 98/ME/XP, mentre in Windows Vista/7/8/8.1 si chiama semplicemente Configurazione di sistema.Per avviare msconfig:
- in Windows 98/ME/XP: cliccare sul pulsante START, selezionare Esegui, digitare msconfig;
- in Windows Vista/7/8/8.1: si può fare come al passo precedente oppure digitando direttamente msconfig nel campo di ricerca visibile dopo aver premuto START (o nell'omologo campo di Windows 8/8.1).
- avviate msconfig ed esplorate i programmi che si avviano automaticamente;
- deselezionate gli oggetti sospetti in modo da impedirne il caricamento all'avvio;
- riavviate il computer e controllate che il software indesiderato non sia più attivo;
- se il software indesiderato si avvia ancora allora avete deselezionato la casella errata (dovete riattivarla perché potrebbe bloccarsi qualche servizio essenziale);
- se invece il software indesiderato non si avvia più, probabilmente avete visto giusto: usate il computer per un po' di tempo e, se tutto funziona come deve, potete procedere all'eliminazione di chiavi di Registro e/o di file eseguibili come spiegato nella prima parte di questa guida (non eliminate tutto subito, controllate sempre per sicurezza).
Autoruns, la super-utility di Microsoft Sysinternals
Autoruns è un'utility della Sysinternals Suite che permette di gestire qualunque processo in avvio automatico attraverso una comoda interfaccia a schede. Si tratta della più completa fonte di informazioni relativamente a qualunque tipo di processo in avvio (processi di boot, di login, nascosti, driver, DLL, chiavi di registro ecc. ecc.) tanto che, al primo impatto, un utente inesperto può restare spiazzato. Tuttavia, oltre alla scheda Everything che mostra tutti i processi insieme, ne esistono molte altre che li raggruppano per tipologia.
Alcune considerazioni sull'avvio di Windows XP
In msconfig di Windows XP ci sono alcune schede che riguardano opzioni introdotte per preservare la compatibilità con applicazioni a 16 bit progettate per versioni di Windows precedenti (Windows 95/98/ME e perfino Windows 3.11 e MS-DOS).
Resta da fare un discorso per chi ancora usa applicazioni DOS a 16 bit o ha installato Windows XP partendo da Windows 95/98/98SE/ME, che erano basate ancora sull'ambiente DOS (se non siete in questa situazione potete saltare il prossimo paragrafo).
L'ambiente MS-DOS poggiava sui file IO.SYS, MSDOS.SYS, CONFIG.SYS, AUTOEXEC.BAT, COMMAND.COM; in particolare CONFIG.SYS e AUTOEXEC.BAT servivano rispettivamente a caricare driver e lanciare applicazioni al boot del sistema. Windows XP non poggia su MS-DOS tuttavia può usare una macchina virtuale DOS ed eseguirne i comandi: il kernel di Windows XP fa le veci di IO.SYS e MSDOS.SYS, mentre esiste ancora il COMMAND.COM che agisce come interprete dei comandi DOS. Per ragioni di compatibilità con le vecchie applicazioni a 16 bit, è possibile trovare in Windows XP i file C:\CONFIG.SYS (raramente) e C:\AUTOEXEC.BAT (di solito vuoto) oppure loro copie (CONFIG.DOS e/o CONFIG.BAK, AUTOEXEC.DOS e/o AUTOEXEC.BAK). Si tratta di semplici file di testo che possono essere aperti e modificati con qualsiasi editor; devono essere controllati una volta per tutte (soprattutto gli AUTOEXEC.xyz) per assicurarsi che non contengano applicazioni che partono all'avvio.
Infine, c'è da fare una considerazione sul meccanismo di esecuzione delle finestre o dei programmi DOS. Quando ciò accade, deve essere innanzitutto preparato l'ambiente DOS per l'esecuzione. All'avvio di un file DOS, Windows XP esegue automaticamente in background i file CONFIG.NT e AUTOEXEC.NT posizionati nella cartella C:\Windows\System32. Si tratta di una situazione simile a quella del boot poiché, in un certo senso, è come se facesse il boot il sistema DOS, dove vengono eseguite le istruzioni di CONFIG.SYS e AUTOEXEC.BAT (emulati dai file C:\Windows\System32\CONFIG.NT e C:\Windows\System32\AUTOEXEC.NT): se sospettate che tali file possano lanciare programmi sospetti è bene controllarli. L'eccezione a questo meccanismo di esecuzione è quando un programma DOS viene lanciato da un file con estensione .PIF (Program Information File). I file .PIF sono un lascito di Windows 3.x e contengono al loro interno tutto ciò che serve all'esecuzione dell'applicazione DOS: non hanno bisogno dell'esecuzione preventiva di CONFIG.NT e AUTOEXEC.NT per lanciare altri processi e per questo motivo molti virus erano basati sui file .PIF. Come conseguenza, le tecniche che abbiamo visto per prevenire l'avvio automatico di processi indesiderati con i file .PIF non funzionano: devono essere esaminati da un antivirus.
